Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activez le HTTPS sur votre instance LAMP avec Let's Encrypt et Certbot
Amazon Lightsail facilite la sécurisation de vos sites Web et applications à l' SSL/TLS aide des équilibreurs de charge Lightsail. Cependant, l'utilisation d'un équilibreur de charge Lightsail n'est généralement pas le bon choix. Peut-être votre site n'a pas besoin de l'évolutivité ou de la tolérance aux pannes que les équilibreurs de charge fournissent, ou peut-être que vous optimisez les coûts.
Dans ce dernier cas, vous pouvez envisager l'utilisation de Let's Encrypt pour obtenir un certificat SSL gratuit. Ce didacticiel explique comment demander un certificat générique Let's Encrypt à l'aide de Certbot et comment le configurer sur votre instance LAMP fournie par Lightsail.
Table des matières
-
Étape 3 : demander un certificat générique SSL Let's Encrypt
-
Étape 4 : ajouter des enregistrements TXT à la zone DNS de votre domaine
-
Étape 5 : Confirmer que les enregistrements TXT ont été propagés
-
Étape 6 : Compléter la demande de certificat SSL Let's Encrypt
-
Étape 8 : Renouvelez les certificats Let's Encrypt tous les 90 jours
Étape 1 : Exécuter les prérequis
Si ce n'est pas déjà fait, remplissez les conditions préalables suivantes :
-
Créez une instance LAMP dans Lightsail. Pour en savoir plus, veuillez consulter Créer une instance.
-
Enregistrez un nom de domaine et obtenez un accès administratif pour modifier ses enregistrements DNS. Pour en savoir plus, veuillez consulter DNS.
Note
Nous vous recommandons de gérer les enregistrements DNS de votre domaine à l'aide d'une zone DNS Lightsail. Pour en savoir plus, consultez la section Création d'une zone DNS pour gérer les enregistrements DNS de votre domaine.
-
Utilisez le terminal SSH basé sur un navigateur dans la console Lightsail pour effectuer les étapes de ce didacticiel. Cependant, vous pouvez également utiliser votre propre client SSH, tel que PuTTY. Pour en savoir plus sur la configuration de PuTTY, veuillez consulter Télécharger et installer PuTTY pour vous connecter à l'aide de SSH.
Après avoir terminé les procédures des prérequis, passez à la section suivante.
Étape 2 : installer Certbot sur votre instance Lightsail
Certbot est un client utilisé pour demander un certificat à Let's Encrypt et le déployer sur un serveur Web. Let's Encrypt utilise le protocole ACME pour émettre des certificats, et Certbot est un ACME-enabled client qui interagit avec Let's Encrypt.
Pour installer Certbot sur votre instance Lightsail
-
Connectez-vous à la console Lightsail
. -
Dans l'onglet Instances de la page d'accueil de Lightsail, choisissez l'icône de connexion rapide SSH pour l'instance à laquelle vous souhaitez vous connecter.
-
Une fois que votre session SSH basée sur le navigateur Lightsail est connectée, entrez la commande suivante pour mettre à jour les packages de votre instance :
sudo apt-get update -
Saisissez la commande suivante pour installer le package de propriétés du logiciel. Les développeurs de Certbot utilisent une archive de packages personnels (PPA) pour distribuer Certbot. Le package de propriétés du logiciel rend l'utilisation des dépôts PPA plus efficace.
sudo apt-get install software-properties-common -y -
Entrez la commande suivante pour mettre à jour apt pour inclure le nouveau référentiel :
sudo apt-get update -y -
Entrez la commande suivante pour installer Certbot :
sudo apt-get install certbot -yCertbot est désormais installé sur votre instance Lightsail.
Conservez le terminal SSH basé sur navigateur ouverte, vous y reviendrez ultérieurement dans ce didacticiel. Passez à la section suivante.
Étape 3 : Demander un certificat générique SSL Let's Encrypt
Commencez le processus de demande de certificat auprès de Let's Encrypt. A l'aide de Certbot, demandez un certificat générique, ce qui vous permet d'utiliser un seul certificat pour un domaine et ses sous-domaines. Par exemple, un seul certificat générique pour le domaine de premier niveau example.com et les sous-domaines blog.example.com et stuff.example.com.
Pour demander un certificat générique SSL Let's Encrypt
-
Dans la même fenêtre de terminal SSH basée sur un navigateur que celle utilisée à l'étape précédente de ce didacticiel, entrez les commandes suivantes pour définir une variable d'environnement pour votre domaine. N'oubliez pas de remplacer
domainpar le nom de votre nom de domaine enregistré.DOMAIN=domainWILDCARD=*.$DOMAINExemple :
DOMAIN=example.com WILDCARD=*.$DOMAIN -
Entrez la commande suivante pour confirmer que les variables renvoient les valeurs appropriées :
echo $DOMAIN && echo $WILDCARDLe résultat doit ressembler à ce qui suit :
-
Entrez la commande suivante pour démarrer Certbot en mode interactif. Cette commande indique à Certbot d'utiliser une méthode d'autorisation manuelle avec des défis DNS afin de vérifier la propriété du domaine. Elle demande un certificat générique pour votre domaine de premier niveau, ainsi que ses sous-domaines.
sudo certbot -d $DOMAIN -d $WILDCARD --manual --preferred-challenges dns certonly -
Entrez votre adresse e-mail lorsque vous y êtes invité, car elle est utilisée pour les notifications de renouvellement et de sécurité.
-
Lisez les conditions d'utilisation de Let's Encrypt. Lorsque vous avez terminé, appuyez sur A si vous acceptez. Si vous n'êtes pas d'accord, vous ne pouvez pas obtenir de certificat Let's Encrypt.
-
Répondre en conséquence à l'invite pour partager votre adresse e-mail et à l'avertissement à propos de votre adresse IP en cours de journalisation.
-
Let's Encrypt vous invite maintenant à vérifier que vous êtes bien le propriétaire du domaine spécifié. Pour ce faire, vous devez ajouter des enregistrements TXT aux enregistrements DNS pour votre domaine. Un ensemble de valeurs d'enregistrement TXT est fourni, comme illustré dans l'exemple suivant :
Note
Let's Encrypt peut fournir un ou plusieurs enregistrements TXT que vous devez utiliser pour la vérification. Dans cet exemple, nous avons reçu deux enregistrements TXT à utiliser pour la vérification.
Maintenez ouverte la session SSH basée sur le navigateur Lightsail. Vous y reviendrez plus tard dans ce didacticiel. Passez à la section suivante.
Étape 4 : Ajouter des enregistrements TXT à la zone DNS de votre domaine
L'ajout d'un enregistrement TXT à la zone DNS de votre domaine confirme que vous êtes le propriétaire du domaine. À des fins de démonstration, nous utilisons la zone DNS Lightsail. Toutefois, les étapes peuvent être similaires pour d'autres zones DNS généralement hébergées par des bureaux d'enregistrement de domaine.
Note
Pour en savoir plus sur la création d'une zone DNS Lightsail pour votre domaine, consultez Création d'une zone DNS pour gérer les enregistrements DNS de votre domaine dans Lightsail.
Pour ajouter des enregistrements TXT à la zone DNS de votre domaine dans Lightsail
-
Dans le volet de navigation de gauche, choisissez les domaines et le DNS.
-
Sous la section DNS zones de la page, choisissez la zone DNS pour le domaine que vous avez spécifié dans la demande de certificat Certbot.
-
Dans l'éditeur de zone DNS, choisissez DNS records (Enregistrements DNS).
-
Choisissez Ajouter un enregistrement.
-
Dans le menu déroulant Record type (Type d'enregistrement), choisissez TXT record (Enregistrement TXT).
-
Entrez les valeurs spécifiées par la demande de certificat Let's Encrypt dans les champs Nom de l'enregistrement et Réponses par.
Note
La console Lightsail préremplit la partie apex de votre domaine. Par exemple, si vous souhaitez ajouter le sous-domaine
, il vous suffit d'entrer_acme-challenge.example.comdans la zone de texte et Lightsail ajoute la partie_acme-challenge.example.compour vous lorsque vous enregistrez l'enregistrement. -
Choisissez Enregistrer.
-
Répétez les étapes 4 à 7 pour ajouter le deuxième ensemble d'enregistrements TXT spécifié par la demande de certificat Let's Encrypt.
Gardez la fenêtre du navigateur de la console Lightsail ouverte. Vous y reviendrez plus tard dans ce didacticiel. Passez à la section suivante.
Étape 5 : Confirmer que les enregistrements TXT ont été propagés
Utilisez l' MxToolbox utilitaire pour vérifier que les enregistrements TXT se sont propagés au DNS d'Internet. La propagation d'un enregistrement DNS peut prendre un certain temps en fonction de votre fournisseur d'hébergement DNS et le time-to-live (TTL) configuré pour vos enregistrements DNS. Il est important de terminer cette étape et de confirmer que vos enregistrements TXT ont été propagés avant de poursuivre votre demande de certificat Certbot. Sinon, votre demande de certificat échoue.
