View a markdown version of this page

Activez le HTTPS sur votre instance LAMP avec Let's Encrypt et Certbot - Amazon Lightsail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activez le HTTPS sur votre instance LAMP avec Let's Encrypt et Certbot

Amazon Lightsail facilite la sécurisation de vos sites Web et applications à l' SSL/TLS aide des équilibreurs de charge Lightsail. Cependant, l'utilisation d'un équilibreur de charge Lightsail n'est généralement pas le bon choix. Peut-être votre site n'a pas besoin de l'évolutivité ou de la tolérance aux pannes que les équilibreurs de charge fournissent, ou peut-être que vous optimisez les coûts.

Dans ce dernier cas, vous pouvez envisager l'utilisation de Let's Encrypt pour obtenir un certificat SSL gratuit. Ce didacticiel explique comment demander un certificat générique Let's Encrypt à l'aide de Certbot et comment le configurer sur votre instance LAMP fournie par Lightsail.

Table des matières

Étape 1 : Exécuter les prérequis

Si ce n'est pas déjà fait, remplissez les conditions préalables suivantes :

Après avoir terminé les procédures des prérequis, passez à la section suivante.

Étape 2 : installer Certbot sur votre instance Lightsail

Certbot est un client utilisé pour demander un certificat à Let's Encrypt et le déployer sur un serveur Web. Let's Encrypt utilise le protocole ACME pour émettre des certificats, et Certbot est un ACME-enabled client qui interagit avec Let's Encrypt.

Pour installer Certbot sur votre instance Lightsail
  1. Connectez-vous à la console Lightsail.

  2. Dans l'onglet Instances de la page d'accueil de Lightsail, choisissez l'icône de connexion rapide SSH pour l'instance à laquelle vous souhaitez vous connecter.

    Connexion rapide SSH sur la page d'accueil de Lightsail.
  3. Une fois que votre session SSH basée sur le navigateur Lightsail est connectée, entrez la commande suivante pour mettre à jour les packages de votre instance :

    sudo apt-get update
  4. Saisissez la commande suivante pour installer le package de propriétés du logiciel. Les développeurs de Certbot utilisent une archive de packages personnels (PPA) pour distribuer Certbot. Le package de propriétés du logiciel rend l'utilisation des dépôts PPA plus efficace.

    sudo apt-get install software-properties-common -y
  5. Entrez la commande suivante pour mettre à jour apt pour inclure le nouveau référentiel :

    sudo apt-get update -y
  6. Entrez la commande suivante pour installer Certbot :

    sudo apt-get install certbot -y

    Certbot est désormais installé sur votre instance Lightsail.

Conservez le terminal SSH basé sur navigateur ouverte, vous y reviendrez ultérieurement dans ce didacticiel. Passez à la section suivante.

Étape 3 : Demander un certificat générique SSL Let's Encrypt

Commencez le processus de demande de certificat auprès de Let's Encrypt. A l'aide de Certbot, demandez un certificat générique, ce qui vous permet d'utiliser un seul certificat pour un domaine et ses sous-domaines. Par exemple, un seul certificat générique pour le domaine de premier niveau example.com et les sous-domaines blog.example.com et stuff.example.com.

Pour demander un certificat générique SSL Let's Encrypt
  1. Dans la même fenêtre de terminal SSH basée sur un navigateur que celle utilisée à l'étape précédente de ce didacticiel, entrez les commandes suivantes pour définir une variable d'environnement pour votre domaine. N'oubliez pas de remplacer domain par le nom de votre nom de domaine enregistré.

    DOMAIN=domain WILDCARD=*.$DOMAIN

    Exemple :

    DOMAIN=example.com WILDCARD=*.$DOMAIN
  2. Entrez la commande suivante pour confirmer que les variables renvoient les valeurs appropriées :

    echo $DOMAIN && echo $WILDCARD

    Le résultat doit ressembler à ce qui suit :

    Confirmer les variables d'environnement de domaine.
  3. Entrez la commande suivante pour démarrer Certbot en mode interactif. Cette commande indique à Certbot d'utiliser une méthode d'autorisation manuelle avec des défis DNS afin de vérifier la propriété du domaine. Elle demande un certificat générique pour votre domaine de premier niveau, ainsi que ses sous-domaines.

    sudo certbot -d $DOMAIN -d $WILDCARD --manual --preferred-challenges dns certonly
  4. Entrez votre adresse e-mail lorsque vous y êtes invité, car elle est utilisée pour les notifications de renouvellement et de sécurité.

