FAQ - Lets Encrypt

Ces tutoriels expliquent comment installer le certificat SSL de Letsencrypt sur différentes plate-formes informatiques.
Let's Encrypt est une autorité de certification à but non lucratif ayant pour objectif de fournir des certificats SSL / TLS gratuits à tous les sites Web sur Internet. Let’s Encrypt fournit un certificat de confiance via un processus automatisé sans aucun coût.

Creation d'un certificat avec Letsencrypt

Ce tutoriel explique comment installer le certificat SSL de Letsencrypt pour le serveur Web Apache sur Ubuntu 18.04.

Prérequis et exigences

Pour installer le certificat letsencrypt, vous devez avoir un accès shell au serveur avec des privilèges d'administrateur.
Le serveur Web Apache est probablement installé et en cours d’exécution.
Nous supposons également que vous avez déjà un hôte virtuel configuré pour la version HTTP (non sécurisée) de votre site Web avec des paramètres de base:

Code TEXT :

<VirtualHost *:80>
    ServerName www.example.com
    ServerAlias example.com
    DocumentRoot /var/www/example.com
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

DNS...

Les enregistrements DNS doivent être pré-existants pour prouver la propriété du nom de domaine. Votre site Web doit indiquer l'adresse IP de votre serveur Ubuntu 18.04.
Si vous ne pouvez pas diriger votre site Web vers le serveur avant d'installer le certificat, vous pouvez utiliser la méthode de validation DNS-01 pour prouver la propriété du nom de domaine.

Comment faire...

La procédure d’installation du certificat Let’s Encrypt pour Apache sur Ubuntu 18.04 est la suivante:
Installez le client Certbot ACME.
Installez le certificat SSL / TLS.
Vérifiez le fichier VirtualHost.
Automatiser le processus de renouvellement.
Exécutez les commandes suivantes pour installer Certbot sur Ubuntu 18.04:

Code TEXT :

sudo apt-get update
sudo apt-get install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install python-certbot-apache
sudo apt-get install certbot

Avec Certbot en place, nous installerons un certificat pour notre nom de domaine (modifiez le nom de domaine comme il convient dans la commande):

Code TEXT :

certbot --apache -d example.com -d www.example.com

Lorsque nous exécutons la commande certbot pour la première fois, nous devons fournir une adresse électronique valide pour la correspondance concernant nos certificats. Ensuite, vous devez accepter les conditions d'utilisation (appuyez sur la touche A du clavier et appuyez sur Entrée pour accepter les conditions d'utilisation):

Code TEXT :

(A)gree/(C)ancel: A

Enfin, il vous sera demandé de choisir de rediriger ou non le trafic HTTP vers HTTPS.
Vous ne devez pas rediriger le trafic HTTP vers HTTPS à ce stade .
Donc, répondez avec 1 pour aucune redirection.

Code TEXT :

Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 1

C'est tout ce que nous avons besoin de faire!
La commande certbot crée également un nouveau fichier de configuration d'hôte virtuel pour notre site Web SSL dans le répertoire /etc/apache2/sites-available (par exemple, example.com-le-ssl.conf):

Code TEXT :

<IfModule mod_ssl.c>
    <VirtualHost *:443>
    ServerName www.example.com
    ServerAlias example.com
    DocumentRoot /var/www/example.com
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
    Include /etc/letsencrypt/options-ssl-apache.conf
    SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
    </VirtualHost>
</IfModule>

Le fichier de configuration est activé par défaut, vous devriez donc pouvoir accéder à votre site Web à l'aide du protocole https.

Automatiser le processus de renouvellement

Les certificats SSL Letsencrypt ne sont valides que pendant 90 jours. Ainsi, le certificat doit être renouvelé périodiquement. Vous pouvez exécuter la commande suivante pour renouveler tous les certificats sur votre serveur Ubuntu 18.04:

Code TEXT :

 sudo certbot renew

Le client certbot Ubuntu est livré avec un script cron (/etc/cron.d/certbot) qui renouvellera automatiquement vos certificats avant leur expiration:

Code TEXT :

# /etc/cron.d/certbot: crontab entries for the certbot package
#
# Upstream recommends attempting renewal twice a day
#
# Eventually, this will be an opportunity to validate certificates
# haven't been revoked, etc. Renewal will only occur if expiration
# is within 30 days.
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew

Ce travail cron exécutera la commande certbot renew toutes les 12 heures et renouvellera les certificats dont l'expiration approche.

Notez que votre certificat SSL, votre clé privée, vos identifiants de compte et tout le reste sont enregistrés dans votre répertoire de configuration de Certbot à l’adresse /etc/letsencrypt. Assurez-vous de conserver des sauvegardes régulières de ce dossier.

