Comment installer un certificat SSL Let's Encrypt générique dans Amazon Lightsail ?

Date de la dernière mise à jour : 20/10/2021

Comment installer un certificat SSL générique pour mon site Web dans une instance Amazon Lightsail ?

Brève description

La résolution suivante couvre l'installation d'un certificat SSL Let's Encrypt générique pour les sites Web hébergés dans une instance Lightsail qui n'utilise pas de pile Bitnami. Des exemples de ces plans d'instance incluent Amazon Linux 2, Ubuntu, etc. Si vous disposez d'un plan d'instance différent ou si vous souhaitez installer un certificat standard, consultez l'un des éléments suivants :

Certificats Let's Encrypt standard

Pour plus d'informations sur l'installation d'un certificat SSL Let's Encrypt standard (pas un caractère générique) dans une instance Lightsail qui n'utilise pas de pile Bitnami, telle qu'Amazon Linux 2, Ubuntu, etc., consultez Comment installer un certificat SSL Let's Encrypt standard dans une instance Lightsail ?

Pour plus d'informations sur l'installation d'un certificat SSL Let's Encrypt standard (pas un caractère générique) dans une instance Lightsail avec une pile Bitnami, telle que WordPress, LAMP, Magento, etc., consultez Comment installer un certificat SSL Let's Encrypt standard dans une pile Bitnami hébergée sur Amazon Lightsail ?

Certificats génériques Let's Encrypt (par exemple, *.example.com)

Pour plus d'informations sur l'installation d'un certificat Let's Encrypt générique dans une instance Lightsail avec une pile Bitnami, telle que WordPress, Lamp, Magento, MEAN, etc., consultez Comment installer un certificat SSL Let's Encrypt générique dans une pile Bitnami hébergée sur Amazon Lightsail ?

Résolution

Les étapes suivies pour l’installation d’un certificat SSL Let's Encrypt générique sur une instance Lightsail dépendent du fournisseur DNS utilisé par le domaine. Pour déterminer la méthode à utiliser, vérifiez si le fournisseur DNS est répertorié dans la liste Cerbot DNS dans Plugins DNS. Puis, sélectionnez la méthode appropriée à utiliser :

Méthode 1 : utilisez cette méthode si le domaine utilise l'un des fournisseurs DNS répertoriés.

Méthode 2 : utilisez cette méthode si le domaine n'utilise aucun des fournisseurs DNS répertoriés.

Méthode 1

Conditions préalables et limites

  • Les étapes suivantes couvrent l'installation du certificat sur le serveur. Vous devez effectuer manuellement des étapes supplémentaires, telles que la configuration du serveur Web pour l’utilisation du certificat et la configuration de la redirection HTTPS.
  • Le domaine doit utiliser l'un des fournisseurs DNS répertoriés dans la liste DNS de Certbot.

Remarque : Cette méthode nécessite l'installation de l'outil Certbot avant de commencer. Pour obtenir des instructions d'installation, consultez Comment installer le package Certbot dans mon instance Lightsail pour l'installation de Let's Encrypt ?

Dans l'exemple suivant, le fournisseur DNS est Amazon Route 53. Pour obtenir des instructions sur les autres fournisseurs DNS pris en charge, consultez les Plugins DNS.

1.    Créez un utilisateur AWS Identity and Access Management (IAM) avec un accès par programme. Pour connaître les autorisations minimales requises pour l’attachement à l'utilisateur IAM afin que Certbot puisse terminer le défi DNS, consultez certbot-dns-route-53.

2.    Exécutez les commandes suivantes dans l'instance pour ouvrir le fichier /root/.aws/credentials dans l'éditeur nano.

sudo mkdir /root/.aws
sudo nano /root/.aws/credentials

3.    Copiez les lignes suivantes dans le fichier. Ensuite, enregistrez le fichier en appuyant sur ctrl+x, puis y et surENTRÉE.

Dans la commande suivante, remplacez aws_access_key_id par l'identifiant de la clé d'accès créé à l'étape 1. Remplacez aws_secret_access_key par la clé d'accès secrète créée à l'étape 1.

[default]
aws_access_key_id = AKIA************E
aws_secret_access_key = 1yop**************************l

4.    Créez un certificat Let's Encrypt sur le serveur. Remplacez example.com par votre nom de domaine.

Si les domaines utilisent Amazon Route 53 comme fournisseur DNS, exécutez la commande suivante :

sudo certbot certonly --dns-route53 -d example.com -d *.example.com

Une fois le certificat SSL généré avec succès, vous recevez le message « Certificat reçu avec succès ». Les emplacements des certificats et des fichiers de clé sont également fournis. Enregistrez ces emplacements de fichiers dans un bloc-notes pour les utiliser à l'étape 6.

