Comment nous utilisons LE à l'usine et pourquoi…

Après avoir testé acme-tiny, acme-client-plus et muacme, nous sommes passés à certbot qui est le client officiel.

Utilisé sur un frontal web chiffrant nginx.

Certbot est extrêmement clef en main, le paquet Debian déploie déjà le timer systemd et la commande est interactive.

Pour un domaine pré-configuré, il est capable via le plugin nginx de modifier la configuration directement en se greffant au bon endroit avec les nouveaux chemins de certificats.

Utiliser –staging pour les tests (fournira un certificat dont la chaine n'est pas valide mais permet d'éviter de surcharger le serveur et de consommer ses quota). Le plugin ne rechargera alors pas nginx.

Le Certbot retient la liste des domaines qu'il doit gérer dans /etc/letsencrypt/renewal/ et y garde toutes les configurations qu'on a passé sur la ligne de commande pour les renouvellements futurs.

Pour voir la liste des certificats qu'il gère actuellement, leur date d'expiration et les path à utiliser, faire :

sudo certbot certificates

Pour enregistrer un nouveau domaine :

sudo certbot --rsa-key-size 4096 --nginx -d mon-super-domaine.rocks

Pour supprimer un certificat (revoke + fichiers propres à certbot) :

sudo certbot delete --cert-name mon-super-domaine.rocks