1 - Ajouter le dépôt :
Ajouter la ligne suivante dans le fichier /etc/apt/sources.list :
deb http://ftp.debian.org/debian jessie-backports main
2 - Installer le paquet :
apt-get update
apt-get -t jessie-backports install certbot
3 - Stopper le serveur web :
systemctl stop apache2.service
ou
systemctl stop nginx.service
3 - Créer le certificat :
certbot certonly --standalone -d sub.domaine.com
L’option « standalone » permet la certification pour un serveur seul.
L’option « -d » indique les domaines à certifier. Il est possible de certifier plusieurs domaines en même temps en ajoutant autant de « -d », sous réserve que ces domaines soient situés sur la machine depuis laquelle
certbot
est lancé.
Lorsque la certification est terminée, les fichiers de certifications se trouvent dans le dossier
/etc/letsencrypt/live/sub.domaine.com
.
4 - Configurer Apache :
Éditer le fichier
/etc/apache2/sites-enabled/000-default.conf
comme suit : (ou autre fichier de conf si le cas se présente)
ServerName sub.domaine.com
ServerAdmin webmaster@localhost
DocumentRoot /var/www/htmlSSLEngine on
SSLCertificateFile /etc/letsencrypt/live/sub.domaine.com /cert.pem
SSLCertificateChainFile /etc/letsencrypt/live/sub.domaine.com /fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/sub.domaine.com /privkey.pem
5 - Relancer le serveur web :
systemctl start apache2.service
ou
systemctl start nginx.service
6 - Renouvellement :
Puisque Let’sEncrypt génère des certificats d’une durée de validité de 90 jours, il peut être intéressant d’en automatiser le renouvellement.
Test :
Stopper le serveur web :
systemctl stop apache2.service
Tester le renouvellement :
certbot renew --dry-run
Si tout semble fonctionner correctement, on peut envisager un rebouvellement automatique en ajoutant un script crontab tous les 88 jours par exemple comprenant les commandes suivantes :
systemctl stop apache2.service
certbot renew
systemctl start apache2.service