{"id":73,"date":"2018-03-24T16:28:00","date_gmt":"2018-03-24T15:28:00","guid":{"rendered":"http:\/\/devinfo.kenn.udona.fr\/blog\/?p=73"},"modified":"2021-05-26T19:11:55","modified_gmt":"2021-05-26T17:11:55","slug":"installation-certificats-ssl-tls-lets-encrypt-avec-certbot","status":"publish","type":"post","link":"https:\/\/udona.fr\/blog\/installation-certificats-ssl-tls-lets-encrypt-avec-certbot\/","title":{"rendered":"Installation Certificats SSL \/ TLS Let’s Encrypt avec Certbot"},"content":{"rendered":"\n

Nous allons voir dans cet article comment obtenir des certificats SSL \/ TLS Let’s Encrypt<\/strong>. Fond\u00e9 en 2014<\/strong>, Let’s Encrypt est un projet Linux Foundation<\/strong>, soutenue par l’Electronic Frontier Foundation, Mozilla Foundation, Cisco et par beaucoup d’autres acteur majeur d’internet<\/strong>.<\/p>\n\n\n\n

Let’s Encrypt est ce que l’on appelle une Certification Authority<\/strong> (Autorit\u00e9 de Certification) qui fournit des certificats gratuit suivant la norme X.509<\/a><\/strong>, un tiers de confiance permettant d’authentifier et certifier l’identit\u00e9<\/strong> des correspondants. Nous utilisons ces certificats pour s\u00e9curiser les communications num\u00e9riques via les protocoles SSL et TLS<\/strong>. Pour ce qu’il en est du protocole SSL, il est \u00e0 proscrire imm\u00e9diatement<\/strong> car d\u00e9clar\u00e9 obsol\u00e8te<\/strong> dans la RFC 7568<\/a><\/strong> en 2015<\/strong>, \u00e0 cause de l’attaque POODLE<\/strong><\/a> en 2014<\/strong>. L’heure est donc au TLS (Transport Layer Security<\/strong>), je vous passe tous les d\u00e9tails technique, car ce n’est pas le sujet de cet article. Les certificats d\u00e9livr\u00e9s par Let’s Encrypt ont une dur\u00e9s de vie de 90 jours<\/strong>, soit 3 mois, il faudra donc les renouveler r\u00e9guli\u00e8rement.<\/p>\n\n\n\n

\n\n\n\n

Cet article est une suite logique au pr\u00e9c\u00e9dent article expliquant comment installer un serveur web LAMP<\/a>. Pour installer les certificats de la mani\u00e8re la plus simple et automatis\u00e9s, nous allons utiliser Certbot<\/a><\/strong> qui est un outil d\u00e9velopp\u00e9 par Electronic Frontier Foundation<\/a>. Certbot est compatible avec de nombreux serveurs web et syst\u00e8me d’exploitation<\/strong>. Dans cet article, nous allons faire une installation fonctionnant avec Apache et sous Debian 9, pour les autres il y a tr\u00e8s peut de diff\u00e9rence, je vous invite \u00e0 aller consult\u00e9 la documentation de r\u00e9f\u00e9rence<\/a> pour prendre connaissance des nuances existante.<\/p>\n\n\n\n

Dans cet article, je vous pr\u00e9sente l’installation alternative de Certbot<\/strong>. Il est donc alors plus pr\u00e9cis\u00e9ment question de Certbot-Auto<\/strong>, cela ne change quasiment rien.<\/p>\n\n\n\n

Attention, lors de l’utilisation de toutes les commandes, il faudra donc remplacer ‘certbot’ par ‘certbot-auto’.<\/strong><\/em><\/p>\n\n\n\n

Pr\u00e9-requis<\/h2>\n\n\n\n

Le seul pr\u00e9-requis sera d’activer au pr\u00e9alable deux modules du serveur web<\/strong>. Le ‘ssl’<\/strong> pour pouvoir utiliser des certificats SSL \/ TLS et le ‘rewrite’<\/strong> pour pouvoir rediriger les utilisateurs vers le SSL \/ TLS.<\/p>\n\n\n\n

