Letsencrypt fournit le moyen d'installer ses propres certificats SSL renouvelables automatiquement tous les 3 mois

Ceci est un récaptiulatif que j'utilise pour la gestion des certicats

Installation

apt install python-certbot-apache

Création certificats pour domaines

certbot --apache

supprimer un certificat

certbot delete

Renouvellement auto

server/Debian 9: Il ya un script cron /etc/cron.d/certbot mais n’est pas utilisé sous systemd

sudo crontab -e

ajouter une ligne crontab pour lancer le test tous les jours à 7h et 19h.

0 7,19 * * * certbot -q renew

test renouvellement

certbot renew --dry-run

vérifier le contenu d’un certificat

openssl x509 -text < /etc/letsencrypt/live/domain.tld/cert.pem

voir les domaines inclus

openssl x509 -text < /etc/letsencrypt/live/domain.org/cert.pem|grep DNS

voir limite validité

openssl x509 -text < /etc/letsencrypt/live/domain.xyz/cert.pem |grep After

test validité cert vu par thunderbird

openssl s_client -connect ks307144.kimsufi.com:143 -starttls imap -showcerts 2>/dev/null | openssl x509 -noout -subject -issuer -dates

test validité certificat depuis le serveur:

Sudo openssl x509 -in /etc/letsencrypt/live/domain.org/cert.pem -inform PEM -noout -enddate

test validité cert vu par thunderbird

openssl s_client -connect server.kimsufi.com:143 -starttls imap -showcerts 2>/dev/null | openssl x509 -noout -subject -issuer -dates

test validité certificat depuis le serveur

sudo openssl x509 -in /etc/letsencrypt/live/domain.tld/cert.pem -inform PEM -noout -enddate

Ajout d’un domain à un certificat existant:

certbot --webroot -w /var/www/html certonly -d mail.domain1.com -d mail.domain2.com -d server.kimsufi.com

#autre méthode:
certbot –apache –expand -d sd1.domain.tld -d sd2.domain.tld

Pour renommer le certificat avec le premier domaine listé, ajouter --force-renewal