Comment puis-je installer un certificat SSL Let’s Encrypt générique dans Amazon Lightsail ?

Brève description

La résolution suivante couvre l’installation d’un certificat SSL Let’s Encrypt générique pour les sites Web hébergés dans une instance Lightsail sans pile Bitnami. Les exemples de ces plans d’instance incluent Amazon Linux 2 ou Ubuntu. Si vous disposez d’un schéma d’instance différent ou si vous souhaitez installer un certificat standard, consultez l’une des rubriques suivantes :

• Pour installer un certificat SSL Let’s Encrypt standard (et non un certificat générique) dans une instance Lightsail sans pile Bitnami, comme Amazon Linux 2 ou Ubuntu, consultez Comment puis-je installer un certificat SSL Let’s Encrypt standard dans une instance Lightsail ?
• Pour installer un certificat SSL Let’s Encrypt standard (et non certificat générique) dans une instance Lightsail dotée d’une pile Bitnami comme WordPress, LAMP ou Magento, consultez Comment puis-je installer un certificat SSL Let’s Encrypt standard dans une pile Bitnami hébergée sur Lightsail ?
• Pour installer un certificat Let’s Encrypt générique dans une instance Lightsail dotée d’une pile Bitnami comme WordPress, LAMP, Magento ou MEAN, consultez Comment puis-je installer un certificat SSL Let’s Encrypt générique dans une pile Bitnami hébergée sur Lightsail ?

Résolution

Remarque : avant de commencer, installez l’outil Certbot. Pour les instructions d’installation, consultez Comment puis-je installer le package Certbot dans mon instance Lightsail dans le cadre de l’installation du certificat Let’s Encrypt ?

La méthode d’installation d’un certificat SSL Let’s Encrypt générique sur votre instance Lightsail dépend du fournisseur DNS de votre domaine. Tout d’abord, vérifiez si votre fournisseur DNS apparaît dans les DNS Plugins sur le site Web de Certbot. Les méthodes suivantes expliquent la procédure d’installation du certificat sur le serveur. Vous devez exécuter des étapes supplémentaires manuellement. Vous devez par exemple configurer le serveur pour utiliser le certificat et configurer la redirection HTTPS.

Si votre domaine utilise l’un des fournisseurs DNS répertoriés

Dans l’exemple suivant, le fournisseur DNS est Amazon Route 53. Pour obtenir des instructions concernant les autres fournisseurs DNS pris en charge, consultez DNS Plugins sur le site Web de Certbot.

1. Créez un utilisateur AWS Identity and Access Management (IAM) avec un accès par programmation. Pour connaître les autorisations minimales des utilisateurs IAM requises pour que Certbot puisse relever le défi DNS, consultez certbot-dns-route-53 sur le site Web de Certbot.

2. Pour ouvrir le fichier /root/.aws/credentials dans l’éditeur nano, exécutez les commandes suivantes :

   sudo mkdir /root/.aws
   sudo nano /root/.aws/credentials

3. Copiez les lignes suivantes dans le fichier :

   [default]
   aws_access_key_id = AKIA************E
   aws_secret_access_key = 1yop**************************l

   Remarque : remplacez aws_access_key_id par l’ID de la clé d’accès créée à l’étape 1.

4. Pour enregistrer le fichier, appuyez sur Ctrl + X, puis Y, et enfin appuyez sur ENTRÉE.

5. Créez un certificat Let’s Encrypt sur le serveur. Si votre domaine utilise Amazon Route 53 comme fournisseur DNS, exécutez la commande suivante :

   sudo certbot certonly --dns-route53 -d example.com -d *.example.com

   Remarque : remplacez exemple.com par votre nom de domaine.

6. Une fois que Certbot a généré le certificat SSL, vous recevez le message Certificat reçu. Les emplacements des certificats et des fichiers clés sont également fournis. Copiez ces emplacements de fichiers dans un fichier texte à utiliser à l’étape 8.