# Module SSL\na2enmod ssl\n\n# Module rewrite\na2enmod rewrite\n\n# Il ne reste plus qu'a red\u00e9marrer apache2\n\nservice apache2 restart<\/pre><\/div>\n\n\n\n
Il est ici question d’Apache2<\/strong>, pour les autres serveurs web, je vous invite \u00e0 consult\u00e9 leur manuel de r\u00e9f\u00e9rence respectif.<\/p>\n\n\n\n
Attention, il est aussi n\u00e9cessaire que tous les noms de domaines d\u00e9clar\u00e9s soient joignables et qu’il redirige bien vers votre serveur dont il est question. Il faut aussi que le chacun de vos sites poss\u00e8de un virtual host bien configur\u00e9. Ne pas oublier pour ceux qui ont un <\/strong>pare-feu<\/strong> de veiller \u00e0 ce que le Port SSL 443 soit ouvert et libre.<\/strong><\/em><\/p>\n\n\n\n
Installation de Certbot-Auto<\/h2>\n\n\n\n
Nous allons le t\u00e9l\u00e9charger et le rendre ex\u00e9cutable.<\/p>\n\n\n\n
cd \/usr\/local\/sbin\n\nwget https:\/\/dl.eff.org\/certbot-auto\n\n#On le rend executable\nchmod a+x \/usr\/local\/sbin\/certbot-auto<\/pre><\/div>\n\n\n\n
Cr\u00e9ation d’un certificat Let’s Encrypt<\/h2>\n\n\n\n
Certbot<\/strong> est tr\u00e8s facile<\/strong> \u00e0 utiliser, les commandes fonctionne avec diff\u00e9rents flag. Le flag ‘–cert-name’<\/strong> est le nom du certificat<\/strong>. Le flag ‘-domain’<\/strong> ou ‘-d’<\/strong> sont les diff\u00e9rents noms de domaines<\/strong> que vous voulez d\u00e9clarer. Il est possible pour ce dernier de s\u00e9parer les domaines par des virgules<\/strong>, dans l’exemple ci-dessous je le fais individuellement<\/strong>. Le flag ‘–mail’<\/strong> est l’adresse mail<\/strong> ou vous recevrait un mail lors de l’expiration<\/strong> proche d’un de vos certificats.<\/p>\n\n\n\n
Il est \u00e9galement possible de choisir la taille de la cl\u00e9 RSA<\/strong> (par d\u00e9faut 2048 bits) avec le flag ‘–rsa-key-size 4096’<\/strong> pour la passer en 4096 bits. D’apr\u00e8s le R\u00e9f\u00e9rentiel G\u00e9n\u00e9ral de S\u00e9curit\u00e9<\/a> du 21 f\u00e9vrier 2014 de l’ANSSI il recommand\u00e9<\/strong> d’avoir une cl\u00e9 RSA de au minimum 3072 bit<\/strong>s. (Soit dit en passant, lorsque l’on regarde la taille de la cl\u00e9 RSA de l’ANSSI elle est de 2048 bits …)<\/em><\/p>\n\n\n\n
Attention Let’s Encrypt n’accepte pas le Wildcard ‘*.’, vous devez donc d\u00e9finir tous les domaines et tous les sous-domaines individuellement. <\/strong><\/em><\/p>\n\n\n\n
L’avantage d’utiliser les flags ‘–apache’ <\/strong>ou ‘–nginx’<\/strong> est que vous n’aurez pas<\/strong> de besoin de lib\u00e9rer les ports 80 <\/strong>et 443<\/strong> pour la cr\u00e9ation des certificats.<\/p>\n\n\n\n
# Pour Apache\ncertbot-auto --apache --cert-name monsuperdomaine.fr -d monsuperdomaine.fr -d www.monsuperdomaine.fr -d subdomain.monsuperdomaine.fr -d www.subdomain.monsuperdomaine.fr --rsa-key-size 4096 --email monsuper@email.fr\n\n# Pour Nginx\ncertbot-auto --nginx --cert-name monsuperdomaine.fr -d monsuperdomaine.fr -d www.monsuperdomaine.fr -d subdomain.monsuperdomaine.fr -d www.subdomain.monsuperdomaine.fr --rsa-key-size 4096 --email monsuper@email.fr<\/pre><\/div>\n\n\n\n
La suite avec Certbot est tr\u00e8s Step-by-Step<\/strong>, vous n’aurez aucun mal<\/strong>. Si tous se passent bien Certbot va voir tout les virtual host concern\u00e9. Il vous demandera si vous voulez \u00eatre en mode ‘Easy<\/strong>‘ ou ‘Secure<\/strong>‘. En s\u00e9lectionnant ‘Secure’, il va automatiquement cr\u00e9er des virtual host SSL<\/strong> et va rediriger toutes les requ\u00eates concern\u00e9 de HTTP en HTTPS<\/strong>. En Easy il va automatiquement cr\u00e9er des virtual host SSL sans<\/strong> rediriger toutes les requ\u00eates concern\u00e9. Je vous conseil de choisir ‘Secure<\/strong>‘.<\/p>\n\n\n\n
Please choose whether HTTPS access is required or optional.\n-----------------------------------------------------------\n1: Easy - Allow both HTTP and HTTPS access to these sites\n2: Secure - Make all requests redirect to secure HTTPS access\n-----------------------------------------------------------\nselect the appropriate number [1-2] then [enter] (press 'c' to cancel): 2\n<\/pre><\/div>\n\n\n\n