5.    Configurez le renouvellement automatique des certificats.

Si le package Certbot est installé à l'aide de snapd, le renouvellement est configuré automatiquement dans les timers systemd ou les cronjobs.

Si la distribution du système d'exploitation est Amazon Linux 2 ou FreeBSD, le package Certbot ne sera pas installé à l'aide de snapd. Dans ce cas, vous devez configurer le renouvellement manuellement en exécutant la commande suivante :

echo "30 0,12 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew" | sudo tee -a /etc/crontab > /dev/null

6.    Seule la configuration de l'installation et du renouvellement du certificat est terminée. Vous devez toujours configurer le serveur Web pour utiliser ce certificat et configurer la redirection HTTPS. Cette configuration varie et dépend de la configuration du serveur Web de l’instance. Consultez la documentation du service Web pour obtenir des instructions sur la réalisation de ces étapes.

Méthode 2

Conditions préalables et limites

  • Les étapes suivantes couvrent l'installation du certificat sur le serveur. Vous devez effectuer manuellement des étapes supplémentaires, telles que la configuration du serveur Web pour l’utilisation du certificat et la configuration de la redirection HTTPS.
  • Le renouvellement automatique des certificats n'est pas pris en charge par cette méthode.

Remarque : Cette méthode nécessite l'installation de l'outil Certbot avant de commencer. Pour obtenir des instructions d'installation, consultez Comment installer le package Certbot dans mon instance Lightsail pour l'installation de Let's Encrypt ?

1.    Cette méthode nécessite l'ajout des registres TXT dans le fournisseur DNS du domaine. Ce processus peut prendre un certain temps, c'est donc une bonne pratique d'exécuter les commandes dans Linux GNU Screen pour empêcher la séance d'expirer. Pour démarrer une séance Screen, saisissez la commande suivante :

screen -S letsencrypt

2.    Saisissez la commande suivante pour démarrer Certbot en mode interactif. Cette commande indique à Certbot d'utiliser une méthode d'autorisation manuelle avec des défis DNS pour vérifier la propriété du domaine. Remplacez example.com par votre nom de domaine.

sudo certbot certonly --manual --preferred-challenges dns -d example.com -d *.example.com

3.    Vous recevez une invite pour vérifier que vous possédez le domaine spécifié en ajoutant des registres TXT aux registres DNS du domaine. Let's Encrypt fournit un ou plusieurs registres TXT que vous devez utiliser pour la vérification.

4.    Lorsque vous voyez un enregistrement TXT à l'écran, ajoutez d'abord le registre fourni dans le DNS de votre domaine. N'APPUYEZ PAS sur ENTRÉE avant d'avoir confirmé que le registre TXT est propagé au DNS d’Internet. N'APPUYEZ PAS non plus sur CTRL+D car cela mettrait fin à la séance d'écran en cours.

5.    Pour confirmer que le registre TXT a été propagé au DNS d’Internet, recherchez-le dans Recherche TXT DNS. Saisissez le texte suivant dans la zone de texte et choisissez TXT Lookup (Recherche TXT) pour exécuter la vérification. Veillez à remplacer exemple.com par votre domaine.

_acme-challenge.example.com

6.    Si les registres TXT se sont propagés au DNS d'Internet, vous voyez la valeur du registre TXT dans la page. Vous pouvez maintenant revenir à l'écran et appuyer sur ENTRÉE.

Remarque : Si vous êtes supprimé du shell, utilisez la commande screen -r SESSIONID pour y revenir. Obtenez l'ID de séance en exécutant la commande screen -ls.

7.    Si l'invite de Certbot vous demande d'ajouter un autre registre TXT, effectuez à nouveau les étapes 4 à 7.

8.    Une fois le certificat SSL généré avec succès, vous recevez le message « Certificat reçu avec succès ». Les emplacements des certificats et des fichiers de clé sont également fournis. Enregistrez ces emplacements de fichiers dans un bloc-notes pour les utiliser à l'étape suivante.

9.    Seule la configuration de l'installation et du renouvellement du certificat est terminée. Vous devez toujours configurer le serveur Web pour utiliser ce certificat et configurer la redirection HTTPS. Cette configuration varie et dépend de la configuration du serveur Web de l’instance. Consultez la documentation du service Web pour obtenir des instructions sur la réalisation de ces étapes.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?