  5. Lisez les conditions d'utilisation de Let's Encrypt. Lorsque vous avez terminé, appuyez sur A si vous acceptez. Si vous n'êtes pas d'accord, vous ne pouvez pas obtenir de certificat Let's Encrypt.

  6. Répondre en conséquence à l'invite pour partager votre adresse e-mail et à l'avertissement à propos de votre adresse IP en cours de journalisation.

  7. Let's Encrypt vous invite maintenant à vérifier que vous êtes bien le propriétaire du domaine spécifié. Pour ce faire, vous devez ajouter des enregistrements TXT aux enregistrements DNS pour votre domaine. Un ensemble de valeurs d'enregistrement TXT est fourni, comme illustré dans l'exemple suivant :

    Note

    Let's Encrypt peut fournir un ou plusieurs enregistrements TXT que vous devez utiliser pour la vérification. Dans cet exemple, nous avons reçu deux enregistrements TXT à utiliser pour la vérification.

    Enregistrements TXT pour les certificats Let's Encrypt.

Maintenez ouverte la session SSH basée sur le navigateur Lightsail. Vous y reviendrez plus tard dans ce didacticiel. Passez à la section suivante.

Étape 4 : Ajouter des enregistrements TXT à la zone DNS de votre domaine

L'ajout d'un enregistrement TXT à la zone DNS de votre domaine confirme que vous êtes le propriétaire du domaine. À des fins de démonstration, nous utilisons la zone DNS Lightsail. Toutefois, les étapes peuvent être similaires pour d'autres zones DNS généralement hébergées par des bureaux d'enregistrement de domaine.

Note

Pour en savoir plus sur la création d'une zone DNS Lightsail pour votre domaine, consultez Création d'une zone DNS pour gérer les enregistrements DNS de votre domaine dans Lightsail.

Pour ajouter des enregistrements TXT à la zone DNS de votre domaine dans Lightsail
  1. Dans le volet de navigation de gauche, choisissez les domaines et le DNS.

  2. Sous la section DNS zones de la page, choisissez la zone DNS pour le domaine que vous avez spécifié dans la demande de certificat Certbot.

  3. Dans l'éditeur de zone DNS, choisissez DNS records (Enregistrements DNS).

  4. Choisissez Ajouter un enregistrement.

  5. Dans le menu déroulant Record type (Type d'enregistrement), choisissez TXT record (Enregistrement TXT).

  6. Entrez les valeurs spécifiées par la demande de certificat Let's Encrypt dans les champs Nom de l'enregistrement et Réponses par.

    Note

    La console Lightsail préremplit la partie apex de votre domaine. Par exemple, si vous souhaitez ajouter le sous-domaine _acme-challenge.example.com, il vous suffit d'entrer _acme-challenge dans la zone de texte et Lightsail ajoute la partie .example.com pour vous lorsque vous enregistrez l'enregistrement.

  7. Choisissez Enregistrer.

  8. Répétez les étapes 4 à 7 pour ajouter le deuxième ensemble d'enregistrements TXT spécifié par la demande de certificat Let's Encrypt.

Gardez la fenêtre du navigateur de la console Lightsail ouverte. Vous y reviendrez plus tard dans ce didacticiel. Passez à la section suivante.

Étape 5 : Confirmer que les enregistrements TXT ont été propagés

Utilisez l' MxToolbox utilitaire pour vérifier que les enregistrements TXT se sont propagés au DNS d'Internet. La propagation d'un enregistrement DNS peut prendre un certain temps en fonction de votre fournisseur d'hébergement DNS et le time-to-live (TTL) configuré pour vos enregistrements DNS. Il est important de terminer cette étape et de confirmer que vos enregistrements TXT ont été propagés avant de poursuivre votre demande de certificat Certbot. Sinon, votre demande de certificat échoue.

Pour confirmer que les enregistrements TXT se sont propagés vers le DNS d'Internet
  1. Ouvrez une nouvelle fenêtre de navigateur et accédez à https://mxtoolbox.com/TXTLookup.aspx.

  2. Saisissez le texte suivant dans la zone de texte. Assurez-vous de remplacer domain par votre domaine.

    _acme-challenge.domain

    Exemple :

    _acme-challenge.example.com
    Recherchez l'enregistrement TXT MXTookbox.
  3. Choisissez Recherche TXT pour exécuter la vérification.

