Le coût d'achat des certificats numériques et la complexité de l’installation peuvent en freinez certain. Heureusement Une initiative à l'origine de Mozilla, l'EEF et d'autre partenaires à été lancé : le projet Let's Encrypt.
Vérifier que votre fichier sources.list
dispose du dépôt backports, et ajouté ce dépôt si besoin2).
Installer le paquet
apt-get install -t jessie-backports certbot
certbot
et letencrypt
. Les commandes sont les même
Sur votre serveur, récupérer le package letsencrypt sur GitHub
apt-get install git
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
Première exécution : Installation des dépendances
./letsencrypt-auto
Ici j'ai choisi comme exemple d’obtenir un certificat letsencrypt pour mon site : monsiteweb.me
./letsencrypt certonly --webroot --webroot-path /var/www/monsiteweb/ --domains monsiteweb.me --agree-tos -text --email Florian@monmail.me
letsencrypt
et certbot
sont deux commandes pour un seul programme. Les deux syntaxes peuvent donc être utilisées
letsencrypt certonly --webroot --webroot-path /var/www/monsiteweb/ --domains monsiteweb.me --agree-tos -text --email Florian@monmail.me
ou
certbot certonly --webroot --webroot-path /var/www/monsiteweb/ --domains monsiteweb.me --agree-tos -text --email Florian@monmail.me
–webroot :
La commande réalise votre authentification en plaçant un fichier fourni par l'AC dans l'arborescence de votre serveur web.–webroot-path :
Dans le cas d'une authentification webroot, donner le chemin de l'arborescence du site web.–domains :
Fournir la liste des noms DNS des sites web.–agree-tos :
Vous permet de valider sans les lires les termes d'utilisation de l'AC Let's Encrypt.-text :
Usage de la commandes en mode texte et non graphique.–email:
Votre adresse email qui pourra servir notamment en cas de perte de vole de votre compte (etc/letencrypt/accounts)./etc/cron.d/certbot
qui lance automatiquement la commande de renouvellement 2 fois par jour à des heures aléatoires
Les certificats sont valides 90 jours, et un mécanisme permet un renouvellement en quelques commandes.
Vous pouvez tester l'obtention d'un certificat avec
certbot renew --dry-run
Si tout se passe bien le renouvellement se fait avec
certbot renew --quiet
cron
ou d'un service systemd
, il est recommandé d'effectuer cette vérification 2 fois par jour. Veillez à mettre des minutes aléatoires dans la définition de votre tâche afin de lisser la charge sur les serveurs du projet..
Le programme dispose de bien d'autres fonctions et options qui sont décrit dans le manuel, et sur le site du projet