7. Configurez le renouvellement automatique des certificats.
   Si le package Certbot est installé avec snapd, le renouvellement est configuré automatiquement dans les temporisateurs ou cronjobs de systemd.
   Si la distribution du système d’exploitation est Amazon Linux 2 ou FreeBSD, le package Certbot n’est pas installé avec snapd. Pour configurer manuellement le renouvellement, exécutez la commande suivante :

   echo "30 0,12 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew" | sudo tee -a /etc/crontab > /dev/null

8. Vous avez à présent installé le certificat et configuré le renouvellement. Cependant, vous devez toujours configurer votre serveur Web pour utiliser ce certificat. Vous devez également configurer la redirection HTTPS. La configuration dépend de la configuration du serveur Web de votre instance. Reportez-vous à la documentation de votre service Web pour obtenir des instructions de configuration.

Si votre domaine n’utilise pas l’un des fournisseurs DNS répertoriés

Remarque : cette méthode ne prend pas en charge le renouvellement automatique des certificats.

Au cours des étapes suivantes, vous ajoutez des enregistrements TXT dans le fournisseur DNS du domaine. Ce processus peut prendre un certain temps. Il est recommandé d’exécuter les commandes dans Linux GNU Screen pour éviter l’interruption de la session.

1. Pour démarrer une session Screen, saisissez la commande suivante :

   screen -S letsencrypt

2. Pour démarrer Certbot en mode interactif, saisissez la commande suivante. Cette commande indique à Certbot d’utiliser une méthode d’autorisation manuelle avec des défis DNS afin de vérifier la propriété du domaine.

   sudo certbot certonly --manual --preferred-challenges dns -d example.com -d *.example.com

   Remarque : remplacez exemple.com par votre nom de domaine.

3. Certbot vous invite à ajouter des enregistrements TXT aux enregistrements DNS de votre domaine. Cette action permet de vérifier que vous êtes propriétaire du domaine spécifié. Let’s Encrypt fournit un ou plusieurs enregistrements TXT exploitable pour la vérification.

4. Quand un enregistrement TXT s’affiche, ajoutez-le au DNS de votre domaine. Remarque : n’appuyez pas sur ENTRÉE tant que vous n’avez pas confirmé que l’enregistrement TXT est propagé au DNS d’Internet. N’appuyez pas sur Ctrl + D, car cette action met fin à la session Screen en cours.

5. Pour confirmer que l’enregistrement TXT a été propagé au DNS Internet, recherchez via DNS Text Lookup sur le site Web de la boîte à outils MX. Pour effectuer la vérification, saisissez le texte suivant dans la boîte de texte, puis cliquez sur TXT Lookup :

   _acme-challenge.example.com

   Remarque : remplacez exemple.com par votre nom de domaine.

6. Si vos enregistrements TXT sont propagés vers le DNS d’Internet, la valeur de l’enregistrement TXT s’affiche sur la page. Retournez à l’écran et appuyez sur ENTRÉE.
   Remarque : si vous êtes retiré du shell, utilisez la commande screen -r SESSIONID pour y retourner. Pour trouver l’ID de session, lancez la commande screen -ls.

7. Si l’invite Certbot vous demande d’ajouter un autre enregistrement TXT, répétez les étapes 4 à 6.

8. Une fois que Certbot a généré le certificat SSL, vous recevez le message Certificat reçu. Les emplacements des certificats et des fichiers clés sont également fournis. Copiez ces emplacements de fichiers dans un fichier texte à utiliser à l’étape 9.

9. Vous avez à présent installé le certificat et configuré le renouvellement. Cependant, vous devez toujours configurer votre serveur Web pour utiliser ce certificat. Vous devez également configurer la redirection HTTPS. La configuration dépend de la configuration du serveur Web de votre instance. Reportez-vous à la documentation de votre service Web pour obtenir des instructions de configuration.