acme.sh - Génération de certificat gratuit

Présentation

"acme.sh" est un outil qui permet de générer des certificats à partir d'autorité gratuite. Il gére les autorités suivantes :

• ZeroSSL.com CA(default)
• Letsencrypt.org CA
• BuyPass.com CA
• SSL.com CA
• Google.com Public CA
• Pebble strict Mode
• Toutes autorités qui est compatible avec la RFC8555

Dépot GIT : https://github.com/acmesh-official/acme.sh

Installation de acme.sh

curl https://get.acme.sh | sh -s email=my@example.com

 

Génération d'un certificat

Remarque : Utiliser de préférence la CA Let's Encrypt, par expérience l'API de ZeroSSL est parfois indisponible.

Génération d'un certification en précisant le dossier "webroot"

/root/.acme.sh/acme.sh --issue -d example.com -d www.example.com -w /home/wwwroot/example.com --server letsencrypt

Génération d'un certificat en mode server HTTP standalone

/root/.acme.sh/acme.sh --issue -d example.com -d www.example.com --standalone --httpport 8443 --server letsencrypt

Installation du certificat

Installation du certificat sur HaProxy

/root/.acme.sh/acme.sh --install-cert -d example --reloadcmd "cat \$CERT_KEY_PATH \$CERT_FULLCHAIN_PATH >/etc/pki/mycert.pem &&  systemctl reload haproxy"

Installation du certificat sur Apache httpd

/root/.acme.sh/acme.sh --install-cert -d example.com --cert-file /etc/ssl/certs/mycert.pem  --key-file /etc/ssl/private/mykey.key  --fullchain-file /etc/ssl/certs/fullchain.pem --reloadcmd "systemctl reload apache2"

Installation du certificat sur nginx

TODO

/root/.acme.sh/acme.sh --install-cert -d example.com --key-file /etc/ssl/private/example.com.key  --fullchain-file /etc/ssl/certs/example.com.pem --reloadcmd "service nginx force-reload"

 

Configuration des serveurs web pour accepter le challenge "acme"

Apache httpd

TODO

HaProxy

TODO

Nginx

TODO

 

Références

Site officiel de acme.sh : https://github.com/acmesh-official/acme.sh