# Installation
* Installation d'un script d'automatisation
``
apt-get update
apt-get install git
git clone https://github.com/letsencrypt/letsencrypt /srv/letsencrypt --depth=1
``
* En cas de mise à jour
cd /srv/letsencrypt
git pull
## Utilisation avec nginx
* Il faut préparer la demande de création de certificat en ajoutant ces directives au vhost:
server {
# .well-known doit rester accessible
location ~ /\.well-known/acme-challenge {
allow all;
}
# On interdit habituellement l'accès au dotfiles
location ~ /\. { deny all; access_log off; log_not_found off; }
}
* Ensuite peut effectuer la demande de certification:
/srv/letsencrypt/letsencrypt-auto certonly --rsa-key-size 4096 --webroot --webroot-path /var/www/mondomaine.fr -d mondomaine.fr
Le certificat est généré dans ce répertoire /etc/letsencrypt/live/
* Nous allons maintenant modifier la configuration du vhost pour utiliser le certificat:
* Il faut créer le ticket pour les tickets et le Diffie-Helman (ça va être très long en 4096).
mkdir -p /etc/nginx/ssl
openssl rand 48 -out /etc/nginx/ssl/ticket.key
openssl dhparam -out /etc/nginx/ssl/dhparam4.pem 4096
* Si on veut rediriger le http ver le https:
server {
listen 80;
listen [::]:80;
server_name mondomaine.fr;
location ~ /\.well-known/acme-challenge {
allow all;
}
location / {
return 301 https://mondomaine.fr$request_uri;
}
}
* Et maintenant la partie https:
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name
Le certificat est généré dans ce répertoire mondomaine.fr;
root /var/www/mondomaine.fr;
index index.html index.htm;
error_log /var/log/nginx/mondomaine.fr.log notice;
access_log off;
#### Locations
# On cache les fichiers statiques
location ~* \.(html|css|js|png|jpg|jpeg|gif|ico|svg|eot|woff|ttf)$ { expires max; }
# On interdit les dotfiles
location ~ /\. { deny all; }
#### SSL
ssl on;
ssl_certificate /etc/letsencrypt/live/mondomaine.fr/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/mondomaine.fr/privkey.pem;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/mondomaine.fr/fullchain.pem;
# Google DNS, Open DNS, Dyn DNS
resolver 8.8.8.8 8.8.4.4 208.67.222.222 208.67.220.220 216.146.35.35 216.146.36.36 valid=300s;
resolver_timeout 3s;
#### Session Tickets
# Session Cache doit avoir la même valeur sur tous les blocs "server".
ssl_session_cache shared:SSL:100m;
ssl_session_timeout 24h;
ssl_session_tickets on;
ssl_session_ticket_key /etc/nginx/ssl/ticket.key;
# [ATTENTION] Les paramètres Diffie-Helman doivent être générés
ssl_dhparam /etc/nginx/ssl/dhparam4.pem;
#### ECDH Curve
ssl_ecdh_curve secp384r1;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK';
}
## Renouvellement
Pour le renouvellement c'est très simple, la commande suivante renouvellera automatique tous les certificats le nécessitant:
/srv/letsencrypt/letsencrypt-auto renew
# Avec Certbot
certbot certonly --webroot --webroot-path DOCROOT -d DOMAINE.TLD
# Bibliographie
Un grand merci à grafikart.fr pour son tuto clair !
https://www.grafikart.fr/formations/serveur-linux/nginx-ssl-letsencrypt