Browse Source

Mise à jour de la doc LetsEncrypt pour Nginx

master
Patrick Marchand 3 months ago
parent
commit
e8d97fc12a
2 changed files with 11 additions and 20 deletions
  1. +10
    -19
      HowtoLetsEncrypt.md
  2. +1
    -1
      HowtoNginx.md

+ 10
- 19
HowtoLetsEncrypt.md View File

@@ -73,6 +73,9 @@ Alias /.well-known/acme-challenge /var/lib/letsencrypt/.well-known/acme-challeng

#### Nginx

Préférez importer le snippet /etc/nginx/snippets/letsencrypt.conf,
mais si une configuration manuelle est nécessaire:

Configuration Jessie :

~~~
@@ -96,36 +99,24 @@ location ~ /.well-known/acme-challenge {

## Génération du certificat

Générér une clé privée (www.example.com.key) et sa demande de certificat associé (www.example.com.csr) (voir [HowtoSSL]()) :

~~~
# openssl req -newkey rsa:2048 -sha256 -nodes -keyout /etc/ssl/private/www.example.com.key -out /etc/letsencrypt/www.example.com.csr
# chown acme:acme /etc/letsencrypt/www.example.com.csr
~~~

Faire la première demande de certificat avec l'utilisateur _acme_ :
Générer une clé privée (www.example.com.key) et sa demande de certificat associé (www.example.com.csr) (voir [HowtoSSL]()) :

~~~
$ certbot certonly --webroot --csr /etc/letsencrypt/www.example.com/www.example.com.csr --webroot-path /var/lib/letsencrypt \
--cert-path /etc/letsencrypt/www.example.com.crt --non-interactive --agree-tos --register-unsafely-without-email
$ certbot certonly -d example.com,www.example.com --cert-name example.com --webroot --webroot-path /var/lib/letsencrypt/
~~~

Votre certificat est maintenant présent dans `/etc/letsencrypt/www.example.com.crt`.
## Renouvellement du certificat

> *Note* : l'utilisateur _acme_ n'a pas accès aux clés privées :
Les certificats Let's Encrypt sont valables 90 jours. Un timer systemd roule automatiquement à chaque jour pour revalider le certificat. Il est possible d'utiliser --deploy-hook pour faire des actions après un renouvellement. Utiliser systemd edit certbot pour modifier l'invocation par défaut. Par example, pour NGINX, nous modifions

~~~
$ cat /etc/ssl/private/www.example.com.key
cat: /etc/ssl/private/www.example.com.key: Permission non accordée
ExecStart=/usr/bin/certbot -q renew
~~~

## Renouvellement du certificat

Les certificats Let's Encrypt sont valables 90 jours. Avant la date d'expiration, il faudra relancer avec l'utilisateur _acme_ :
Avec:

~~~
$ certbot certonly --webroot --csr /etc/letsencrypt/www.example.com/www.example.com.csr --webroot-path /var/lib/letsencrypt \
--cert-path /etc/letsencrypt/www.example.com.crt --non-interactive
ExecStart=/usr/bin/certbot -q renew --deploy-hook systemctl reload nginx
~~~

## Suppression d'un certificat


+ 1
- 1
HowtoNginx.md View File

@@ -578,7 +578,7 @@ Attention, `ssl_certificate` doit contenir toute la chaîne de certification, do
# cat sub.class1.server.sha2.ca.pem >> /etc/ssl/certs/ssl.example.com.crt
~~~

Pour une configuration plus avancée, voir [HowtoSSL](HowtoSSL#configuration-nginx)
Pour une configuration plus avancée, voir [HowtoSSL](HowtoSSL#configuration-nginx) ou [HowtoLetsEncrypt](HowtoLetsEncrypt#nginx)


## HTTP/2


Loading…
Cancel
Save