{"id":104,"date":"2024-09-02T15:23:27","date_gmt":"2024-09-02T15:23:27","guid":{"rendered":"https:\/\/www.fjmlab.com\/blog\/?p=104"},"modified":"2025-12-10T10:34:50","modified_gmt":"2025-12-10T09:34:50","slug":"installer-un-certificat-lets-encrypt-sur-opnsense-avec-lapi-token-de-cloudflare","status":"publish","type":"post","link":"https:\/\/www.fjmlab.com\/blog\/?p=104","title":{"rendered":"Installer un Certificat Let\u2019s Encrypt avec l\u2019API Token de CloudFlare."},"content":{"rendered":"\n

PREAMBULE<\/h3>\n\n\n\n

Let\u2019s Encrypt<\/a>\u00a0est une autorit\u00e9 de certification gratuite. C\u2019est un organisme reconnu publiquement comme un tiers de confiance qui permet de s\u00e9curiser les \u00e9changes internet. C\u2019est ce qui vous permet entre autre d\u2019avoir le protocole HTTPS avec le beau cadenas sur votre site web. Le seul inconv\u00e9nient est que le certificat est d\u00e9livr\u00e9 pour une p\u00e9riode maximal de 90 jours, il faut donc le renouveler au minimum 30 jours avant son expiration.<\/p>\n\n\n\n

Dans le cadre d\u2019un Home Lab, certains jugeront cela comme non n\u00e9cessaire. Je souhaite cependant vous rapprocher au plus pr\u00e8s des bonnes pratiques appliqu\u00e9es en entreprise. Il ne faut pas oublier qu\u2019OPNsense est un routeur qui est plac\u00e9 en frontal des infrastructures. <\/p>\n\n\n\n

\n

Les informations que je donne dans les copies \u00e9crans ne sont que des exemples, vous \u00eates libre de vos choix. J\u2019ai cependant laiss\u00e9 quelques copies d\u2019\u00e9crans r\u00e9elles pour lesquels j\u2019ai flout\u00e9 mes informations confidentielles.<\/p>\n<\/blockquote>\n\n\n\n

En Pr\u00e9requis, Il vous faudra acqu\u00e9rir un nom de domaine valide que vous devrez acheter aupr\u00e8s d\u2019un bureau d\u2019enregistrement. Dans le cas pr\u00e9sent, il n’est pas n\u00e9cessaire d’avoir une IP fixe. Vous trouverez un annuaire sur l\u2019AFNIC, Association fran\u00e7aise pour le nommage Internet en coop\u00e9ration.<\/p>\n\n\n\n

https:\/\/www.afnic.fr\/noms-de-domaine\/tout-savoir\/annuaire-bureaux-enregistrement\/<\/a><\/p>\n\n\n\n

\n

Pour ma part, je l\u2019ai achet\u00e9 mon domaine chez lws.fr<\/a>. Cela ne coute pas cher, juste une dizaine d\u2019euro voir moins. Vous n\u2019\u00eates pas oblig\u00e9s d\u2019acheter les services d\u2019h\u00e9bergements de site web qui sont propos\u00e9s avec mais juste le nom de domaine tout seul suffira.<\/p>\n<\/blockquote>\n\n\n\n

Autre particularit\u00e9 : vous aurez \u00e9galement besoin d\u2019un bureau d\u2019enregistrement qui soit capable de vous fournir une \u00ab API Token \u00bb, il s\u2019agit d\u2019un jeton qui vous est d\u00e9livr\u00e9 avec une cl\u00e9 alphanum\u00e9rique qui contient entre autres vos informations d\u2019identifications qui permettent de prouver que vous \u00eates bien le d\u00e9tenteur de votre domaine. Ci dessous, le liens avec la liste r\u00e9f\u00e9renc\u00e9e par let\u2019s Encrypt :<\/p>\n\n\n\n

https:\/\/community.letsencrypt.org\/t\/dns-providers-who-easily-integrate-with-lets-encrypt-dns-validation\/86438<\/a><\/p>\n\n\n\n

Dans mon cas, LWS ne fait pas partie de cette liste\u2026 J\u2019ai donc contourn\u00e9 ce probl\u00e8me en ouvrant gratuitement un compte chez CloudFlare<\/a>. Lequel est aujourd\u2019hui une r\u00e9f\u00e9rence dans le domaine de la s\u00e9curisation des services web.<\/p>\n\n\n\n

Bien entendu vous n\u2019\u00eates pas oblig\u00e9 de faire comme moi et pouvez passer par un autre fournisseur comme OVH mais la proc\u00e9dure pour obtenir l\u2019API sera diff\u00e9rente.<\/p>\n\n\n\n

