J’ai déjà fait plusieurs articles sur Let’s Encrypt (voir ici), je vais donc partir du principe que vous savez ce que c’est.
Si j’en reparle, c’est parce que Let’s Encrypt permet maintenant (depuis plusieurs mois en fait) de générer des certificats wildcard. Les wildcard sont des certificats qui sont valables pour l’ensemble des sous-domaines.
Avant, avec Let’s Encrypt, il fallait lister tous les sous-domaines lors de la création du certificat SSL. Du coup si on créait un nouveau sous-domaine 3 jours après avoir généré le certificat SSL il fallait le regénérer en incluant le nouveau sous-domaine. Avec les certificats wildcard, plus besoin.

Pour vérifier que le nom de domaine pour lequel vous souhaitez générer un certificat vous appartient, Let’s Encrypt propose 2 types de challenges :

• http-01 : il envoi une requête http
• dns-01 : il demande la création d’un enregistrement TXT sur la zone du domaine

Dans mes précédents articles, j’utilisais le challenge http-01, le plus simple à mettre en place. Mais pour les certificats wildcard, seul le challenge dns-01 est accepté. Avant de suivre cet article, il faut donc impérativement que vous ayez suivi cet article sur la mise en place de dns dynamique. Seuls les chapitres 1 et 2 de cet articles, qui traitent de la création de la clé et de la configuration de Bind, sont indispensable. L’autre partie traite de la mise à jour de l’adresse ip, qui n’est pas utile pour les wildcard.
Par contre, il nous vous faudra pas utiliser “update-policy”comme indiqué au début du chapitre 2, mais “allow-update” comme indiqué à la fin du chapitre 2 (que vous utilisez ISPConfig ou non).

Je ne traiterai dans cet article que le cas du serveur DNS auto-hébergé, dans mon cas Bind. Certbot possède d’autres plugins permettant de compléter le challenge dns-01 dans le cas où votre dns est gérer par ovh, ghandi, etc, mais je ne les ai jamais testés.

1) Installation de Certbot

Comme dans les articles précédents, on va utiliser Certbot, le client officiel de Let’s Encrypt. Pour les wildcard, il va nous falloir installer la version présente dans les dépôts backports de Debian. Pour ajouter ces dépôts, ouvrez le fichier /etc/apt/sources.list et ajoutez la ligne deb http://ftp.debian.org/debian stretch-backports main. Enregistrez puis lancez la commande sudo aptitude update pour mettre à jour les dépôts.

On va maintenant pouvoir installer Certbot. Lancez la commande sudo aptitude install certbot -t stretch-backports. Il va également nous falloir un plugin pour mettre à jour notre zone DNS. Pour ce faire, lancez la commande sudo aptitude install python3-certbot-dns-rfc2136.

Maintenant que nous avons tout ce qu’il nous faut, passons à la création.

2) Création d’un certificat wildcard

Commencez par créer un fichier ini, lets_encrypt.ini par exemple (vous pouvez l’appeler comme vous voulez). Voici ce qu’il doit y avoir dedans :

[pastacode lang=”bash” manual=”authenticator%20%3D%20dns-rfc2136%0Arenew-by-default%20%3D%20True%0Aagree-tos%3Dtrue%0Aemail%20%3D%20toto%40memodugeek.info%0Adomains%3Dmemodugeek.info%2C*.memodugeek.info%0Arsa-key-size%20%3D%204096%0Aserver%20%3D%20https%3A%2F%2Facme-v02.api.letsencrypt.org%2Fdirectory%0Adns-rfc2136-credentials%20%3D%20%2Froot%2Fdns.ini” message=”” highlight=”” provider=”manual”/]

Expliquons toutes ces lignes :

• authenticator = dns-rfc2136 -> indique qu’on va utiliser le plugin dns-rfc2136. Il utilisera automatiquement le challenge dns-01 également
• renew-by-default = True -> accepte automatiquement le renouvellement du certificat
• agree-tos=true -> accepte automatiquement les conditions d’utilisation
• email = toto@memodugeek.info -> indique l’adresse mail sur laquelle sera envoyé les mails d’information de renouvellement
• rsa-key-size = 4096 -> force la création d’un certificat avec une clé 4096 bits (2048 bits par défaut)
• server = https://acme-v02.api.letsencrypt.org/directory -> force l’utilisation de la dernière API de Let’s Encrypt nécessaire aux wildcard
• dns-rfc2136-credentials = /root/dns.ini -> indique le chemin du fichier ini du plugin dns-rfc2136

Et voici ce que doit contenir le fichier dns.ini (pareil, vous pouvez l’appeler comme vous voulez) :

[pastacode lang=”bash” manual=”%23%20Target%20DNS%20server%0Adns_rfc2136_server%20%3D%20IP%20du%20serveur%20DNS%0A%23%20Target%20DNS%20port%0Adns_rfc2136_port%20%3D%2053%0A%23%20TSIG%20key%20name%0Adns_rfc2136_name%20%3D%20nom%20de%20la%20cl%C3%A9%0A%23%20TSIG%20key%20secret%0Adns_rfc2136_secret%20%3D%20contenu%20de%20la%20cl%C3%A9%0A%23%20TSIG%20key%20algorithm%0Adns_rfc2136_algorithm%20%3D%20HMAC-SHA512″ message=”” highlight=”” provider=”manual”/]

Si votre serveur DNS et votre serveur web (Apache ou Nginx) sont sur le même serveur, il vous faudra mettre 127.0.0.1 pour l’IP.
Le nom de clé correspond au nom que vous avez donné à la clé dans le fichier named.conf.keys.
Le contenu correspond au code secret de la clé.
Si vous avez utilisé un algorithme autre que le HMAC-SHA512, pensez à modifier cette partie.

Comme ce fichier ini contient le code secret de la clé, chose assez sensible, on va modifier les droits de ce fichier. Tapez la commande chmod 600 dns.ini. Comme j’ai mis la clé dans le home de l’utilisateur root, lui seul pourra lire ce fichier.

Il ne reste plus qu’à générer notre certificat avec la commande certbot certonly --config /root/lets_encrypt.ini. Pensez à modifier l’emplacement du fichier ini si vous ne l’avez pas mis dans le home de l’utilisateur root.

Les certificats vont être créés dans le répertoire /etc/letsencrypt/live/nomdedomaine/. Pensez à modifiez vos fichier Apache pour indiquer le certificat.
C’est expliquer dans le chapitre 3 de cet article.

Et pour le renouvellement automatique, il suffit de faire comme expliquer dans cet article et changer les lignes

[pastacode lang=”bash” manual=”systemctl%20stop%20apache2.service%0A%2Fhome%2Ffate%2Fcertbot%2Fcertbot-auto%20certonly%20–config%20%2Fhome%2Ffate%2Flets_encrypt.ini%0Asystemctl%20start%20apache2.service” message=”” highlight=”” provider=”manual”/]

par

[pastacode lang=”bash” manual=”certbot%20certonly%20–config%20%2Froot%2Flets_encrypt.ini%20%0Asystemctl%20restart%20apache2″ message=”” highlight=”” provider=”manual”/]

Pensez à modifier le chemin du fichier ini si besoin.