editor
621
modifications
« Letsencrypt » : différence entre les versions
Aller à la navigation
Aller à la recherche
m
petites corrections ortho
(Corrections) |
m (petites corrections ortho) |
||
| Ligne 2 : | Ligne 2 : | ||
Je l'utilise depuis plus d'un mois maintenant, et je n'ai pas trouvé quoi que ce soit à redire sur ce soft, et les services qu'il offre:<br /> | Je l'utilise depuis plus d'un mois maintenant, et je n'ai pas trouvé quoi que ce soit à redire sur ce soft, et les services qu'il offre:<br /> | ||
Créer votre certificat SSL, que ce soit pour votre domaine ou votre sous-domaine, simplement et gratuitement... Que demander de plus ? [[file:Icon_mrgreen.gif]] | Créer votre certificat SSL, que ce soit pour votre domaine ou votre sous-domaine, simplement et gratuitement... Que demander de plus ? [[file:Icon_mrgreen.gif]] | ||
Ci-dessous, après le chapitre "Installation", vous trouverez des recommandations pour Apache, puis Nginx, puis quelques informations concernant SSL. | Ci-dessous, après le chapitre "Installation", vous trouverez des recommandations pour Apache, puis Nginx, puis quelques informations concernant SSL. | ||
| Ligne 82 : | Ligne 82 : | ||
</pre> | </pre> | ||
Puis tester la config nginx et | Puis tester la config nginx et la recharger si ok : | ||
{{Root|Text=nginx -t <br /> | {{Root|Text=nginx -t <br /> | ||
| Ligne 92 : | Ligne 92 : | ||
cd /opt && git clone https://github.com/letsencrypt/letsencrypt}} | cd /opt && git clone https://github.com/letsencrypt/letsencrypt}} | ||
Les autres dépendances de letsencrypt seront | Les autres dépendances de letsencrypt seront installées à la génération de votre premier certificat | ||
===Premier lancement et création du premier certificat:=== | ===Premier lancement et création du premier certificat:=== | ||
| Ligne 102 : | Ligne 102 : | ||
{{Root|Text=cd /opt/letsencrypt/ && ./letsencrypt-auto --agree-tos --renew-by-default --standalone --standalone-supported-challenges http-01 --http-01-port 9999 --server https://acme-v01.api.letsencrypt.org/directory certonly -d domaine.tld}} | {{Root|Text=cd /opt/letsencrypt/ && ./letsencrypt-auto --agree-tos --renew-by-default --standalone --standalone-supported-challenges http-01 --http-01-port 9999 --server https://acme-v01.api.letsencrypt.org/directory certonly -d domaine.tld}} | ||
Il installera automatiquement les | Il installera automatiquement les dépendances manquantes : | ||
<pre> | <pre> | ||
| Ligne 217 : | Ligne 217 : | ||
'''Un peu d'explication ne fera pas de mal, non ?!''' | '''Un peu d'explication ne fera pas de mal, non ?!''' | ||
La première déclaration 'add_header' est | La première déclaration 'add_header' est liée à l'information HTTP STS qui demande au navigateur web de communiquer uniquement sur le protocole HTTPS, durant la période déclarée. La valeur '31536000' correspond à une année ... ''valeur qui peut, bien-sûr, être changée !'' | ||
Les trois autres premières déclarations sont liées aux certificats SSL créés ... | Les trois autres premières déclarations sont liées aux certificats SSL créés ... | ||
'''ssl_dhparam''': Si vous avez | '''ssl_dhparam''': Si vous avez créé votre clé Diffie Hellman, c'est là qu'il faut lui indiquer où elle se trouve ... | ||
Sinon, un petit code shell, tel que, devrait vous servir : | Sinon, un petit code shell, tel que, devrait vous servir : | ||
| Ligne 231 : | Ligne 231 : | ||