  4. L'une des réponses suivantes se produit :

    • Si vos enregistrements TXT se sont propagés au DNS d'Internet, vous voyez une réponse similaire à celle illustrée dans la capture d'écran suivante. Fermez la fenêtre du navigateur et passez à la section suivante.

      Confirmation que les enregistrements TXT ont été propagés.
    • Si vos enregistrements TXT ne se sont pas propagés vers le DNS d'Internet, le message « Enregistrement DNS introuvable » s'affiche. Vérifiez que vous avez ajouté les enregistrements DNS corrects à la zone DNS de vos domaines. Si vous avez ajouté les bons enregistrements, attendez encore un peu pour laisser les enregistrements DNS de votre domaine se propager, puis relancez la recherche TXT.

Étape 6 : Compléter la demande de certificat SSL Let's Encrypt

Revenez à la session SSH basée sur le navigateur Lightsail pour votre instance LAMP et complétez la demande de certificat Let's Encrypt. Certbot enregistre votre certificat SSL, la chaîne, et les fichiers clés dans un répertoire spécifique sur votre instance LAMP.

Pour terminer la demande de certificat SSL Let's Encrypt
  1. Dans la session SSH basée sur le navigateur Lightsail pour votre instance LAMP, appuyez sur Entrée pour poursuivre votre demande de certificat SSL Let's Encrypt. En cas de réussite, une réponse similaire à celle affichée dans la capture d'écran suivante apparait :

    Demande de certificat Let's Encrypt réussie.

    Le message confirme que votre certificat, la chaîne et les fichiers clés sont stockés dans le répertoire /etc/letsencrypt/live/domain/. Assurez-vous de remplacer domain par votre domaine, tel que /etc/letsencrypt/live/example.com/.

  2. Notez la date d'expiration spécifiée dans le message. Vous l'utiliserez pour renouveler votre certificat avant cette date.

    Date de renouvellement du certificat Let's Encrypt.
  3. Maintenant que vous avez le certificat SSL Let's Encrypt, passez à la section suivante de ce didacticiel.

Étape 7 : Création de liens vers les fichiers de certificat Let's Encrypt dans le répertoire du serveur LAMP

Créez des liens vers les fichiers de certificat SSL Let's Encrypt dans le répertoire du serveur LAMP de votre instance LAMP. En outre, sauvegardez vos certificats existants, au cas où vous en auriez besoin plus tard.

Pour créer des liens vers les fichiers de certificat Let's Encrypt dans le répertoire du serveur LAMP
  1. Dans la session SSH basée sur le navigateur Lightsail pour votre instance LAMP, entrez la commande suivante pour arrêter les services sous-jacents :

    sudo systemctl stop apache2 sudo systemctl stop mariadb
  2. Exécutez la commande ci-dessous pour modifier la configuration SSL :

    sudo sed \ -i -e "s|SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem|SSLCertificateFile /etc/letsencrypt/live/$DOMAIN/fullchain.pem|g" \ -i -e "s|SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key|SSLCertificateKeyFile /etc/letsencrypt/live/$DOMAIN/privkey.pem|g" \ /etc/apache2/sites-enabled/default-ssl.conf
    Note

    Si vous avez fermé la fenêtre de votre terminal SSH basé sur un navigateur après avoir défini la DOMAIN variable à l'étape 3, DOMAIN=example.com réexécutez en example.com remplaçant par votre domaine.

  3. Entrez la commande suivante pour redémarrer apache2 :

    sudo systemctl restart apache2 sudo systemctl restart mariadb

    Votre instance LAMP est maintenant configurée pour rediriger automatiquement les connexions depuis HTTP vers HTTPS. Lorsqu'un visiteur se rend sur http://www.example.com, il est automatiquement redirigé vers l'adresse chiffrée https://www.example.com.

Étape 8 : Renouvelez les certificats Let's Encrypt tous les 90 jours

Les certificats Let's Encrypt sont valides pendant 90 jours. Ils peuvent être renouvelés 30 jours avant leur expiration. Pour renouveler les certificats Let's Encrypt, exécutez la commande initiale ayant permis de les obtenir. Répétez les étapes décrites dans la section Demander un certificat générique SSL Let's Encrypt de ce didacticiel.