Procédure
Qu'est ce que Let's Encrypt ?
Le projet Let's Encrypt, sponsorisé par de grandes entités du web, vise à proposer des certificats SSL gratuits avec installation simplifiée.
Les certificats SSL gratuits Let's Encrypt permettent de proposer des connexions sécurisées sur son site internet, de chiffrer les contenus échangés, de s'assurer de l'identité du serveur et d'éviter que le contenu ne soit altéré.
La mise en place d'un certificat SSL Let's Encrypt permet donc de rassurer le visiteur et de favoriser le référencement naturel compte du fait que Google favorise les sites web en https.
Comment installer un certificat SSL gratuit Let's Encrypt sur un VPS Linux ?
Si vous avez déjà configuré un certificat auto signé sur votre site ou si vous avez un certificat invalide sur votre domaine, il vous faudra dans un premier temps désactiver la redirection vers https avant de configurer votre certificat Let's Encrypt.
Pour cela :
- Rendez sur votre panel ISP Config dans l'onglet "Sites"
- Sélectionner votre domaine
- Dans l'onglet domaine, recherchez la case à décocher SSL et valider.
Méthode 1 : Avec ISPconfig et renouvellement automatique
1. Mon panel ISPconfig possède l'option Let's Encrypt
Dans ce cas référez vous à cette documentation : https://aide.lws.fr/a/485
2. Mon panel ISPconfig ne possède pas l'option Let's Encrypt
Cette méthode se réalise en partie en ligne de commande depuis une console SSH. Si vous ne savez pas comment utiliser le SSH, je vous invite à contacter notre support technique.
On télécharge le logiciel Let's Encrypt (à effectuer depuis la console SSH) :
cd /root/
git clone https://github.com/letsencrypt/letsencrypt.git
cd letsencrypt/
On lance le binaire qui va générer nos certificats. Cela peut prendre un certain temps. Le programme va vous demander une adresse mail, attention de bien renseigner une adresse valide. Attention également de bien renseigner un domaine valide et qui existe :
/root/letsencrypt/letsencrypt-auto certonly --webroot -w /var/www/monsite.com/web/ -d monsite.com -d www.monsite.com
L'option "-d" permet de préciser pour quel site on créer le certificat (noté que l'on précide le domaine avec www). L'option "-w" précise le répertoire racine du site en question. Il est possible de créer plusieurs certificats en une seule fois :
/root/letsencrypt/letsencrypt-auto certonly --webroot -w /var/www/monsite.com1/web/-d monsite1.com -d www.monsite1.com -w /var/www/monsite2.com/web/ -d monsite2.com -d www.monsite2.com
Les certificats générés sont stockés dans le répertoire : /etc/letsencrypt/live/monsite.com/
On intègre le certificat à ISPconfig
On commence par créer un certificat auto-signé pour le site voulu. Pour cela je vous invite à voir notre documentation sur le sujet : Comment activer SSL sur mon servuer VPS ?
Assurez de sélectionner votre domaine sans "www" dans le champ "Domaine SSL".
Une fois le certificat auto-signé créé, nous allons le remplacer par celui généré via Let's Encrypt.
Pour ce faire il suffit de créer un lien symbolique entre les certificats mis en place par ISPconfig et ceux de Let's Encrypt :
ATTENTION : Dans toutes le commandes qui suivent, "monsite.com" est à remplacer par le nom de votre site sans "www".
rm -f /var/www/monsite.com/ssl/monsite.com.key
rm -f /var/www/monsite.com/ssl/monsite.com.crt
ATTENTION : "/etc/letsencrypt/live/monsite.com", peut se présenter sous cette forme "/etc/letsencrypt/live/monsite.com-xxx". Dans ce cas veuillez relever le nom exacte du répertoire avec la commande "ls /etc/letsencrypt/live/" et ajuster les deux commandes suivantes.
ln -s /etc/letsencrypt/live/monsite.com/privkey.pem /var/www/monsite.com/ssl/monsite.com.key
ln -s /etc/letsencrypt/live/monsite.com/cert.pem /var/www/monsite.com/ssl/monsite.com.crt
service apache2 reload
ATTENTION : si au niveau d'ISPconfig vous effectuez des modifications sous l'onglet SSL, cela viendra écraser la configuration que nous venons de mettre en place.
3. Renouvellement automatique via un CRONTAB
Par défaut les certificats créés ne sont valide que trois mois. Par conséquent nous allons mettre en place une tâche automatique qui va se charger de les mettre à jour à notre place.
00 04 1 * * /root/letsencrypt/letsencrypt-auto certonly --renew-by-default --webroot -w /var/www/monsite.com/web/ -d monsite.com -d www.monsite.com >> /var/log/letsencrypt_monsite.com.log
Le renouvellement sera effectué tous les premier du mois à 04h00 du matin.
Méthode 2 : Sans ISPconfig et sans renouvellement automatique
Cette étape se réalise également en ligne de commande depuis une console SSH. Si vous ne savez pas comment utiliser le SSH, je vous invite à contacter notre support technique, qui pourra vous aider à générer votre certificat.
- On télécharge le logiciel :
cd /root/
git clone https://github.com/letsencrypt/letsencrypt.git
cd letsencrypt/
On lance le binaire letsencrypt-auto :
./letsencrypt-auto
Cette première exécution, va permettre au logiciel d'installer les prérequis dont il à besoin (python etc...).
Par défaut le logiciel va scanner votre configuratoion Apache et trouver le site existant (ici ockdlkockd.ga). On laisse les deux cases (avec www et sans) cochées et on clic sur OK :
On entre une adresse email de contact :
On valide les dernières étapes et c'est tout. Votre site est maintenant accessible en HTTPS.
Pour ce faire, on utilise le lien donné par Let's Encrypt. Ici : https://www.ssllabs.com/ssltest/analyze.html?d=ockdlkockd.ga
- Renouveler mon certificat
Le certificat à une durée de validité de 30 jours. Il est donc impératif de le renouveler régulièrement.
Pour ce faire, il suffit d'utiliser la commande suivante :
cd /root/letsencrypt
./letsencrypt-auto
Le logiciel va vous proposer de créer un nouveau certificat ou de renouveler l'existant :
