SSL Let's Encrypt : Installation et configuration sur Debian 11

Let's Encrypt est une autorité de certification lancée le 3 décembre 2015, elle permet d'obtenir gratuitement un certificat SSL pour un ou plusieurs domaines.

Pour generer un certificat, le demandeur doit prouver qu'il est le proprietaire du domaine. Plusieurs methodes sont utilisés, mais dans cet article nous aborderons la mise en place de deux methodes de challenge : Challenge HTTP-01 et Challenge DNS-01.

Pour faciliter l'integration des methodes de challenge plusieurs application sont disponible donc voici quelques une :

• acmetool
• certbot
• lego
• gethttpsforfree

Utilisation de cerbot sur un domaine ou sous domaine

Installation 

sudo apt  install certbot python3-certbot-apache

Apres installation on fait un test sur un domaine :

sudo certbot certonly --apache -d nicamex-exhibition.com -d www.nicamex-exhibition.com --dry-run

L'option --dry-run permet une simulation, afin de se rassurer que cela fonctionne.

L'option -d pour specifier un nom de domaine ou sous domaine.

Le resultat devrait être similaire à :

...

IMPORTANT NOTES:
 - The dry run was successful.

à partir de la vous pouvez essayer de demander la generation de votre certificat :

sudo certbot certonly --apache -d nicamex-exhibition.com -d www.nicamex-exhibition.com

Resultat :

...

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/nicamex-exhibition.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/nicamex-exhibition.com/privkey.pem
   Your certificate will expire on 2023-05-06. To obtain a new or
   tweaked version of this certificate in the future, simply run
   certbot again. To non-interactively renew *all* of your
   certificates, run "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Votre certificat est generé il ne reste plus qu'à mettre à jour votre fichier VirtualHost.

<VirtualHost *:80>
        ServerAdmin kksasteph888@gmail.com
        ServerName      nicamex-exhibition.com
        ServerAlias     www.nicamex-exhibition.com
        DocumentRoot /var/www/nicamex_expo/public/web
        <Directory /var/www/nicamex_expo/public/web>
                Options Indexes FollowSymLinks
                AllowOverride All
                Order Deny,Allow
                Allow from all
        </Directory>
        ErrorLog /var/www/nicamex_expo/logs/error.log
        CustomLog /var/www/nicamex_expo/logs/access.log  combined
      
      #redirect to https
      RewriteEngine On
      RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]
</VirtualHost>
<VirtualHost *:443>
        ServerAdmin kksasteph888@gmail.com
        ServerName nicamex-exhibition.com
        ServerAlias     www.nicamex-exhibition.com
        DocumentRoot /var/www/nicamex_expo/public/web
        <Directory /var/www/nicamex_expo/public/web>
                Options Indexes FollowSymLinks
                AllowOverride All
                Order Deny,Allow
                Allow from all
        </Directory>
        ErrorLog /var/www/nicamex_expo/logs/error.log
        CustomLog /var/www/nicamex_expo/logs/access.log combined
#SSL conf.
SSLCertificateFile /etc/letsencrypt/live/nicamex-exhibition.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/nicamex-exhibition.com/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>

Svp, adapter les données en fonction de votre environnement.

Les données au niveau de #SSL conf sont fournis lors de la creation en dessous de "IMPORTANT NOTES".
 

Generation des certificats pour tous les sous-domaines :