\n

Ne vous inqui\u00e9t\u00e9s pas si tout ceci \u00e0 l\u2019air compliqu\u00e9, ce n\u2019est que d\u2019apparence. Car une fois qu\u2019on a compris le truc tout parait bien plus simple. Vous verrez dans la suite de ce document qu\u2019en fait c\u2019est assez facile !<\/p>\n<\/blockquote>\n\n\n\n

page suivante<\/a> -><\/p>\n\n\n\n\n\n\n\n

API CLOUDFLARE<\/h3>\n\n\n\n
<\/div>\n\n\n\n

>><\/mark><\/strong> D\u00e8s que vous aurez cr\u00e9\u00e9 votre compte chez Cloudflare, celui-ci vous demandera d\u2019inscrire votre nom de domaine. Ce qui lui permettra de faire la reconnaissance automatique de la configuration de votre Zone DNS et de vous fournir des DNS Personnalis\u00e9s. Lesquels vont permettre de certifier que vous \u00eates bien le propri\u00e9taire de votre nom de domaine et assurer d\u00e9l\u00e9gation des droits de votre Zone DNS sur CloudFlare.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
<\/div>\n\n\n\n
\n

Ce point est une \u00e9tape essentielle pour obtenir cette fameuse API.<\/p>\n<\/blockquote>\n\n\n\n

>><\/mark><\/strong> Apr\u00e8s quoi vous n\u2019aurez plus qu\u2019\u00e0 remplacer les DNS de votre bureau d\u2019enregistrement par ceux que vous aurez re\u00e7u. Dans mon cas, j\u2019ai supprim\u00e9 les 4 DNS de LWS par ceux de CloudFlare. Qu\u2019importe que vous en ayez que 2, il suffit que d\u2019un pour que cela fonctionne, le deuxi\u00e8me est en secours.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
<\/div>\n\n\n\n

>><\/mark><\/strong> Une fois que la gestion des enregistrements de la Zone DNS sera transf\u00e9r\u00e9e sur CloudFlare.Connectez-vous \u00e0 votre compte puis aller sur votre Profil:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
<\/div>\n\n\n\n

>><\/mark><\/strong> S\u00e9lectionnez \u00ab Jetons API \u00bb puis \u00ab Cr\u00e9er un Jeton \u00bb<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
<\/div>\n\n\n\n

>><\/mark><\/strong> Puis dans \u00ab Modifier le DNS zone \u00bb choisir \u00ab Utiliser un mod\u00e8le \u00bb.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
<\/div>\n\n\n\n

>><\/mark><\/strong> La seule modification que vous aurez \u00e0 faire, dans la cr\u00e9ation du jeton, est de choisir dans la rubrique Ressources de la zone \u00ab Toutes les zones \u00bb ou votre \u00ab nom de domaine \u00bb.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
<\/div>\n\n\n\n

>><\/mark><\/strong> Cliquez sur \u00ab Continuer le r\u00e9sum\u00e9 \u00bb puis sur \u00ab Cr\u00e9er un jeton \u00bb<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
<\/div>\n\n\n\n

>><\/mark><\/strong> A partir de ce moment vous obtiendrez votre jeton.<\/p>\n\n\n\n

\n

Attention : ne ratez pas cette \u00e9tape, le jeton ne sera affich\u00e9 qu\u20191 seul fois. Prenez soin de bien copi\u00e9 le code dans un endroit s\u00fbr. Si vous ratez cette \u00e9tape vous devrez recommencer la proc\u00e9dure de cr\u00e9ation de \u00ab l\u2019API Utilisateur \u00bb.<\/p>\n\n\n\n

\"\"<\/figure>\n<\/blockquote>\n\n\n\n
\n

Je ne peux que vous conseiller de placer vos mots de passe et code confidentiels dans un coffre fort comme par exemple le logiciel Keepass<\/a> qui est certifi\u00e9 par l\u2019ANSSI<\/a> (Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information). Vous trouverez \u00e9galement plus d\u2019info sur cybermalveillance.gouv.fr<\/a>.<\/p>\n<\/blockquote>\n\n\n\n

\n
\n

<- page pr\u00e9cedente<\/a><\/p>\n<\/div>\n\n\n\n

\n

page suivante<\/a> -><\/p>\n<\/div>\n<\/div>\n\n\n\n\n\n\n\n

CONFIGURATION OPNSENSE<\/h3>\n\n\n\n

>><\/mark><\/strong> Afin d\u2019\u00e9viter les \u00e9checs de validation du certificat, vous allez devoir d\u00e9finir un nom d\u2019h\u00f4te pour votre routeur et \u00e9galement vous assurez d\u2019avoir bien configurer votre domaine. <\/p>\n\n\n\n

