Skip to main content

acme.sh - Génération de certificat gratuit

Présentation

"acme.sh" est un outil qui permet de générer des certificats à partir d'autorité gratuite. Il gére les autorités suivantes :

Dépot GIT : https://github.com/acmesh-official/acme.sh

Installation de acme.sh

curl https://get.acme.sh | sh -s email=my@example.com

Génération d'un certificat

Remarque : Utiliser de préférence la CA Let's Encrypt, par expérience l'API de ZeroSSL est parfois indisponible.

Génération d'un certification en précisant le dossier "webroot"
/root/.acme.sh/acme.sh --issue -d example.com -d www.example.com -w /home/wwwroot/example.com --server letsencrypt
Génération d'un certificat en mode server HTTP standalone
/root/.acme.sh/acme.sh --issue -d example.com -d www.example.com --standalone --httpport 8443 --server letsencrypt


Installation du certificat

Installation du certificat sur HaProxy
/root/.acme.sh/acme.sh --install-cert -d example --reloadcmd "cat \$CERT_KEY_PATH \$CERT_FULLCHAIN_PATH >/etc/pki/mycert.pem &&  systemctl reload haproxy"
Installation du certificat sur Apache httpd
/root/.acme.sh/acme.sh --install-cert -d example.com --cert-file /etc/ssl/certs/mycert.pem  --key-file /etc/ssl/private/mykey.key  --fullchain-file /etc/ssl/certs/fullchain.pem --reloadcmd "systemctl reload apache2"
Installation du certificat sur nginx
/root/.acme.sh/acme.sh --install-cert -d example.com --key-file /etc/ssl/private/example.com.key  --fullchain-file /etc/ssl/certs/example.com.pem --reloadcmd "service nginx force-reload"

Configuration des serveurs web pour accepter le challenge "acme"

Apache httpd

TODO

HaProxy
frontend extranet-ffsa-noprod
   bind 193.41.223.33:443 ssl crt /etc/pki/moncertificat.pem no-sslv3 no-tlsv10 no-tlsv11 no-tls-tickets ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
   bind 193.41.223.33:80

...
...
...
   #Let's encrypt
   acl begin_acme_challenge  path_beg -i  /.well-known/acme-challenge/
...
...
...
   use_backend acme_standalone_http if begin_acme_challenge
...
...
...  
backend acme_standalone_http
    log global
    mode http
    server srv_letsencrypt 127.0.0.1:8443

TODO

Nginx

TODO

Références

Site officiel de acme.sh : https://github.com/acmesh-official/acme.sh