Personne n'a plus besoin de créer ses propres certificats SSL, car vous pouvez maintenant obtenir votre propre certificat SSL gratuit et valide auprès de Let's Encrypt . Ce certificat est uniquement validé par domaine, il ne doit donc pas être utilisé pour le commerce électronique. Le certificat émis par Let's Encrypt peut être valide pour les domaines principaux et secondaires que vous spécifiez, mais Let's Encrypt ne prend pas encore en charge les certificats génériques. OpenBSD inclut un client Let's Encrypt appelé acme-client
.
REMARQUE: n'oubliez pas de remplacer example.org
par votre domaine .
Configurez le /etc/acme-client.conf
fichier de configuration.
# cd /etc
# vi acme-client.conf
Ajoutez ce qui suit au fichier. Le domain full chain
certificat contient la chaîne SSL Let's Encrypt, qui est utile pour la validation. Ici, nous utiliserons la chaîne complète à la place du domain certificate
.
domain example.org {
alternative names { www.example.org webmail.example.org }
domain key "/etc/ssl/private/example.org.key"
domain certificate "/etc/ssl/example.org.cert"
domain full chain certificate "/etc/ssl/example.org.fullchain.cert"
sign with letsencrypt
}
Configurez et démarrez httpd.conf
. Le client acme utilise un serveur Web pour exécuter ses défis afin de vérifier la validité du domaine. Ces défis doivent être réussis pour qu'un certificat valide et signé soit délivré.
server "default" {
listen on port 80
root "/htdocs"
directory index index.html
location "/.well-known/acme-challenge/*" {
root {"/acme", strip 2}
}
}
# rcctl start httpd
Tapez acme-client -ADv example.org
. vous devriez maintenant avoir un certificat SSL valide. Il sera valide pendant 90 jours avant de devoir réexécuter acme-client pour obtenir la réémission du certificat.
Si vous obtenez des erreurs, assurez-vous que vous avez port 80
ouvert sur votre pare-feu. Vous aurez besoin d'un enregistrement DNS A qui résout example.org
l'adresse IP de votre instance Vultr.
# echo 'pass in on egress inet proto tcp from any to port 80 flags S/SA modulate state' >> /etc/pf.conf
# pfctl -f /etc/pf.conf