Une erreur s'est produite.

L'erreur a été envoyée par e-mail à l'administrateur pour analyse.

Que puis-je faire une fois que j'ai acheté un nom de domaine ?

Obtenez gratuitement un certificat TLS valide pour des raisons de sécurité et de crédibilité.

Bonjour, je m'appelle Christophe Tate. Je suis un consultant pour Red Hat et j'adore les logiciels open source. Tout d'abord, félicitations pour avoir obtenu votre propre nom de domaine pour lancer votre site. Avec un nom de domaine, vous voudrez également obtenir un certificat TLS. La bonne nouvelle est qu’il est totalement gratuit, grâce à la technologie open source. Avec un certificat vous pouvez sécuriser les communications vers votre site. Vous pouvez signer votre code et vous assurer qu'il est valide lorsqu'il est déployé sur le cloud. Vous pouvez également configurer une connexion sécurisée avec OAuth2/OpenID Connect Single Sign On à toutes vos applications. Je vais vous montrer comment obtenir ces certificats et générer les magasins de clés à utiliser dans vos applications de manière open source.

Personnalisez le site entier pour votre domaine.

  1. Cliquez simplement sur le bouton [ Connexion ] ci-dessus.
  2. Cliquez « New user? Register ».
  3. C'est gratuit et vos informations sont privées.

Comment installer les dépendences pour certbot ?

Construisez les dépendances avec yum.

sudo yum install -y epel-release
  1. sudo
    : La commande pour installer des dépots yum commence par la commande sudo. La commande "sudo" permet à votre utilisateur actuel d'avoir les privilèges root pendant quelques minutes après avoir saisi votre mot de passe. L'installation des dépots yum nécessite toujours les privilèges root.
  2. yum
    yum Signifie "Yellowdog Updater Modified", mais personne ne le connait comme yellowdog, juste yum. CentOS gère les paquets de logiciel et les fichiers d'application RPM avec yum.
  3. install
    : Pour installer des nouveaux paquets yum.
  4. -y
    : Réprimer les messages demandant de confirmer si vous souhaitez installer le logiciel.
  5. epel-release
    : Nom du paquet des packages supplémentaires pour le référentiel Enterprise Linux.
sudo yum install -y certbot
  1. sudo
  2. yum
  3. install
  4. -y
  5. certbot
    : Une autorité de certification gratuite et automatisée qui vise à réduire les barrières à l'entrée pour le chiffrement de tout le trafic HTTP sur l'Internet.

Où dois-je placer les certificats, les clés et les magasins de clés pour mon site ?

Créez un répertoire certbot dans /srv.

sudo install -d -o $USER -g $USER -m 700 /srv/certbot
  1. sudo
  2. install
    : Crée des répertoires et définit des attributs sur le nouveau répertoire.
  3. -d
    : Créez tous les composants des répertoires spécifiés.
  4. -o
    : Définir la propriété sur le répertoire (super-utilisateur uniquement).
  5. $USER
    : L'utilisateur actuel à rendre le propriétaire du répertoire.
  6. -g
    : Définir la propriété du groupe sur le répertoire (super-utilisateur uniquement).
  7. $USER
    : L'utilisateur actuel à rendre le propriétaire du groupe du répertoire.
  8. -m
    -m : Définir les droits sur le répertoire (super-utilisateur uniquement).
  9. 700
    : Accordez des autorisations de lecture, d'écriture et d'exécution à l'utilisateur du répertoire uniquement.
  10. /srv/certbot
    : /srv est un bon endroit pour installer des serveurs logicielles open source et vos certificats, clés et magasins de clés.

Comment puis-je obtenir mon certificat ?

Utilisez la commande certbot.

sudo certbot --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory certonly -d example.com -d *.example.com -d *.applis.example.com
  1. sudo
  2. certbot
    : Une autorité de certification gratuite et automatisée qui vise à réduire les barrières à l'entrée pour le chiffrement de tout le trafic HTTP sur l'Internet.
  3. --manual
    : Obtenez des certificats de manière interactive ou à l'aide d'un script shell.
  4. --preferred-challenges dns
    : Utilisez les défis d'enregistrement DNS pour prouver la propriété de votre domaine.
  5. --server https://acme-v02.api.letsencrypt.org/directory
    : Spécifiez une version plus récente d'un serveur letsencrypt qui autorise les domaines wildcard dans les certificats.
  6. certonly
    : Obtenir ou renouveler un certificat, mais ne l'installez pas.
  7. -d example.com
    : Spécifiez votre nom de domaine de racine pour l'inclure en tant que route sécurisée par le certificat.
  8. -d *. example.com
    : Incluez des domaines génériques dans votre domaine racine, y compris www par exemple.
  9. -d *.applis. example.com
    : Les domaines génériques n'incluent pas les sous-domaines d'un domaine générique; incluez donc également des sous-domaines supplémentaires. Vous pouvez inclure plus d'un nom de domaine dans le même certificat si vous le souhaitez, jusqu'à un montant généreux par letsencrypt.

certbot vous posera des questions, par exemple, si vous souhaitez que votre adresse IP soit consignée comme ayant demandé ce certificat.Vous pouvez répondre Yes car c'est votre certificat. Il vous demandera probablement votre adresse e-mail, c'est bien, parce qu'ils vous enverront un mail lorsque votre certificat expirera quelques semaines avant. Les certificats expirent tous les 3 mois, c'est bien souvent, mais ils sont gratuits, donc vous ne pouvez pas trop vous plaindre.Des certificats beaucoup plus chers peuvent durer 3 ans.

