# Automatisation des certificats TLS dans Angie : Guide complet du module ACME
Le module ACME du serveur web Angie automatise l'obtention et le renouvellement des certificats TLS, y compris les certificats génériques (*), avec un minimum d'efforts. Le support intégré du protocole ACME élimine le besoin d'outils externes comme certbot, simplifiant la configuration et la gestion de la sécurité des sites.
Configuration des défis HTTP pour les certificats standards
Pour obtenir des certificats via des défis HTTP (HTTP-01), commencez par définir les propriétés dans la directive acme_client au sein du contexte http. Voici un exemple de configuration pour les certificats RSA et ECDSA :
http {
resolver 127.0.0.53 ipv6=off;
acme_client rsa https://acme-v02.api.letsencrypt.org/directory key_type=rsa;
acme_client ecdsa https://acme-v02.api.letsencrypt.org/directory;
}
Configurez ensuite votre serveur pour utiliser ces certificats :
server {
listen 443 ssl;
server_name site.ru www.site.ru test.site.ru company.ru;
acme rsa;
acme ecdsa;
ssl_certificate $acme_cert_rsa;
ssl_certificate_key $acme_cert_key_rsa;
ssl_certificate $acme_cert_ecdsa;
ssl_certificate_key $acme_cert_key_ecdsa;
}
Angie ouvrira automatiquement le port 80 pour les défis HTTP, sauf indication contraire via acme_http_port. Surveillez l'émission des certificats via error_log ou l'API, avec des messages de niveau notice pour les renouvellements réussis.
Obtention de certificats génériques via vérification DNS
Les défis DNS (DNS-01) sont requis pour les certificats génériques couvrant les domaines de second niveau et tous les sous-domaines de troisième niveau. Utilisez la délégation de zone en créant des enregistrements DNS dans votre panneau d'hébergement :
_acme-challenge.site.ru. 60 IN NS ns.site.ru.
ns.site.ru. 60 IN A {IP_du_serveur}
Configurez ensuite acme_client avec le paramètre challenge=dns :
http {
resolver 127.0.0.53 ipv6=off;
acme_client ecdsa https://acme-v02.api.letsencrypt.org/directory challenge=dns;
server {
listen 443 ssl;
server_name site.ru *.site.ru;
acme ecdsa;
ssl_certificate $acme_cert_ecdsa;
ssl_certificate_key $acme_cert_key_ecdsa;
}
}
Angie ouvrira le port 53 pour les requêtes DNS ; utilisez acme_dns_port pour éviter les conflits avec les services locaux.
Méthodes alternatives et fonctionnalités avancées
Lorsque les défis standards ne sont pas possibles, le module ACME supporte des hooks personnalisés pour déléguer la création de fichiers ou la gestion d'enregistrements DNS à des applications externes. Il supporte aussi la méthode TLS-ALPN-01, utile quand le port 80 ne peut pas être ouvert, activée via challenge=alpn.
Avantages clés
- Automatisation : Le module ACME d'Angie automatise entièrement l'émission et le renouvellement des certificats TLS, y compris les génériques, sans intervention manuelle.
- Flexibilité : Prend en charge les défis HTTP-01, DNS-01 et TLS-ALPN-01, plus des hooks personnalisés pour les configurations complexes.
- Performance : Les certificats sont chargés en mémoire serveur et peuvent être mis en cache avec
ssl_certificate_cachepour l'optimisation. - Compatibilité : Fonctionne avec n'importe quel fournisseur conforme ACME, comme Let's Encrypt.
- Surveillance : S'intègre avec
error_loget l'API pour suivre l'état des certificats.
Conseils pratiques pour la mise en œuvre
Lors de la configuration du module ACME, gardez ces points à l'esprit :
- Tests : Utilisez l'environnement de staging de Let's Encrypt pour les premières configurations afin d'éviter les limites de taux.
- Sécurité : Assurez-vous que le serveur DNS
resolverest fiable et désactivez IPv6 si nécessaire. - Mise en cache : Configurez
ssl_certificate_cachepour booster les performances, surtout avec les variables de certificats. - Ports : Contrôlez les ports de défis avec
acme_http_portetacme_dns_portpour prévenir les conflits.
Le module ACME d'Angie est un outil puissant qui simplifie la gestion des certificats TLS, réduisant les coûts opérationnels et renforçant la sécurité des applications web. Son intégration fluide permet aux développeurs et administrateurs de se concentrer sur les tâches essentielles plutôt que sur la maintenance courante.
— Editorial Team
Aucun commentaire pour le moment.