HTTPS avec Let’s Encrypt sur un VPS OVH

Ronan Barbot
Oct 2, 2018 · 4 min read

Chez Slickteam, notre plateforme fonctionne sur un serveur privé virtuel (VPS) hébergé chez OVH. Pour les sites et applications web hébergés dessus nous avons mis en place du HTTPS afin de sécuriser les échanges HTTP. Nous avons choisi Let’s Encrypt (LE) comme autorité de certification.


Let’s Encrypt est une autorité de certification née en 2014 à partir de la combinaison d’un projet de l’Electronic Frontier Foundation (EFF) et du MIT, et d’un projet de Mozilla. La validation du certificat par l’autorité se fait grâce au protocole ACME, et la version 2 du protocole est sortie en début d’année. Celle-ci permet notamment de valider des certificats wildcard (*.domain.tld).

Il existe plusieurs clients pour LE, mais tous ne supportent pas ACMEv2. Nous avons choisi certbot qui est le client officiel de l’EFF. Celui-ci a l’avantage d’être bien maintenu et de suivre les évolutions du protocole. De plus, il a un système de plugin qui nous servira plus loin dans l’article.

LE a besoin de vérifier que la personne demandant un certificat pour un domaine a bien les droits nécessaires sur celui-ci, et pour cela il existe plusieurs méthodes. Cela commence toujours par un ID généré par LE qui est envoyé au client lors de la demande de certificat, puis en fonction de la méthode :

  • HTTP : il faut que l’ID soit écrit dans un fichier qui sera présent à l’adresse http://domain.tld/.well-known/acme-challenge/<challenge_id>.
  • DNS : il faut que l’ID soit écrit dans un enregistrement TXT nommé _acme-challenge au sein de la zone DNS du domaine.
  • DVSNI : il faut que l’ID soit écrit dans un certificat auto-signé qui sera présenté sur le port 443 du serveur et à l’adresse https://domain.tld.

Pour générer notre certificat wildcard, nous allons utiliser la méthode DNS de LE. Nous avons choisi cette méthode car elle est simple et c’est la seule possible pour l’instant pour avoir un certificat wildcard. Voici donc la commande pour générer le certificat de façon manuelle :

# certbot certonly --manual -d *.domain.tld --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory

Notez que la commande spécifie le serveur, cela pour avoir un certificat wildcard. Un certificat LE n’est valable que 3 mois, il faudra donc automatiser son renouvellement.

Maintenant nous allons configurer NGinx pour utiliser ce certificat. Dans le fichier de configuration d’un site, il faut ajouter ces lignes :


server {
# SSL configuration
listen 443 ssl;
listen [::]:443 ssl;
server_name site.domain.tld; ssl_protocols TLSv1.2;
ssl_certificate /etc/letsencrypt/live/domain.tld/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/domain.tld/privkey.pem;
ssl_dhparam /etc/nginx/dh.pem;
ssl_ecdh_curve secp384r1;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+AESGCM:EECDH+CHACHA20:EECDH+AES;
ssl_trusted_certificate /etc/letsencrypt/live/domain.tld/chain.pem;
ssl_stapling on;
ssl_stapling_verify on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_session_tickets off;
# your configuration
}

Si vous souhaitez en savoir plus sur la configuration HTTPS de NGinx, cet article décrit toutes les options utilisées et est très didactique. Pour tester, il ne reste plus qu’à redémarrer NGinx et vérifier sur un navigateur en renseignant l’adresse en HTTPS :

# systemctl stop nginx.service
# systemctl start nginx.service

OVH met à disposition une API qui permet entre autres de modifier la zone DNS d’un domaine enregistré chez eux. On peut la tester ici. Grâce à cette page, on peut générer un token applicatif pour l’API OVH. Ce token a une durée de vie définie à la création et est composé de 3 parties (une clé d’application, un secret pour l’application, une clé de consommateur). Pour automatiser la mise à jour de notre zone DNS, plus particulièrement ajouter l’entrée TXT pour la validation du domaine par Let’s Encrypt, nous avons besoin d’avoir accès aux URLs suivantes :

/domain/zone/*  GET
/domain/zone/* POST
/domain/zone/* DELETE

Pour utiliser cette API et gérer l’authentification pour y accéder, OVH fournit des librairies dans différents langages. Nous n’allons pas nous en servir, car après une recherche sur le web nous avons trouvé un plugin pour certbot qui gère l’authentification et la mise à jour d’une zone DNS chez OVH. Ce plugin est facile à utiliser, et sa conception est bien décrite sur le site de son auteur.

Pour tester ce plugin nous avons suivi les indications sur le site de l’auteur, configuré le fichier /etc/ovh.conf avec les informations issues de la génération du token OVH :

[default]
; general configuration: default endpoint
endpoint=ovh-eu
[ovh-eu]
; configuration specific to 'ovh-eu' endpoint
application_key=<your_application_key>
application_secret=<your_application_secret>
consumer_key=<your_consumer_key>

Afin de préparer l’automatisation de certbot, il faut également renseigner le fichier /etc/letsencrypt/cli.ini avec les informations suivantes :

# use dns-01
preferred-challenges = dns
# use dns-ovh authenticator
authenticator = certbot-dns-ovh:dns-ovh
# acme server
server = https://acme-v02.api.letsencrypt.org/directory

Enfin, on lance la commande certbot en mode manuel :

# certbot certonly -d *.domain.tld

Pour vérifier que le certificat a bien été généré et peut être pris en compte par NGinx, nous allons recharger la configuration du service :

# systemctl reload nginx.service

Maintenant que la génération de notre certificat peut se faire juste à l’aide d’une commande, il ne reste plus qu’à l’automatiser. Un petit script bash /opt/ssl/renew_le_certificate.sh nous permettra de renouveler le certificat puis de redémarrer NGinx :

#!/bin/bash# renouvellement certificat
certbot certonly -d *.domain.tld
# recharger NGinx
systemctl reload nginx.service

On planifie son exécution de manière régulière via un ajout dans la crontab et c’est bon :

42 6 * * * /opt/ssl/renew_le_certificate.sh

Voilà, nous avons désormais un certificat wildcard authentifié par Let’s Encrypt sur notre serveur qui couvre tout notre domaine, et NGINX est configuré pour l’utiliser. Ce certificat est renouvelé automatiquement, et sera pris en compte par NGinx. Nous pouvons ainsi ajouter en toute sérénité des sous-domaines et donc de nouvelles applications, celles-ci seront accessibles en HTTPS.

Slickteam

Le Blog — Come as you geek ! 100% technophile & 100% pur beurre une ESN pas comme les autres. www.slickteam.fr — contactez-nous !

Ronan Barbot

Written by

Slickteam

Slickteam

Le Blog — Come as you geek ! 100% technophile & 100% pur beurre une ESN pas comme les autres. www.slickteam.fr — contactez-nous !

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade