Let's Encrypt est une autorité de certification créée par l'Internet Security Research Group (ISRG). Il fournit des certificats SSL gratuits via un processus entièrement automatisé conçu pour éliminer la création, la validation, l'installation et le renouvellement manuels des certificats.
Les certificats émis par Let's Encrypt sont aujourd'hui approuvés par tous les principaux navigateurs.
Dans ce didacticiel, nous vous fournirons des instructions étape par étape sur la façon de sécuriser votre Apache avec Let's Encrypt à l'aide de l'outil certbot sur Ubuntu 18.04.
Prérequis #
Assurez-vous que vous avez satisfait aux prérequis suivants avant de poursuivre ce didacticiel :
- Nom de domaine pointant vers l'adresse IP de votre serveur public. Nous utiliserons
example.com
. - Apache est installé avec un hôte virtuel apache pour votre domaine.
Installer Certbot #
Certbot est un outil complet et facile à utiliser qui peut automatiser les tâches d'obtention et de renouvellement des certificats SSL Let's Encrypt et de configuration des serveurs Web. Le package certbot est inclus dans les référentiels Ubuntu par défaut.
Mettez à jour la liste des packages et installez le package certbot :
sudo apt update
sudo apt install certbot
Générer le numéro de groupe Strong Dh (Diffie-Hellman)
L'échange de clés Diffie-Hellman (DH) est une méthode d'échange sécurisé de clés cryptographiques sur un canal de communication non sécurisé. Nous allons générer un nouveau jeu de paramètres DH 2048 bits pour renforcer la sécurité :
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
Si vous le souhaitez, vous pouvez modifier la taille jusqu'à 4096 bits, mais dans ce cas, la génération peut prendre plus de 30 minutes en fonction de l'entropie du système. Obtention d'un certificat SSL Let's Encrypt #
Pour obtenir un certificat SSL pour le domaine, nous allons utiliser le plugin Webroot qui fonctionne en créant un fichier temporaire pour valider le domaine demandé dans le ${webroot-path}/.well-known/acme-challenge
annuaire. Le serveur Let's Encrypt envoie des requêtes HTTP au fichier temporaire pour valider que le domaine demandé correspond au serveur sur lequel le certbot s'exécute.
Pour simplifier, nous allons mapper toutes les requêtes HTTP pour .well-known/acme-challenge
dans un seul répertoire, /var/lib/letsencrypt
.
Les commandes suivantes créeront le répertoire et le rendront accessible en écriture pour le serveur Apache.
sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp www-data /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt
Pour éviter la duplication de code, créez les deux extraits de configuration suivants :
/etc/apache2/conf-available/letsencrypt.confAlias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
AllowOverride None
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Require method GET POST OPTIONS
</Directory>
/etc/apache2/conf-available/ssl-params.confSSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off
SSLSessionTickets off
SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
L'extrait ci-dessus utilise les chippers recommandés par Mozilla, active l'agrafage OCSP, HTTP Strict Transport Security (HSTS) et applique quelques en-têtes HTTP axés sur la sécurité.
Avant d'activer les fichiers de configuration, assurez-vous que mod_ssl
et mod_headers
sont activés en émettant :
sudo a2enmod ssl
sudo a2enmod headers
Ensuite, activez les fichiers de configuration SSL en exécutant les commandes suivantes :
sudo a2enconf letsencrypt
sudo a2enconf ssl-params
Activez le module HTTP/2, qui rendra vos sites plus rapides et plus robustes :
sudo a2enmod http2
Rechargez la configuration Apache pour que les modifications prennent effet :
sudo systemctl reload apache2
Maintenant, nous pouvons exécuter l'outil Certbot avec le plugin webroot et obtenir les fichiers de certificat SSL en tapant :
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com
Si le certificat SSL est obtenu avec succès, certbot imprimera le message suivant :
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2018-10-28. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Maintenant que vous disposez des fichiers de certificat, modifiez la configuration de l'hôte virtuel de votre domaine comme suit :
/etc/apache2/sites-available/example.com.conf<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com
Redirect permanent / https://example.com/
</VirtualHost>
<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com
Protocols h2 http/1.1
<If "%{HTTP_HOST} == 'www.example.com'">
Redirect permanent / https://example.com/
</If>
DocumentRoot /var/www/example.com/public_html
ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined
SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
# Other Apache Configuration
</VirtualHost>
Avec la configuration ci-dessus, nous forçons HTTPS et la redirection de www vers une version non www. N'hésitez pas à ajuster la configuration selon vos besoins.
Rechargez le service Apache pour que les modifications prennent effet :
sudo systemctl reload apache2
Vous pouvez maintenant ouvrir votre site Web en utilisant https://
, et vous remarquerez une icône de cadenas vert.
Si vous testez votre domaine à l'aide du test de serveur SSL Labs, vous obtiendrez une note A+, comme indiqué ci-dessous :
Certificat SSL à renouvellement automatique #
Les certificats de Let’s Encrypt sont valides pendant 90 jours. Pour renouveler automatiquement les certificats avant leur expiration, le package certbot crée une tâche cron qui s'exécute deux fois par jour et renouvelle automatiquement tout certificat 30 jours avant son expiration.
Une fois le certificat renouvelé, nous devons également recharger le service Apache. Ajouter --renew-hook "systemctl reload apache2"
au /etc/cron.d/certbot
fichier de sorte qu'il ressemble à ce qui suit :
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"
Pour tester le processus de renouvellement, vous pouvez utiliser le certbot --dry-run
commutateur :
sudo certbot renew --dry-run
S'il n'y a pas d'erreurs, cela signifie que le processus de renouvellement a réussi.