Comment nous utilisons LE à l'usine et pourquoi…

Après avoir testé acme-tiny, acme-client-plus et muacme, nous sommes passés à certbot qui est le client officiel.

Utilisé sur un frontal web chiffrant nginx.

Certbot est extrêmement clef en main, le paquet Debian déploie déjà le timer systemd et la commande est interactive.

Pour un domaine pré-existant, il est capable via le plugin nginx de modifier la configuration directement en se greffant au bon endroit avec les nouveaux chemins de certificats.

Dans notre cas nous utilisons :

sudo certbot --rsa-key-size 4096 --nginx -d mon-super-domaine.rocks

Utiliser –staging pour les tests (fournira un certificat dont la chaine n'est pas valide mais permet d'éviter de surcharger le serveur et de consommer ses quota). Le plugin ne rechargera alors pas nginx.

Le Certbot retient la liste des domaines qu'il doit gérer dans /etc/letsencrypt/renewal/ et y garde toutes les configurations qu'on a passé sur la ligne de commande pour les renouvellements futurs.