PREAMBULE
Let’s Encrypt est une autorité de certification gratuite. C’est un organisme reconnu publiquement comme un tiers de confiance qui permet de sécuriser les échanges internet. C’est ce qui vous permet entre autre d’avoir le protocole HTTPS avec le beau cadenas sur votre site web. Le seul inconvénient est que le certificat est délivré pour une période maximal de 90 jours, il faut donc le renouveler au minimum 30 jours avant son expiration.
Dans le cadre d’un Home Lab, certains jugeront cela comme non nécessaire. Je souhaite cependant vous rapprocher au plus près des bonnes pratiques appliquées en entreprise. Il ne faut pas oublier qu’OPNsense est un routeur qui est placé en frontal des infrastructures.
Les informations que je donne dans les copies écrans ne sont que des exemples, vous êtes libre de vos choix. J’ai cependant laissé quelques copies d’écrans réelles pour lesquels j’ai flouté mes informations confidentielles.
En Prérequis, Il vous faudra acquérir un nom de domaine valide que vous devrez acheter auprès d’un bureau d’enregistrement. Dans le cas présent, il n’est pas nécessaire d’avoir une IP fixe. Vous trouverez un annuaire sur l’AFNIC, Association française pour le nommage Internet en coopération.
https://www.afnic.fr/noms-de-domaine/tout-savoir/annuaire-bureaux-enregistrement/
Pour ma part, je l’ai acheté mon domaine chez lws.fr. Cela ne coute pas cher, juste une dizaine d’euro voir moins. Vous n’êtes pas obligés d’acheter les services d’hébergements de site web qui sont proposés avec mais juste le nom de domaine tout seul suffira.
Autre particularité : vous aurez également besoin d’un bureau d’enregistrement qui soit capable de vous fournir une « API Token », il s’agit d’un jeton qui vous est délivré avec une clé alphanumérique qui contient entre autres vos informations d’identifications qui permettent de prouver que vous êtes bien le détenteur de votre domaine. Ci dessous, le liens avec la liste référencée par let’s Encrypt :
Dans mon cas, LWS ne fait pas partie de cette liste… J’ai donc contourné ce problème en ouvrant gratuitement un compte chez CloudFlare. Lequel est aujourd’hui une référence dans le domaine de la sécurisation des services web.
Bien entendu vous n’êtes pas obligé de faire comme moi et pouvez passer par un autre fournisseur comme OVH mais la procédure pour obtenir l’API sera différente.
Ne vous inquiétés pas si tout ceci à l’air compliqué, ce n’est que d’apparence. Car une fois qu’on a compris le truc tout parait bien plus simple. Vous verrez dans la suite de ce document qu’en fait c’est assez facile !