Skip to main content

Certificat SSL Let's encrypt

Objectifs

Ajouter un certificat let's encrypt pour permettre d'accéder aux fonctionnalités web (VPN SSL et double auth par exemple) avec un certificat valide.

Prérequis

  • Un nom de domaine
  • certbot sur une machine Windows ou Linux (Linux pour la suite de la doc)
  • port 80 ouvert vers la machine en question (peut être ouvert temporairement)
  • Un accès admin au routeur

Installation et génération certificat

On commence par l'installation de certbot :

sudo apt install certbot

Création d'un certificat

Pour lancer une génération de certificat, il faut stopper apache/ngnix (s'il écoute sur le port 80), lancer la commande de génération de certificat puis relancer apache/nginx :

systemctl stop apache2
sudo certbot certonly --standalone -d nomdedomaine.fr
systemctl start apache2

Le bot enregistrera les certificat SSL dans le chemin suivant :

/etc/letsencrypt/live/nomdedomaine.fr/

Renouvellement certificat

systemctl stop apache2
sudo certbot renew
systemctl start apache2

Récupération certificat

On exporte le certificat dans un format connu de ZyXEL avec horodatage :

sudo openssl pkcs12 -export -out /tmp/myusg_"$(date +"%Y-%m-%d")".p12 -inkey /etc/letsencrypt/live/sav.alsacemicro.fr/privkey.pem -in /etc/letsencrypt/live/sav.alsacemicro.fr/cert.pem

Après avoir saisi un mot de passe qui protégera le certificat, on modifie les droits pour pouvoir copier/coller le fichier. On peut récupérer le fichier avec WinSCP.

Installation des certificats racines

La première fois, il est nécessaire d'installer les certificats de confiance Let's Encrypt. Pour cela, il faut aller sur la page web "Chains of Trust" de Zyxel, Lien vers la page des Certificats Racine de Let's Encrypt !

  • Dans le cadre Configuration -> ouvrir le menu Object puis aller dans Certificate
  • Onglet Trusted Certificates
  • Importer chaque certificat pem présent sur la page dans le routeur (8 certificats lors de la dernière réalisation).

Installation du certificat SSL

  • Dans le cadre Configuration -> ouvrir le menu Object puis aller dans Certificate
  • Onglet My Certificates
  • Cliquer sur Import pour importer le certificat.

Utilisation du certificat

Pour l'accès console : 

  • Dans le cadre Configuration -> ouvrir le menu System puis aller dans WWW
  • Onglet Service Control
  • Choisir le certificat dans Server Certificate

 

Back to top