'''ssl_protocols''': On bannit tous les anciens modes SSL, pour n'utiliser QUE les modes TLS. '''C'est un impératif de sécurité !''' | '''ssl_protocols''': On bannit tous les anciens modes SSL, pour n'utiliser QUE les modes TLS. '''C'est un impératif de sécurité !''' | ||
'''ssl_ciphers''': choisissez en | '''ssl_ciphers''': choisissez en décommentant l'un des modes en question ... | ||
* le mode Intermediate est à utiliser si vous voulez que d'anciens navigateurs web puissent accéder à votre site en HTTPS. | * le mode "Intermediate" est à utiliser si vous voulez que d'anciens navigateurs web puissent accéder à votre site en HTTPS. | ||
* le mode Modern est à utiliser rien que pour les versions récentes de navigateurs web ... | * le mode "Modern" est à utiliser rien que pour les versions récentes de navigateurs web ... | ||
* le mode "secure" refuse ABSOLUMENT certains chiffrements ... | * le mode "secure" refuse ABSOLUMENT certains chiffrements ... | ||
* le mode le plus sécurisé est à ce jour : 'ECDHE:!aNULL:!eNULL:!NULL:!DES:!3DES:!DSS:!EXPORT:!LOW:!MEDIUM:!PSK:!RC4:!SHA' qui n'utilise que les chiffrements ECDHE ! | * le mode le plus sécurisé est à ce jour : 'ECDHE:!aNULL:!eNULL:!NULL:!DES:!3DES:!DSS:!EXPORT:!LOW:!MEDIUM:!PSK:!RC4:!SHA' qui n'utilise que les chiffrements ECDHE ! | ||
| Ligne 241 : | Ligne 241 : | ||
{{Root|Text=openssl rand 48 > /repertoire_ou_vous_voulez/ticket.key; chmod 0400 /repertoire_ou_vous_voulez/ticket.key}} | {{Root|Text=openssl rand 48 > /repertoire_ou_vous_voulez/ticket.key; chmod 0400 /repertoire_ou_vous_voulez/ticket.key}} | ||
ssl_stapling et ssl_stapling_verify sont liés au mode OCSP stapling est un mode particulier qui oblige vos clients navigateurs web à faire la vérification relative à la validité de votre certificat SSL/TLS à partir de votre serveur web. C'est votre serveur web qui interroge le serveur OCSP, | '''ssl_stapling''' et '''ssl_stapling_verify''' sont liés au mode OCSP stapling est un mode particulier qui oblige vos clients navigateurs web à faire la vérification relative à la validité de votre certificat SSL/TLS à partir de votre serveur web. C'est votre serveur web qui interroge le serveur OCSP, mets en cache l'information, et la restitue à vos clients ... à utiliser, de forte préférence ... | ||
'''resolver''': ce sont les serveurs DNS à interroger ! | '''resolver''': ce sont les serveurs DNS à interroger ! | ||
| Ligne 251 : | Ligne 251 : | ||
===Renouvellement=== | ===Renouvellement=== | ||
Comme précisé dans le message de félicitation, votre certificat n'est valide que pour 3 mois... Il faut donc tout de suite se couvrir et prévoir le renouvellement. | Comme précisé dans le message de félicitation, votre certificat n'est valide que pour 3 mois... Il faut donc tout de suite se couvrir et prévoir le renouvellement.<br /> | ||
La solution que j'ai choisi: crontab. | La solution que j'ai choisi: crontab. | ||
| Ligne 259 : | Ligne 259 : | ||
<pre> | <pre> | ||
Afin de ne pas casser vos configuration à chaque renouvellement, je vous conseille de mettre des liens symbolique de vos certificats vers les certificates qui se trouvent dans /etc/letsencrypt/live. | Afin de ne pas casser vos configuration à chaque renouvellement, je vous conseille de mettre des liens symbolique de vos certificats vers les certificates qui se trouvent dans /etc/letsencrypt/live.<br /> | ||
Pour un serveur apache2 par exemple: | Pour un serveur apache2 par exemple: | ||