51 lines
1.4 KiB
Markdown
51 lines
1.4 KiB
Markdown
# SSL
|
|
|
|
## LetsEncrypt
|
|
|
|
⚠️ l'accès à l'api Let's Encrypt étant limité en nombre de requète, on se contentera de générer des certificats de test.
|
|
|
|
### Prérequis
|
|
|
|
La configuration dns doit permettre de résoure le nom de notre serveur ( liaX.formation.opendoor.fr )
|
|
|
|
### Installation du client
|
|
|
|
Installer le paquet _certbot_ (depuis les dépôts EPEL).
|
|
|
|
### Procéder à la demande de certificat
|
|
|
|
```bash
|
|
certbot certonly --test-cert --webroot --webroot-path /var/www/html -d lia1.formation.opendoor.fr
|
|
```
|
|
|
|
### Vérifier
|
|
|
|
```bash
|
|
certbot certificates
|
|
...
|
|
ls -l /etc/letsencrypt/live/
|
|
```
|
|
|
|
### Utiliser les certificats
|
|
|
|
Utiliser les directives apache SSLCertificateFile et SSLCertificateKeyFile
|
|
|
|
### Vérifier
|
|
|
|
En allant sur https://liaX.formation.opendoor.fr/ on doit obtenir malgré tout un avertissement de sécurité.
|
|
|
|
Cependant en examinant le certificat, on constate qu'il provient de l'organisation _(STAGING) Let's Encrypt_
|
|
|
|
|
|
### Configurer le renouvellement automatique du certificat
|
|
|
|
Créer une tâche planifiée permettant d'éxécuter une fois par semaine la commande _certbot renew_ en root
|
|
|
|
Créer le script /etc/letsencrypt/renewal-hooks/post/apache.sh avec le contenu suivant:
|
|
```bash
|
|
#! /bin/bash
|
|
/bin/systemctl reload httpd
|
|
```
|
|
|
|
Le rendre exécutable. Il sera lancé à chanque renouvellement de certificat, permettant une prise en compte immédiate par apache du nouveau certificat.
|