Vous avez maintenant<\/strong> normalement r\u00e9ussi<\/strong> \u00e0 cr\u00e9er vos beaux certificats Let’s Encrypt. Je ne d\u00e9taillerais pas dans cet article les configurations des virtual host. Ils ont \u00e9tait modifier automatiquement par Certbot. J’aborderais plus en d\u00e9tails la configuration des virtual host avec la configuration des Header dans un prochain article.<\/p>\n\n\n\n
Les certificats que vous venez cr\u00e9er ci-dessus, vous pourrez les retrouver dans le dossier ‘\/etc\/letsencrypt\/live\/monsuperdomaine.fr\/’<\/strong>.<\/p>\n\n\n\n
ls \/etc\/letsencrypt\/live\/monsuperdomaine.fr\n\ncert.pem # Certificat Serveur\n\nchain.pem # Certificat Interm\u00e9diaire\n\nfullchain.pem # Serveur + Interm\u00e9diaire Certificat\n\nprivkey.pem # Cl\u00e9 Priv\u00e9<\/pre><\/div>\n\n\n\n
V\u00e9rification du certificat<\/h2>\n\n\n\n
Maintenant que vous avez r\u00e9ussi<\/strong> \u00e0 installer votre certificat TLS, vous pouvez tester votre certificat TLS<\/strong> avec l’outil SSLLabs<\/a> de Qualys. Il existe aussi l’outil d’Aeris<\/a> pour tester votre TLS.<\/p>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n
Superviser vos certificats<\/h2>\n\n\n\n
Vous pouvez visualiser<\/strong> tous les certificats Let’s Encrypt en cours de validit\u00e9 et conna\u00eetre leur date d’expiration<\/strong>.<\/p>\n\n\n\n
certbot-auto certificates\n\nFound the following certs:\n  Certificate Name: monsuperdomaine.fr\n    Domains: monsuperdomaine.fr, www.monsuperdomaine.fr\n    Expiry Date: 2017-02-19 19:53:00+00:00 (VALID: 30 days)\n    Certificate Path: \/etc\/letsencrypt\/live\/monsuperdomaine.fr\/fullchain.pem\n    Private Key Path: \/etc\/letsencrypt\/live\/monsuperdomaine.fr\/privkey.pem\n<\/pre><\/div>\n\n\n\n
Renouveler les certificats manuellement<\/h2>\n\n\n\n
Comme expliquer plus haut dans l’article, les certificats d\u00e9livrer par Let’s Encrypt ont une dur\u00e9e maximale de 90 jours<\/strong>. Il faut donc les renouveler, nous verrons apr\u00e8s comment automatiser le renouvellement de vos certificats. Pour renouveler vos certificats manuellement rien de plus simple. Vous pourrez renouveler vos certificats 30 jours avant leur date d’expiration<\/strong>.<\/p>\n\n\n\n
cd \/usr\/local\/sbin\n\n# Pour Apache2\ncertbot-auto renew --apache\n\n# Pour Nginx\ncertbot-auto renew --nginx<\/pre><\/div>\n\n\n\n
Renouveler les certificats automatiquement<\/h2>\n\n\n\n
Nous allons faire en sorte que vos certificats se renouvelle automatiquement<\/strong>. Pour cela rien de plus simple, nous allons faire une crontab<\/strong> qui va se lancer tous les jours \u00e0 4h00 du matin<\/strong>.<\/p>\n\n\n\n
Cela n’exclut pas de v\u00e9rifier manuellement la validit\u00e9 de vos certificats aux dates anniversaires.<\/strong><\/em><\/p>\n\n\n\n
# Ouverture des crontab\ncrontab -e\n\n# Pour Apache2\n0 4 * * * \/usr\/local\/sbin\/certbot-auto renew --apache -q\n\n# Pour Nginx\n0 4 * * * \/usr\/local\/sbin\/certbot-auto renew --nginx -q<\/pre><\/div>\n\n\n\n
R\u00e9voquer un certificat<\/h2>\n\n\n\n
Pour r\u00e9voquer<\/strong> un certificat, il faut r\u00e9voquer le certificat serveur<\/strong> en sp\u00e9cifiant bien le chemin<\/strong> vers le ‘cert.pem’ concern\u00e9, ont pourra \u00e9galement donn\u00e9e une raison<\/strong> \u00e0 la r\u00e9vocation du certificat avec le flag ‘–reason’<\/strong>. Puis ensuite, il ne reste plus qu’\u00e0 supprimer<\/strong> les autres fichiers via Certbot<\/strong>.<\/p>\n\n\n\n
# R\u00e9vocation du certificat\ncertbot-auto revoke --cert-path \/etc\/letsencrypt\/live\/monsuperdomaine.fr\/cert.pem --reason keycompromise\n\n# Suppression des autres fichier\ncertbot-auto delete --cert-name monsuperdomain.fr<\/pre><\/div>\n\n\n\n
\n\n\n\n
Conclusion<\/h2>\n\n\n\n
Vous avez d\u00e8s \u00e0 pr\u00e9sent r\u00e9ussi<\/strong> \u00e0 mettre en place un certificat Let’s Encrypt TLS<\/strong> sur votre site web<\/strong>. Je vous invite faire une donation<\/strong> ou des donations mensuelles<\/strong> \u00e0 Lets Encrypt<\/a> et \u00e9galement \u00e0 l’EFF<\/a> pour soutenir<\/strong> leurs projets et outils qui sont mis \u00e0 disposition gratuitement<\/strong>.
Il ne reste plus qu’\u00e0 avoir de jolie en-t\u00eate HTTP<\/strong> pour mieux s\u00e9curis\u00e9 votre site web. Je ferais probablement un long article concernant les en-t\u00eates HTTP avec Apache2<\/strong>.<\/p>\n\n\n\n
Sources :<\/em><\/p>\n\n\n\n