Il existe des méthodes populaires de génération de certificats SSL et TLS sous Linux. L'une des méthodes les plus populaires d'émission de certificats SSL est Let's encrypt, une autorité de certification qui propose des certificats SSL gratuits. Il existe un moyen encore plus simple d'émettre le certificat qui ne nécessite aucune dépendance ni exigence. Le script acme.sh écrit en Shell facilite la génération et l'installation de certificats SSL dans les systèmes Linux. Dans cet article, nous apprendrons comment installer le script acme.sh dans le système Linux et comment l'utiliser pour générer et installer des certificats SSL.
Installation acme.sh
L'installation d'acme.sh est un processus simple et direct. Suivez les étapes ci-dessous pour installer l'application.
Méthode 1 :Utilisation de la commande curl
$ curl https://get.acme.sh | sh
Méthode 2 :Utilisation du référentiel git
$ git clone https://github.com/acmesh-official/acme.sh.git $ cd ./acme.sh $ ./acme.sh --install
Une fois l'installation terminée, exécutez la commande suivante pour vérifier.
$ acme.sh --version
Sortie :
Générer un certificat SSL
La génération de certificats SSL à l'aide d'acme.sh est un processus très simple. Suivez les étapes ci-dessous pour générer le certificat.
Générez un certificat pour un seul domaine en utilisant le mode webroot.
$ acme.sh --issue -d vitux.com -w /home/wwwroot/vitux.com
Générer un certificat pour plusieurs domaines dans le même certificat
$ acme.sh --issue -d vitux.com -d www.vitux.com -d example.vitux.com -w /home/wwwroot/vitux.com
Où,
/home/wwwroot/vitux.com est le dossier racine Web où le fichier du site Web est hébergé. N'oubliez pas de donner un accès en écriture au dossier webroot.
vitux.com est le nom de domaine que j'ai utilisé pour générer des certificats SSL. Vous pouvez sélectionner votre nom de domaine en conséquence.
Tous les noms de domaine doivent pointer vers le même répertoire webroot.
Le certificat SSL généré sera situé dans le répertoire ~/.acme.sh/
Où nom-domaine est le répertoire créé avec votre domaine fourni lors de la génération du certificat.
Émettre un certificat à l'aide du serveur autonome
Utilisez la commande suivante pour générer un certificat SSL à l'aide du serveur autonome.
Pour un seul domaine
$ acme.sh --issue --standalone -d vitux.com
Pour plusieurs domaines
$ acme.sh --issue --standalone -d vitux.com -d www.vitux.com -d example.vitux.com
L'autorisation de l'utilisateur Sudo ou root est nécessaire pour écouter sur le port TCP 80. Le port 80 doit être libre pour écouter sur le serveur.
Générer un certificat SSL à l'aide d'un serveur SSL autonome
Utilisez la commande suivante pour générer un certificat SSL à l'aide d'un serveur SSL autonome. Dans cet exemple, j'ai utilisé le domaine linuxways.com pour la démonstration. Tenez compte de votre propre nom de domaine lors de la génération du certificat.
$ acme.sh --issue --alpn -d vitux.com -d www.vitux.com -d example.vitux.com
L'autorisation de l'utilisateur Sudo ou root est nécessaire pour écouter sur le port TCP 443. N'oubliez pas non plus de libérer le port 443 pour qu'il soit écouté, sinon des invites apparaîtront pour le libérer.
Utiliser le mode apache pour générer des certificats
Le mode Webroot est recommandé pour générer un certificat SSL pour l'exécution d'un serveur Web. Si Apache est utilisé comme serveur Web, le mode Apache peut être utilisé pour émettre le certificat. Ce mode n'écrit aucun fichier dans le répertoire webroot.
Ce mode doit interagir avec le serveur Web Apache, vous devez donc disposer du privilège root/sudo.
$ acme.sh --issue --apache -d vitux.com www.vitux.com
La commande ci-dessus générera uniquement le fichier de certificat. Vous devez pointer le répertoire du fichier de certificat dans le fichier de configuration apache pour installer le certificat.
Utiliser le mode nginx pour émettre le certificat
En particulier, si vous utilisez nginx en tant que serveur Web, le mode nginx peut être utilisé à la place du mode webroot. Tout ce dont vous avez besoin est le privilège root/sudo car cela interagit avec le serveur Web nginx. Ce mode n'écrira aucun fichier dans le répertoire webroot.
$ acme.sh --issue --nginx -d vitux.com www.vitux.com
La commande ci-dessus générera uniquement le certificat. Vous devez pointer le répertoire du fichier de certificat dans le fichier de configuration nginx à installer.
Émettre un certificat pour le domaine générique
La génération de certificats pour les domaines génériques est simple. À la place du paramètre -d, utilisez le domaine générique comme :
$ acme.sh --issue -d vitux.com -d *.vitux.com --dns dns_cf
Le paramètre –dns spécifie quel hébergeur DNS vous utilisez, dns_cf signifie cloudflare.
Renouveler le certificat SSL Let's Encrypt avec acme.sh
Lors de l'installation d'acme.sh, il crée une tâche cron pour renouveler le certificat SSL tous les 60 jours. Vous n'avez donc pas besoin de renouveler le certificat manuellement. Cependant, vous pouvez renouveler le certificat avec forcer comme :
$ acme.sh --renew -d vitux.com --force
Pour trouver la tâche cron, exécutez la commande suivante.
$ crontab -l
Répertoire des fichiers journaux
Le fichier journal d'acme.sh se trouve dans le répertoire ~/.acme.sh. La génération de fichier journal n'est pas activée par défaut. Effectuez les modifications suivantes dans le fichier account.conf.
$ cd ~/.acme.sh $ vi account.conf
Utilisez maintenant la commande suivante pour trouver le fichier journal généré.
$ cd ~/.acme.sh $ tail -f acme.sh.log
Conclusion
Dans cet article, nous avons appris à installer le script acme.sh pour générer des certificats SSL dans les systèmes Linux. Je vous ai montré comment générer des certificats SSL pour plusieurs domaines à la fois et comment renouveler les certificats SSL.