Pour confirmer que les enregistrements TXT se sont propagés vers le DNS d'Internet
-
Ouvrez une nouvelle fenêtre de navigateur et accédez à https://mxtoolbox.com/TXTLookup.aspx
. -
Saisissez le texte suivant dans la zone de texte. Assurez-vous de remplacer
domainpar votre domaine._acme-challenge.domainExemple :
_acme-challenge.example.com
-
Choisissez Recherche TXT pour exécuter la vérification.
-
L'une des réponses suivantes se produit :
-
Si vos enregistrements TXT se sont propagés au DNS d'Internet, vous voyez une réponse similaire à celle illustrée dans la capture d'écran suivante. Fermez la fenêtre du navigateur et passez à la section suivante.
-
Si vos enregistrements TXT ne se sont pas propagés vers le DNS d'Internet, le message « Enregistrement DNS introuvable » s'affiche. Vérifiez que vous avez ajouté les enregistrements DNS corrects à la zone DNS de vos domaines. Si vous avez ajouté les bons enregistrements, attendez encore un peu pour laisser les enregistrements DNS de votre domaine se propager, puis relancez la recherche TXT.
-
Étape 6 : Compléter la demande de certificat SSL Let's Encrypt
Revenez à la session SSH basée sur le navigateur Lightsail pour votre instance LAMP et complétez la demande de certificat Let's Encrypt. Certbot enregistre votre certificat SSL, la chaîne, et les fichiers clés dans un répertoire spécifique sur votre instance LAMP.
Pour terminer la demande de certificat SSL Let's Encrypt
-
Dans la session SSH basée sur le navigateur Lightsail pour votre instance LAMP, appuyez sur Entrée pour poursuivre votre demande de certificat SSL Let's Encrypt. En cas de réussite, une réponse similaire à celle affichée dans la capture d'écran suivante apparait :
Le message confirme que votre certificat, la chaîne et les fichiers clés sont stockés dans le répertoire
/etc/letsencrypt/live/. Assurez-vous de remplacerdomain/domainpar votre domaine, tel que/etc/letsencrypt/live/example.com/. -
Notez la date d'expiration spécifiée dans le message. Vous l'utiliserez pour renouveler votre certificat avant cette date.
-
Maintenant que vous avez le certificat SSL Let's Encrypt, passez à la section suivante de ce didacticiel.
Étape 7 : Création de liens vers les fichiers de certificat Let's Encrypt dans le répertoire du serveur LAMP
Créez des liens vers les fichiers de certificat SSL Let's Encrypt dans le répertoire du serveur LAMP de votre instance LAMP. En outre, sauvegardez vos certificats existants, au cas où vous en auriez besoin plus tard.
Pour créer des liens vers les fichiers de certificat Let's Encrypt dans le répertoire du serveur LAMP
-
Dans la session SSH basée sur le navigateur Lightsail pour votre instance LAMP, entrez la commande suivante pour arrêter les services sous-jacents :
sudo systemctl stop apache2 sudo systemctl stop mariadb -
Exécutez la commande ci-dessous pour modifier la configuration SSL :
sudo sed \ -i -e "s|SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem|SSLCertificateFile /etc/letsencrypt/live/$DOMAIN/fullchain.pem|g" \ -i -e "s|SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key|SSLCertificateKeyFile /etc/letsencrypt/live/$DOMAIN/privkey.pem|g" \ /etc/apache2/sites-enabled/default-ssl.confNote
Si vous avez fermé la fenêtre de votre terminal SSH basé sur un navigateur après avoir défini la
DOMAINvariable à l'étape 3,DOMAIN=réexécutez enexample.comexample.comremplaçant par votre domaine. -
Entrez la commande suivante pour redémarrer apache2 :
sudo systemctl restart apache2 sudo systemctl restart mariadbVotre instance LAMP est maintenant configurée pour rediriger automatiquement les connexions depuis HTTP vers HTTPS. Lorsqu'un visiteur se rend sur
http://www.example.com, il est automatiquement redirigé vers l'adresse chiffréehttps://www.example.com.
Étape 8 : Renouvelez les certificats Let's Encrypt tous les 90 jours
Les certificats Let's Encrypt sont valides pendant 90 jours. Ils peuvent être renouvelés 30 jours avant leur expiration. Pour renouveler les certificats Let's Encrypt, exécutez la commande initiale ayant permis de les obtenir. Répétez les étapes décrites dans la section Demander un certificat générique SSL Let's Encrypt de ce didacticiel.