Quelques commandes Certbot

Lister les certificats actifs

Code TERMINAL :

certbot certificats

Utiiser Let's Encrypt avec Kerio Connect

Étant donné que Let’s Encrypt est probablement la meilleure chose qui soit arrivée à Internet au cours de la dernière décennie, je voulais utiliser les certificats avec une installation Kerio Connect chez un client.
La documentation du logiciel vous conseille de copier et coller les informations du certificat via leur interface Web d'administration.
Mais laisser les certificats SSL expirer tous les 90 jours pour les renouveler manuellement n'est tout simplement pas une option pour un administrateur système paresseux (lire: productif, intelligent...).
L'instance sur laquelle j'ai configuré cela fonctionne sur Ubuntu 18.04 et s'est déroulée sans problème jusqu'à présent. Voici comment procéder.
Ce tuto concerne uniquement les serveurs accessibles directement depuis l'internet sans passer par un serveur Proxy hébergé sur une autre machine.

Kerio Connect
Dans l'administration de Kerio Connect, modifier les ports des services HTTP et HTTPS sinon la configuration ne fonctionnera pas, car Certbot a besoin des ports 80 et 443 pour vérifier le domaine et obtenir le certificat. Si vous souhaitez renouveler automatiquement les certificats, cela est essentiel.

Port HTTP -> 8800
Si le port 80 est actif, supprimez-le
Post HTTPS -> 8843
Si le port 443 est actif, supprimez-le

Étant donné que nous ne voulons pas finir par faire les choses manuellement et pouvoir utiliser des ports Web standard, nous devons configurer un proxy inverse devant Kerio Connect. Il s'agit d'une pratique établie pour toutes sortes d'applications Web. Cela nous permet de laisser le processus de certificat s'exécuter sans interaction - avec l'avantage supplémentaire de pouvoir héberger d'autres services et sites Web sur le même serveur, si nous le souhaitons.

Installation de Nginx
En premier, nous avons besoin de créer un "site web". En fait c'est seulement un répertoire nécessaire à NGINX.

Code TERMINAL :

mkdir -p /var/www/mail
chown www-data:www-data /var/www/mail

Ensuite, nous installons nginx et le paquet ssl-cert, pour avoir un accès facile à un certificat SSL auto-signé.

Code TERMINAL :

apt-get install nginx ssl-cert

Installer aussi la routine certbot

Code TERMINAL :

apt-get install certbot

Créer un fichier "kerio-connect.conf"

Code TERMINAL :

nano /etc/nginx/sites-available/kerio-connect.conf

avec le contenu suivant :

Code TERMINAL :

server {
    listen      80;
    server_name mail.example.com;
    server_name_in_redirect off;
    rewrite     ^ https://$server_name$request_uri? permanent;
}
server {
    listen      443 ssl;
    server_name mail.example.com;
    ssl_certificate     /etc/ssl/certs/ssl-cert-snakeoil.pem;
    ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key;
    location /.well-known {
        alias /var/www/mail/.well-known;
    }
    location / {
        proxy_pass       https://localhost:8843;
        proxy_set_header Host                 $host;
        proxy_set_header X-Real-IP            $remote_addr;
        proxy_set_header X-Forwarded-For      $proxy_add_x_forwarded_for;
        proxy_set_header X-Remote-Port        $remote_port;
        proxy_set_header X-Forwarded-Proto    $scheme;
        proxy_redirect  off;
    }
}

N'oubliez pas de remplacer à la section "server_name" mail.exemple.com par le vrai nom DNS de votre serveur.
Créer le lien symbolique pour rendre votre site actif.

Code TERMINAL :

ln -s /etc/nginx/sites-available/kerio-connect.conf /etc/nginx/sites-enabled/kerio-connect.conf

Tester si la configuration est correcte.
Attention, ce test est juste une vérification de la syntaxe et ne vous informera pas d'une erreur du nom du serveur (server_name)

Code TERMINAL :

nginx -t

S'il n'y a pas d'erreur, redémarrez Nginx.

Code :


systemctl restart nginx.service

Installation de Certbot
Avant de commencer, il faut vous assurer que sur votre routeur les ports 80 et 443 sont bien redirigés vers la machine hébergeant Kerio Connect.

Code TERMINAL :

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

Exécutez-le une fois sans aucun paramètre pour intégrer les dépendances.

Code TERMINAL :

./certbot-auto

Création du Certificat
Ici, nous avons défini un site Web pour Certbot pour y placer les fichiers de test afin qu'il n'ait pas besoin d'accéder aux ports 80 et 443 de Kerio Connect, ce qui échouerait car ils sont maintenant utilisés par Nginx.