Allez dans le menu Syst\u00e8me > Param\u00e8tre > G\u00e9n\u00e9ral<\/strong> :<\/p>\n\n\n\n

\u2013 Nom d\u2019h\u00f4te : choisi le nom qui vous convient.
\u2013 Domaine : le nom de domaine de votre bureau d\u2019enregistrement (registrar)<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
<\/div>\n\n\n\n

>><\/mark><\/strong> On passe enfin \u00e0 la partie finale mais aussi la plus technique de ce param\u00e9trage. <\/p>\n\n\n\n

Depuis le menu Syst\u00e8me > Firmeware > puis dans l\u2019onglet \u00ab Greffons \u00bb<\/strong> (plugins, pour l\u2019interface en anglais). <\/p>\n\n\n\n

Recherchez \u00ab os-acme-client<\/mark> \u00bb et cliquer sur le +<\/mark><\/strong> pour l\u2019installer.
(pour info, cela signifie : Automated Certificate Management Environnement).<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
<\/div>\n\n\n\n

Il est possible lors de l\u2019installation que le plugin vous demande de faire la mise \u00e0 jour du syst\u00e8me. Dans ce cas aller dans l\u2019onglet \u00ab\u00a0Statut<\/strong>\u00a0\u00bb puis \u00ab\u00a0V\u00e9rifier les mises \u00e0 jour<\/strong>\u00ab\u00a0.<\/p>\n\n\n\n

\n

Vous verrez que pour chaque rubrique du menu du Client ACME, il y a un onglet d\u2019Introduction qui explique le fonctionnement de la rubrique. Ce n\u2019est pas toujours bien traduit en fran\u00e7ais mais c\u2019est mieux que rien.<\/p>\n<\/blockquote>\n\n\n\n

>><\/mark><\/strong> Au tour de la la configuration du client :<\/p>\n\n\n\n

Aller dans le menu Services > Client ACME> Comptes,<\/strong> puis le signe \u00ab +<\/mark><\/strong> \u00bb pour ajouter un nouveau compte.<\/p>\n\n\n\n

Mettez ce que vous voulez pour le nom et la description du compte. Le plus important est d\u2019avoir une adresse mail valide et de bien choisir Let\u2019s Encrypt comme ACME Certificat Authority qui est en principe pr\u00e9s\u00e9lectionn\u00e9 par d\u00e9faut.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Pour l\u2019instant, il est normal que le statut du compte soit en \u00ab non enregistr\u00e9 \u00bb et que la date d\u2019inscription soit en \u00ab inconnu \u00bb. Il sera effectif lors de la premi\u00e8re demande de certificat.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
<\/div>\n\n\n\n

>><\/mark><\/strong> Un d\u00e9fi, cela vous dis ? En effet pour obtenir un certifcat Let’s Encrypt, il y a 3 m\u00e9thodes principales qui vous seront propos\u00e9e cependant il n’y a que la premi\u00e8re qui nous nous int\u00e9resse et qui est \u00e9galement le plus fortement recommand\u00e9 : DNS-01<\/mark><\/strong>.<\/p>\n\n\n\n

Tous se passe dans la rubrique Services > Client ACME > Types de d\u00e9fis.<\/strong><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Pour un maximum de s\u00e9curit\u00e9, j\u2019ai opt\u00e9 pour la configuration en mode restreint qui la plus recommand\u00e9. <\/p>\n\n\n\n

C\u2019est aussi dans cette fen\u00eatre que vous pourrez voir que les \u00e9l\u00e9ments de configuration changent en fonction du fournisseur de Service DNS que vous choisissez. Comme par exemple, si je reprends OVH, il y aura 4 Cl\u00e9 de configuration \u00e0 fournir.<\/p>\n\n\n\n

\n

Vous comprenez afin que tous les points pr\u00e9c\u00e9dents repose sur la r\u00e9alisation de ce d\u00e9fi !<\/p>\n<\/blockquote>\n\n\n\n

>><\/mark><\/strong> Ce n\u2019est pas termin\u00e9. Afin de rafra\u00eechir automatiquement le service de l\u2019interface web lors du renouvellement du certificats (tous les 60 jours). On va rajouter une t\u00e2che. <\/p>\n\n\n\n

Allez sur Service > Client ACME > Automatisme<\/strong> et toujours le petit \u00ab +<\/mark><\/strong> \u00bb pour rajouter un \u00e9l\u00e9ment.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
<\/div>\n\n\n\n

>><\/mark><\/strong> Enfin On passe alors \u00e0 la cr\u00e9ation du Certificat : <\/p>\n\n\n\n

Aller sur Service > Client ACME > Certificats.<\/strong><\/p>\n\n\n\n