Aussi, certbot vous demandera de créer plusieurs enregistrements DNS TXT avec des valeurs aléatoires pour vos noms de domaine que vous avez spécifiés, afin de prouver que vous êtes le propriétaire du domaine. Cela prendra du temps tous les trois mois. Je vous recommande donc un service qui vous permettra de gérer le DNS de vos propres noms de domaine. Fastmail est le service que j'utilise pour la messagerie personnelle et le DNS https://www.fastmail.com/. Fastmail est basé en Australie et protège la confidentialité de votre messagerie, contrairement à certains autres fournisseurs de messagerie. Avec Fastmail, je peux me connecter, même à partir de mon appli Fastmail sur mon mobile, et gérer mon DNS. Je peux gérer autant de noms de domaine que je le souhaite avec Fastmail. Je dit à l'équipe de support du bureau d'enregistrement de domaine où j'ai acheté le domaine, les serveurs de noms de fastmail.com (ns1.messagingengine.com, ns2.messagingengine.com) et j'ajoute le domaine dans Fastmail. Ensuite, je peux gérer les enregistrements DNS une fois les modifications sont faites pour tous mes domaines. J'ajoute un enregistrement TXT et une valeur pour chaque défi certbot et enregistre les modifications. Autant que je sache, les enregistrements TXT sont enregistrés immédiatement.

Copiez les fichiers certbot avec la commande install.

sudo install -o $USER -g $USER -m 700 /etc/letsencrypt/live/example.com/privkey.pem /srv/certbot/server.key
  1. sudo
  2. install
  3. -o
  4. $USER
  5. -g
  6. $USER
  7. -m
  8. 700
  9. /srv/certbot /etc/letsencrypt/live/example.com/privkey.pem
    : Une fois que la commande certbot est terminée, elle vous indiquera le chemin complet de la clé privée récemment générée, ce qui n'est peut-être pas exactement ce que j'ai écrit ici.
  10. /srv/certbot/server.key
    : Le nouveau chemin où la clé privée sera copiée.
sudo install -o $USER -g $USER -m 700 /etc/letsencrypt/live/example.com/fullchain.pem /srv/certbot/server.crt
  1. sudo
  2. install
  3. -o
  4. $USER
  5. -g
  6. $USER
  7. -m
  8. 700
  9. /srv/certbot /etc/letsencrypt/live/example.com/fullchain.pem
    : Une fois que la commande certbot est terminée, elle vous indiquera le chemin complet de le certificat récemment généré, ce qui n'est peut-être pas exactement ce que j'ai écrit ici.
  10. /srv/certbot/server.crt
    : Le nouveau chemin où le certificat sera copié.

Comment puis-je obtenir les certificats letencrypt racine et CA ?

Téléchargez les certificats racine et CA avec la commande curl.

curl https://letsencrypt.org/certs/isrgrootx1.pem.txt -o /srv/certbot/root.crt
  1. curl
    : Un outil pour transférer des données depuis ou vers un serveur, en utilisant les protocoles pris en charge.
  2. https://letsencrypt.org/certs/isrgrootx1.pem.txt
    : L'URL du certificat racine de letsencrypt.
  3. -o /srv/certbot/root.crt
    : Ecrit la sortie dans le fichier root.crt au lieu de stdout.
curl https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt -o /srv/certbot/ca1.crt
  1. curl
  2. https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt
    : L'URL du premier certificat d'autorité letsencrypt.
  3. -o /srv/certbot/ca1.crt
    : Ecrit la sortie dans le fichier ca1.crt au lieu de stdout.
curl https://letsencrypt.org/certs/letsencryptauthorityx3.pem.txt -o /srv/certbot/ca2.crt
  1. curl
  2. https://letsencrypt.org/certs/letsencryptauthorityx3.pem.txt
    : L'URL du deuxième certificat d'autorité letsencrypt.
  3. -o /srv/certbot/ca2.crt
    : Ecrit la sortie dans le fichier ca2.crt au lieu de stdout.

Comment créer une version fusionnée de certificats de site, de certificats d'autorité et de certificat racine ?

Créez un certificat fusionné avec la commande cat.

cat /srv/certbot/root.crt /srv/certbot/ca2.crt /srv/certbot/server.crt > /srv/certbot/merged.crt
  1. cat
    : Concaténer des fichiers et imprimer sur la sortie standard.
  2. /srv/certbot/root.crt
    : Le chemin vers le certificat racine de letsencrypt.
  3. /srv/certbot/ca2.crt
    : Le chemin vers le deuxième certificat d'autorité letsencrypt.
  4. /srv/certbot/server.crt
    : Le chemin vers votre nouveau certificat de site, la première certificat d'autorité de letsencrypt est également dedans.
  5. >
    : Ecrivez le contenu de la commande précédente dans le fichier.
  6. /srv/certbot/merged.crt
    : Le chemin vers le fichier de certificat fusionné.