Code TERMINAL :

./certbot-auto certonly --webroot -w /var/www/mail -d mail.example.com

N'oubliez pas de remplacer mail.exemple.com par le vrai nom DNS de votre serveur

Si vous l'exécutez la première fois, vous devrez saisir votre adresse e-mail pour une utilisation d'urgence, comme la révocation d'un certificat. Cela a seulement besoin d'être fait une fois.
Bravo. Vous avez maintenant un certificat SSL valide sur votre serveur.

Utilisation réelle du certificat.
Modifiez le fichier kerio-connect.conf :

Code TERMINAL :

nano /etc/nginx/sites-available/kerio-connect.conf

et modifier les lignes, si nécessaire :

ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem;
ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key;

vers l'emplacement réels des nouveaux certificats

ssl_certificate /etc/letsencrypt/live/mail.example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/mail.example.com/privkey.pem;

N'oubliez pas de remplacer mail.exemple.com par le vrai nom DNS de votre serveur

Redémarez Nginx.

Activation du certificat dans Kerio-Connect.
Pour faciliter l'utilisation du certificat pour Kerio Connect, il suffit de lier le certificat créé et la clé au dossier approprié dans la hiérarchie Kerio Connect.
Pour cela, il suffit de créer 2 liens symboliques.

Code TERMINAL :

ln -s /etc/letsencrypt/live/mail.example.com/fullchain.pem /opt/kerio/mailserver/sslcert/mail.crt

Code TERMINAL :

ln -s /etc/letsencrypt/live/mail.example.com/privkey.pem /opt/kerio/mailserver/sslcert/mail.key

N'oubliez pas de remplacer mail.exemple.com par le vrai nom DNS de votre serveur
Depuis l'administration de Kerio Connect, redémarrez Kerio Connect

Ouvrez l'administration de Kerio Connect, sélectionnez Configuration > Certificats SSL et vérifiez que votre certificat apparait. Sélectionnez-le it et définissez-le comme actif.
Supprimez les autres certificats.

Renouvellement
Il faut juste exécuter :

Code TERMINAL :

./certbot-auto renew

Comme il faut automatiser le renouvellement du certificat, il faut un "cron job".
Dans ce "cron job" il faudra non seulement demander le renouvellement du certificat, mais aussi redémarrer nginx et Kerio-connect pour qu'il soit pris en compte.
Créer un script:

Code TERMINAL :

nano /root/certbot-post-hook.sh

avec le contenu suivant :

Code TERMINAL :

#!/bin/sh
systemctl restart nginx.service
systemctl restart kerio-connect.service

Faites-en un éxécutable et sécurisez-le :

Code TERMINAL :

chmod 500 /root/certbot-post-hook.sh
chown root:root /root/certbot-post-hook.sh

Creation du cron job :
Logiquement à l'installation de Certbot, la routine de renouvellement a été créée.
Vérification du fichier d'exécution :

Code TERMINAL :

nano /etc/cron.d/certbot

Vous devez trouver quelque chose comme ceci :

Code TERMINAL :

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root
0 3 * * * root perl -e 'sleep int(rand(3600))' && certbot-auto -q renew --post-hook "/root/certbot-post-hook.sh"

Ce script s'exécutera une fois par jour à 3 heures du matin en tant que root, sera suspendu durant un nombre aléatoire de minutes et exécutera Certbot.
Le paramètre --post-hook est exécuté uniquement lorsque le certificat aura été remplacé, redémarrant Nginx et Kerio Connect uniquement lorsque cela est nécessaire.
Le site Web Certbot recommande d'exécuter la commande de renouvellement deux fois par jour. Cependant, dans un contexte de production, il est souvent impossible de redémarrer un processus de serveur de messagerie aussi lourd que ce géant qu'est Kerio Connect pendant les heures de travail. Ajustez le moment au besoin. Plus de deux fois par jour est excessif et ne rendra pas le renouvellement de votre certificat plus fiable
C'est tout !

Conclusion
Si vous utilisez toujours un serveur de messagerie non sécurisé, il est temps de changer cela. Cela vous coûtera environ 30 minutes et vous n'aurez probablement plus jamais à vous en soucier.

Dépannage
Si vous avez une erreur 504 dans le webmail, éditer le fichier kerio-connect.conf

Code TERMINAL :

nano /etc/nginx/sites-available/kerio-connect.conf

et après la ligne "proxy_redirect off" insérez le contenu suivant :

Code :


proxy_connect_timeout  600;
proxy_send_timeout    600;
proxy_read_timeout    600;
send_timeout      600;

Source : irulan.net