Installer un Certificat Let’s Encrypt avec l’API Token de CloudFlare.

Sep 2, 2024
François

CONFIGURATION OPNSENSE

>> Afin d’éviter les échecs de validation du certificat, vous allez devoir définir un nom d’hôte pour votre routeur et également vous assurez d’avoir bien configurer votre domaine.

Allez dans le menu Système > Paramètre > Général :

– Nom d’hôte : choisi le nom qui vous convient.
– Domaine : le nom de domaine de votre bureau d’enregistrement (registrar)

>> On passe enfin à la partie finale mais aussi la plus technique de ce paramétrage.

Depuis le menu Système > Firmeware > puis dans l’onglet « Greffons » (plugins, pour l’interface en anglais).

Recherchez « os-acme-client » et cliquer sur le + pour l’installer.
(pour info, cela signifie : Automated Certificate Management Environnement).

Il est possible lors de l’installation que le plugin vous demande de faire la mise à jour du système. Dans ce cas aller dans l’onglet « Statut » puis « Vérifier les mises à jour« .

Vous verrez que pour chaque rubrique du menu du Client ACME, il y a un onglet d’Introduction qui explique le fonctionnement de la rubrique. Ce n’est pas toujours bien traduit en français mais c’est mieux que rien.

>> Au tour de la la configuration du client :

Aller dans le menu Services > Client ACME> Comptes, puis le signe « + » pour ajouter un nouveau compte.

Mettez ce que vous voulez pour le nom et la description du compte. Le plus important est d’avoir une adresse mail valide et de bien choisir Let’s Encrypt comme ACME Certificat Authority qui est en principe présélectionné par défaut.

Pour l’instant, il est normal que le statut du compte soit en « non enregistré » et que la date d’inscription soit en « inconnu ». Il sera effectif lors de la première demande de certificat.

>> Un défi, cela vous dis ? En effet pour obtenir un certifcat Let’s Encrypt, il y a 3 méthodes principales qui vous seront proposée cependant il n’y a que la première qui nous nous intéresse et qui est également le plus fortement recommandé : DNS-01.

Tous se passe dans la rubrique Services > Client ACME > Types de défis.

Pour un maximum de sécurité, j’ai opté pour la configuration en mode restreint qui la plus recommandé.

C’est aussi dans cette fenêtre que vous pourrez voir que les éléments de configuration changent en fonction du fournisseur de Service DNS que vous choisissez. Comme par exemple, si je reprends OVH, il y aura 4 Clé de configuration à fournir.

Vous comprenez afin que tous les points précédents repose sur la réalisation de ce défi !

>> Ce n’est pas terminé. Afin de rafraîchir automatiquement le service de l’interface web lors du renouvellement du certificats (tous les 60 jours). On va rajouter une tâche.

Allez sur Service > Client ACME > Automatisme et toujours le petit « + » pour rajouter un élément.

>> Enfin On passe alors à la création du Certificat :

Aller sur Service > Client ACME > Certificats.

  • Pour le nom commun, je vous propose de mettre un sous domaine avec le nom de votre routeur,
  • En option, mettez votre Description,
  • Le compte ACME est sélectionné par défaut sur celui que vous aviez créés précédemment,
  • Il en va de même pour le nom du « Type de défi »,
  • Laissez l’intervalle de renouvellement à 60 jours et la longueur de la clé à 4096 bits par défaut,
  • Sélectionnez le nom de la tâche de l’automatisme.

<- page précedente

page suivante ->

Pages: 1 2 3 4