Comment créer une chaîne de confiance de certificat pkcs12 ?

Utilisez la commande openssl pour créer un fichier .p12.

En cryptographie, PKCS # 12 définit un format de fichier d’archive pour stocker de nombreux objets de cryptographie dans un seul fichier. C'est utilisé pour regrouper une clé privée avec son certificat X.509 ou pour regrouper tous les membres d'une chaîne de confiance.

openssl pkcs12 -export -name example.com -in /srv/certbot/merged.crt -inkey /srv/certbot/server.key -out /srv/certbot/server.p12
  1. openssl
    : OpenSSL est une boîte à outils de cryptographie implémentant les protocoles réseau Secure Sockets Layer (SSL v2/v3) et Transport Layer Security (TLS v1).
  2. pkcs12
    : La commande pkcs12 permet aux fichiers PKCS # 12 d'être créés et analysés.
  3. -export
    : Cette option spécifie qu'un fichier PKCS # 12 sera créé plutôt que analysé.
  4. -name example.com
    : Ceci spécifie l'alias ou le nom d'affichage du certificat et de la clé privée.
  5. -in /srv/certbot/merged.crt
    : Le chemin vers le fichier de certificat fusionné.
  6. -inkey /srv/certbot/server.key
    : Le chemin vers le la clé privée.
  7. -out /srv/certbot/server.p12
    : Le chemin au nouveau fichier de chaîne de confiance .p12.

Comment créer un magasin de clés Java pour les chaînes de certificats dans les applications Java?

Utilisez la commande keytool pour créer un fichier .jks.

keytool -importkeystore -srcstoretype pkcs12 -srckeystore /srv/certbot/server.p12 -destkeystore /srv/certbot/server.jks
  1. keytool
    : Une application Java qui gère un magasin de clés cryptographiques, de chaînes de certificats et de certificats de confiance.
  2. -importkeystore
    : Importe des entrées d'un magasin de clés de source vers un magasin de clés de destination.
  3. -srcstoretype pkcs12
    : Le type de magasin de clés source, qui est pkcs12.
  4. -srckeystore /srv/certbot/server.p12
    : Le chemin au fichier de chaîne de confiance .p12.
  5. -destkeystore /srv/certbot/server.jks
    : Le chemin au nouveau magasin de clés Java .jks.

Comment créer un magasin de clés Java pour mon clé secret dans les applications Java?

Utilisez la commande keytool pour créer un fichier .jceks.

keytool -genseckey -storetype JCEKS -alias example.com -keystore /srv/certbot/server.jceks
  1. keytool
  2. -genseckey
    : Importe des entrées d'un magasin de clés de source vers un magasin de clés de destination.
  3. -storetype JCEKS
    : Type de fichier de clés dans lequel les clés sont stockées afin d'éviter que vos clés de chiffrement ne soient exposées.
  4. -alias example.com
    : Ceci spécifie l'alias ou le nom d'affichage du certificat et de la clé privée.
  5. -keystore /srv/certbot/server.jceks
    : Le chemin au nouveau magasin de clés Java .jks.

Félicitations, vous êtes maintenant prêt à utiliser votre nouveau certificat, vos clés et vos magasins de clés dans vos applications. Vous pourrez sécuriser vos applications avec https et TLS localement et sur le cloud OpenShift. Vous pouvez signer votre code Java pour le déployer en toute confiance. Vous pouvez installer un serveur Single Sign On pour gérer l'authentification et l'autorisation des utilisateurs dans vos applications.

À récapituler :

Vendredi
24 Mai 2019 Que puis-je faire une fois que j'ai acheté un nom de domaine ? Obtenez gratuitement un certificat TLS valide pour des raisons de sécurité et de crédibilité. Par Christophe Tate
Questions Reponses
Comment installer les dépendences pour certbot ? Construisez les dépendances avec yum.
Où dois-je placer les certificats, les clés et les magasins de clés pour mon site ? Créez un répertoire certbot dans /srv.
Comment puis-je obtenir mon certificat ? Utilisez la commande certbot.
Comment utiliser le certificat et la clé générés par certbot ? Copiez les fichiers certbot avec la commande install.
Comment puis-je obtenir les certificats letencrypt racine et CA ? Téléchargez les certificats racine et CA avec la commande curl.
Comment créer une version fusionnée de certificats de site, de certificats d'autorité et de certificat racine ? Créez un certificat fusionné avec la commande cat.
Comment créer une chaîne de confiance de certificat pkcs12 ? Utilisez la commande openssl pour créer un fichier .p12.
Comment créer un magasin de clés Java pour les chaînes de certificats dans les applications Java? Utilisez la commande keytool pour créer un fichier .jks.
Comment créer un magasin de clés Java pour mon clé secret dans les applications Java? Utilisez la commande keytool pour créer un fichier .jceks.

Articles précédents et suivants.

N'abandonnez pas vos idées. Vous pouvez faire des choses compliquées !

Partager cette page.

Connectez-vous.
En-haut.