HTTPS - Certificats SSL
Objectif
Le serveur utilise des certificats SSL fournis par Let’s Encrypt afin de sécuriser l’ensemble des connexions web en HTTPS.
Outil utilisé
Les certificats sont gérés via Certbot, installé sur le Raspberry Pi. Certbot est configuré pour interagir avec l’API OVH afin d’automatiser le challenge DNS, nécessaire à l’émission des certificats.
Challenge DNS (Let’s Encrypt)
Le challenge DNS consiste à créer temporairement un enregistrement DNS dans la zone du domaine (hébergée chez OVH) afin de prouver à Let’s Encrypt que le domaine appartient bien à l’administrateur.
Ce mécanisme est requis pour l’obtention de certificats wildcard comme *.yepflix.fr.
→ Voir la page DNS pour plus d’informations sur la configuration de la zone et des DynHost.
Localisation des certificats
Les certificats actifs sont stockés dans :
/etc/letsencrypt/live/yepflix.fr/fullchain.pem/etc/letsencrypt/live/yepflix.fr/privkey.pem
Ces fichiers sont utilisés dans les configurations NGINX de tous les services.
Renouvellement
Le renouvellement automatique des certificats est géré par systemd, via le service suivant :
systemctl list-timers | grep certbotCe timer déclenche périodiquement la commande de renouvellement. Pour forcer un renouvellement manuel :
sudo certbot renewRedémarrer les services
Après un renouvellement (automatique ou manuel), il peut être nécessaire de redémarrer NGINX pour que les certificats mis à jour soient pris en compte :
sudo systemctl reload nginxCette configuration garantit un chiffrement complet de toutes les communications entre les clients et les services exposés via *.yepflix.fr.