07.06.2023

Comment obtenir Let's Encrypt SSL sur CentOS 8

Let's Encrypt est une autorité de certification qui permet à quiconque d'obtenir un certificat SSL/TLS gratuit et de chiffrer ses services (serveur web, email, etc.). De plus, le Certbot client vous permet d'automatiser de nombreux processus. Une fois le serveur configuré correctement, vous pouvez obtenir un certificat en quelques minutes, puis le renouveler automatiquement. Pour ce faire, vous devez vous assurer que les points suivants sont respectés :

Votre serveur a une adresse IP publique ;
Vous avez un nom de domaine. Dans ce tutoriel nom-de-domaine.com utilisé comme exemple, remplacez-le par le vôtre FQDN ;
La DNS Un enregistrement de votre nom de domaine contient l'adresse IP de votre serveur.

Serveurs Cloud à partir de 4 € / moisIntel Xeon Gold 6254 3.1 GHz CPU, SLA 99,9%, canal 100 Mbps

Installation de snapd

Les développeurs de Certbot recommandent d'utiliser snapd pour gérer et maintenir automatiquement votre package. Installons-le.

dnf installer epel-release ; dnf installer snapd

Maintenant, démarrez et activez-le.

systemctl activer --now snapd.socket

Vous devez également créer le lien symbolique suivant pour activer la prise en charge de l'accrochage classique.

ln -s /var/lib/snapd/snap /snap

Après cela, redémarrez votre système.

reboot

Assurez-vous que la dernière version est installée.

noyau d'installation instantané ; noyau de rafraîchissement instantané

Installation de Certbot

Assurez-vous qu'il n'y a pas de Certbot sur votre système.

dnf supprimer certbot

Installez Cerbot.

installation instantanée -- certbot classique

Ajoutez le lien symbolique suivant pour assurer le lancement réussi de Certbot.

ln -s /snap/bin/certbot /usr/bin/certbot

Façons d'obtenir un certificat SSL Let's Encrypt

Lors de l'exécution du défi Certbot, vous pouvez entrer plusieurs noms de domaine de votre site en tant qu'alias lorsque vous y êtes invité. Par exemple, nom-domaine.com, www.nom-domaine.com.
Si vous n'avez aucun serveur Web en cours d'exécution, utilisez cette commande et suivez les instructions :

certbot certonly --standalone

Il utilise le HTTP port pour vérifier la réponse lors de l'accès au nom de domaine. Si votre serveur Web est déjà en cours d'exécution et que vous ne souhaitez pas l'arrêter, utilisez le suivant. Il vous sera demandé d'entrer le nom de domaine et sa racine Web pour confirmer vos droits sur celui-ci.

certbot certonly --webroot

Certificat SSL Wildcard et DNS challenge

Une autre façon de vérifier vos droits sur un nom de domaine et son serveur est DNS Challenge. Et c'est le seul moyen d'obtenir un certificat SSL générique. Vous devez avoir accès à la gestion de votre site DNS enregistrements. Utilisez cette commande et suivez les instructions :

certbot certonly --manual --preferred-challenges dns -d nom-domaine.com -d *.nom-domaine.com

Renouvellement automatique du certificat

Lors de l'installation de Certobot, des mises à jour automatiques des certificats sont configurées. Il s'agit d'une minuterie qui vérifiera les certificats qui expireront bientôt dans le système et les mettra à jour. Pour voir s'il est configuré, regardez ici :

timers de liste systemctl | grep certbot

Si vous ne voyez aucune sortie, vous pouvez vérifier ici :

chat /etc/crontab
chat /etc/cron.*/*

Pour tester le processus de renouvellement automatique, exécutez :

certbot renouveler --dry-run

Serveurs Cloud à partir de 4 € / moisIntel Xeon Gold 6254 3.1 GHz CPU, SLA 99,9%, canal 100 Mbps