Automatisez la gestion des certificats SSL/TLS avec Dehydrated

A l’heure de l’agilité et de l’automatisation, tout le monde parle du DevOps pour la mise en œuvre rapide des applications et de leurs évolutions.

Mais peu de monde connait le SecOps. Cette méthode permet pourtant l’automatisation de l’implémentation et de la gestion de la sécurité. Grace à SecOps, adieu les angoisses du renouvellement de vos certificats, l’exploitation est déjà planifiée. La sécurité pour tous en quelques lignes!

Let’s Encrypt est une autorité de certification SSL/TLS publique basée sur le protocole ACME. Ce protocole permet de délivrer des certificats de façon automatisée pour une courte durée.

Pour faire une demande de certificat et de renouvellement, nous allons utiliser dehydrated. Une collection de scripts bash qui automatise et donc facilite la vie.

Voici un exemple de demande de certificat pour un serveur web avec nginx.

Installation et configuration

La première étape est évidement d’installer dehydrated et de le configurer en renseignant le FQDN du serveur web.

zypper -n in dehydrated nginx
echo 'my.domain.fr > mydomain' > /etc/dehydrated/domains.txt

Challenge ACME

Afin de vérifier que vous êtes bien le propriétaire du site pour lequel vous demandez un certificat, Let’s Encrypt se base sur un challenege – c’est-à-dire publier sur votre site à une URL précise une clef donnée par l’autorité.

Dehydrated va automatiquement faire la demande de challenge et publier la réponse. Charge à nous de configurer nginx pour revoyer les appels à l’URL “.well-known/acme-challenge” dans le dossier de dehydrated.

cat /etc/nginx/vhosts.d/wellknow.conf
server {
  location ^~ /.well-known/acme-challenge {
    alias /var/lib/acme-challenge;
  }
}

systemctl enable nginx
systemctl start nginx

Enregistrement du certificat

Etape suivante, la demande et la création des fichiers clefs et certificats en eux-même. Les fichiers créés sont précieux, attention à ne pas publier votre clef privée (privkey.pem).

dehydrated --register --accept-terms
dehydrated -c -f /etc/dehydrated/config

Configuration de nginx

Nous sommes maintenant prêt à configurer nginx pour publier notre site web en SSL/TLS. Nous créerons un fichier /etc/nginx/vhosts.d/sslsite.conf dans lequel nous renseignons les chemins des fichiers fullchain.pem et privkey.pem

cat /etc/nginx/vhosts.d/sslsite.conf
server {
  listen 443 default_server ssl;
  server_name my.domain.fr;
  # ssl_protocols TLSv1.2 TLSv1.3;
  ssl_certificate /etc/dehydrated/certs/mydomain/fullchain.pem;
  ssl_certificate_key /etc/dehydrated/certs/mydomain/privkey.pem;
  location / {
    root /srv/www/htdocs/;
    index index.html;
  }
}

Créons la plus petite page web possible et testons.

echo "Hello mydomain" > /srv/www/htdocs/index.html
systemctl restart nginx

Automatisation du renouvellement

Un certificat SSL/TLS n’est jamais valide à vie. Il a une date d’expiration. Dans le cas de Let’s Encrypt, le certificat est valable pour 3 mois. Il est donc obligatoire de mettre en place un système de vérification de la validité et du renouvellement du certificat.

Pour cela créons un script dans cron pour faire le test tous les jours.

cat /etc/cron.daily/dehydeated
#!/bin/bash
/usr/bin/dehydrated -c -f /etc/dehydrated/config >> /var/log/dehydrated.log
chmod +x /etc/cron.daily/dehydeated

La sécurité est un point majeure de la gestion du parc IT. Il convient de l’automatiser.

Written on March 26, 2020