© Tito
Test de Let's Encrypt sur apache / centos 7
Certificat ssl gratuit et perpétuel ? cette fois le produit semble mûr et stable ...
Test avec le client Certbot sur apache + centos 7 :
# install de certbot (centos 7)
yum -y update
yum install epel-release
yum install python-certbot-apache
# forge du certificat
- ouvrir port 443 sur le firewall (à minima pour outbound1.letsencrypt.org )
- vérifier les ServerName et Alias déclarés dans la config apache /etc/httpd : conf/httpd.conf et conf.d/ssl.conf (ils seront proposés par certbot)
certbot --apache certonly
(cf /etc/letsencrypt/ )
# apache plug conf.d/ssl.conf :
- il est recommandé de vérifier la config ssl sur
https://mozilla.github.io/server-side-tls/ssl-config-generator/
- pour attacher le cert :
SSLCertificateFile /etc/letsencrypt/live/XXXX/cert.pem
SSLCACertificateFile /etc/letsencrypt/live/XXXX/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/XXXX/privkey.pem
httpd -tS && service httpd restart
- test Qualys SSL (objectif A+ ) :
https://www.ssllabs.com/ssltest/analyze.html?d=XXXX
# renew (il est valide 90 jours) :
- renew manuel (batch) :
certbot renew
- test renew :
certbot renew --dry-run
- cron renew (1x par mois en mode force renew, ce qui évite le rate limit ) :
0 10 1 * * /usr/bin/certbot renew --force-renew --quiet
PS : il lance tout seul la cmd : apachectl graceful
# références :
https://certbot.eff.org/#centosrhel7-apache
https://certbot.eff.org/docs/using.html#renewal
https://letsencrypt.org/getting-started/
https://letsencrypt.org/docs/rate-limits/
Test réalisé dans le cadre d'un partenariat Zaclys - IFPO
2 082 clics - Créé le 01/08/2016 par Tito - Modifié le 03/08/2016