Retour à l'accueil

Automatisation des certificats TLS dans Angie avec le module ACME : Guide

Cet article est dédié à la configuration du module ACME dans le serveur web Angie pour l'obtention et le renouvellement automatiques des certificats TLS. Il couvre les méthodes de vérification HTTP et DNS, y compris les certificats wildcard, avec des exemples de configuration pratiques.

Automatisez les certificats TLS dans Angie : Guide ACME complet
Advertisement 728x90

# Automatisation des certificats TLS dans Angie : Guide complet du module ACME

Le module ACME du serveur web Angie automatise l'obtention et le renouvellement des certificats TLS, y compris les certificats génériques (*), avec un minimum d'efforts. Le support intégré du protocole ACME élimine le besoin d'outils externes comme certbot, simplifiant la configuration et la gestion de la sécurité des sites.

Configuration des défis HTTP pour les certificats standards

Pour obtenir des certificats via des défis HTTP (HTTP-01), commencez par définir les propriétés dans la directive acme_client au sein du contexte http. Voici un exemple de configuration pour les certificats RSA et ECDSA :

http {
  resolver 127.0.0.53 ipv6=off;
  acme_client rsa      https://acme-v02.api.letsencrypt.org/directory key_type=rsa;
  acme_client ecdsa    https://acme-v02.api.letsencrypt.org/directory;
}

Configurez ensuite votre serveur pour utiliser ces certificats :

Google AdInline article slot
server {
  listen 443 ssl;
  server_name site.ru www.site.ru test.site.ru company.ru;
  acme rsa;
  acme ecdsa;
  ssl_certificate         $acme_cert_rsa;
  ssl_certificate_key $acme_cert_key_rsa;
  ssl_certificate         $acme_cert_ecdsa;
  ssl_certificate_key $acme_cert_key_ecdsa;
}

Angie ouvrira automatiquement le port 80 pour les défis HTTP, sauf indication contraire via acme_http_port. Surveillez l'émission des certificats via error_log ou l'API, avec des messages de niveau notice pour les renouvellements réussis.

Obtention de certificats génériques via vérification DNS

Les défis DNS (DNS-01) sont requis pour les certificats génériques couvrant les domaines de second niveau et tous les sous-domaines de troisième niveau. Utilisez la délégation de zone en créant des enregistrements DNS dans votre panneau d'hébergement :

_acme-challenge.site.ru. 60    IN      NS       ns.site.ru.
             ns.site.ru. 60    IN       A       {IP_du_serveur}

Configurez ensuite acme_client avec le paramètre challenge=dns :

Google AdInline article slot
http {
  resolver 127.0.0.53 ipv6=off;
  acme_client ecdsa    https://acme-v02.api.letsencrypt.org/directory challenge=dns;
  server {
    listen 443 ssl;
    server_name site.ru *.site.ru;
    acme ecdsa;
    ssl_certificate         $acme_cert_ecdsa;
    ssl_certificate_key $acme_cert_key_ecdsa;
  }
}

Angie ouvrira le port 53 pour les requêtes DNS ; utilisez acme_dns_port pour éviter les conflits avec les services locaux.

Méthodes alternatives et fonctionnalités avancées

Lorsque les défis standards ne sont pas possibles, le module ACME supporte des hooks personnalisés pour déléguer la création de fichiers ou la gestion d'enregistrements DNS à des applications externes. Il supporte aussi la méthode TLS-ALPN-01, utile quand le port 80 ne peut pas être ouvert, activée via challenge=alpn.

Avantages clés

  • Automatisation : Le module ACME d'Angie automatise entièrement l'émission et le renouvellement des certificats TLS, y compris les génériques, sans intervention manuelle.
  • Flexibilité : Prend en charge les défis HTTP-01, DNS-01 et TLS-ALPN-01, plus des hooks personnalisés pour les configurations complexes.
  • Performance : Les certificats sont chargés en mémoire serveur et peuvent être mis en cache avec ssl_certificate_cache pour l'optimisation.
  • Compatibilité : Fonctionne avec n'importe quel fournisseur conforme ACME, comme Let's Encrypt.
  • Surveillance : S'intègre avec error_log et l'API pour suivre l'état des certificats.

Conseils pratiques pour la mise en œuvre

Lors de la configuration du module ACME, gardez ces points à l'esprit :

Google AdInline article slot
  • Tests : Utilisez l'environnement de staging de Let's Encrypt pour les premières configurations afin d'éviter les limites de taux.
  • Sécurité : Assurez-vous que le serveur DNS resolver est fiable et désactivez IPv6 si nécessaire.
  • Mise en cache : Configurez ssl_certificate_cache pour booster les performances, surtout avec les variables de certificats.
  • Ports : Contrôlez les ports de défis avec acme_http_port et acme_dns_port pour prévenir les conflits.

Le module ACME d'Angie est un outil puissant qui simplifie la gestion des certificats TLS, réduisant les coûts opérationnels et renforçant la sécurité des applications web. Son intégration fluide permet aux développeurs et administrateurs de se concentrer sur les tâches essentielles plutôt que sur la maintenance courante.

— Editorial Team

Advertisement 728x90

Lire ensuite