Cet article est une mise à jour de l’article ssl avec letsencrypt et nginx et traite de la mise en place d’un serveur SSL (Secure Sockets Layer) et maintenant TLS (Transport Layer Security) avec Ubuntu 18.04 et Nginx.
On ouvre un terminal et l’on installe Let’s Encrypt :
|
1 2 3 4 5 6 |
$ sudo apt-get update $ sudo apt-get install software-properties-common $ sudo add-apt-repository universe $ sudo add-apt-repository ppa:certbot/certbot $ sudo apt-get update $ sudo apt-get install certbot python-certbot-nginx |
Mon domaine est murviel-info.com. Let’s Encrypt créera un dossier /.well-known dans le répertoire du domaine. Il faut autoriser la lecture et l’écriture dans le répertoire, interdit sur une configuration Nginx, le répertoire commençant par un point. On ajoute au fichier de configuration du domaine :
|
1 2 3 4 5 6 7 8 9 10 11 12 |
server { listen 80; server_name murviel-info.com www.murviel-info.com; root /path/to/www/folder; location ~ /\.well-known { allow all; } ... } |
On peut alors installer le certificat SSL/TLS :
|
1 |
$ sudo letsencrypt certonly --webroot -w /path/to/www/folder -d murviel-info.com -d www.murviel-info.com |
Letsencrypt a une limitation de 5 échecs par compte, par hostname et par heure, alors pour faire un test en obtenant des certificats invalides sans les enregistrer, on ajoute –dry-run à la commande.
Pour renouveler les certificats venant à terme, on lance :
|
1 2 3 4 5 6 7 |
$ sudo certbot renew Processing /etc/letsencrypt/renewal/murviel-info.com.conf The following certs are not due for renewal yet: /etc/letsencrypt/live/murviel-info.com/fullchain.pem (skipped) No renewals were attempted. |
Ici, le certificat n’est pas sur le point d’expirer. On peut donc créer une tâche récurrente crontab pour renouveler automatiquement les certificats.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
$ sudo crontab -e # Edit this file to introduce tasks to be run by cron. # # ... # # For example, you can run a backup of all your user accounts # at 5 a.m every week with: # 0 5 * * 1 tar -zcf /var/backups/home.tgz /home/ # # For more information see the manual pages of crontab(5) and cron(8) # # m h dom mon dow command 30 3 1 * * cerbot renew >> /var/log/letsencrypt |
La commande est lancée tous les dimanches à 3h.
Pour lister tous les certificats que l’on a généré et les domaines concernés, on tape la commande :
|
1 |
$ sudo certbot certificates |
Révoquer et Supprimer un certificat
|
1 |
$ sudo certbot revoke --cert-path /etc/letsencrypt/archive/domain.tld/cert1.pem |
Puis lancer la commande :
|
1 |
$ sudo certbot delete |
Et choisir le certificat à supprimer.
Et hop, le domaine dispose du chiffrage SSL/TLS et est accessible en https sur un serveur Ubuntu/Nginx.
