let's encrypt
Post on 14-Jan-2017
650 Views
Preview:
TRANSCRIPT
Let's EncryptIt's free, automated and open
Algiers Meetup - Linux, Open Source & Security
Omar Reda Allah AKHAMAlger, 26 mars 2016
Salutations! ... ! عليكم !Hello … السلم
[omar@localhost /] # whoami
Je suis Omar Reda Allah AKHAM
● IT Manager MEGA Development Five● Certifié Red Hat RHCSA & LPI Nv1● Master Systèmes Informatique Intelligents● Passionné de Linux, Logiciels libres & Open
source
Plan
1 – Introduction
2 – Confiance & Let's Encrypt
3 – ACME : Automatisation
4 – Let's Practice
It's free, automated & open
0Let's Encrypt
IntroductionQuels besoins et quels objectifs
1It's free, automated & open
Let's Encrypt
1- IntroductionHttp Vs Https
1- IntroductionHttp Vs Https
1- IntroductionCryptage symétrique
1- IntroductionCryptage asymétrique
1- IntroductionCertificat SSL
Certificat SSL Signé par une autorité de certification :
● Dépendence d'un tiers (A.C) pour l'obtention du certificat;
● Coût d'obtention élevé;● Procédure de renouvellement très manuelle;
Certificat SSL auto-signé :
● Non réconnu par les naviguateurs (non fiable)
1- IntroductionCertificat SSL
1- IntroductionCertificat SSL
1- IntroductionLet's Encrypt
Mozilla, Electronic Frontier Foundation (EFF) et des chercheurs du Michigan décident de signer des certificats numériques
Rejoins par Cisco, Akamai & “IdenTrust” ISRG →(Internet Security Research Group)
Let's Encrypt signe des certificats pour répondres aux lacunes :
● Gratuité;● Automatisation;● Sécurité;● Transparence
1- IntroductionLet's Encrypt
Confiance & Let's EncryptLet's Encrypt, vous et vos utilisateurs : Une histoire de confiance
2It's free, automated & open
Let's Encrypt
Banques d'autorithés de certification dans les logiciels clients (navigateurs, …)
Let's Encrypt à lancer la procédure d'être une Autorité de Certification pour être incluses dans les banques A.C des logiciels clients
→ La procédure prend BEAUCOUP de temps
IdenTrust Propose de signer un Certificat Intermédiaire pour Let's Encrypt afin d'accélérer sa généralisation (19/10/2015)
2- Confiance & Let's EncryptConfiance Navigateur
Comment Let's Encrypt vous fait confiance ?
● Let's Encrypt à besoin de 2 certitudes :
– Possession du domaine
– Possession de la clé privée correspondante à la clé publique qui sera certifiée
→ Procédure automatisée via ACME!
2- Confiance & Let's EncryptConfiance Domaine
ACME : AutomatisationProtocol automatisé de gestion de certificats
3It's free, automated & open
Let's Encrypt
ACME est un protocol ouvert d'automatisationd'obtention et de renouvellement de certificats numériques
Prouvons que nous détenons notre nom de domaine :
● Challenge DNS : Ajout d'un enregistrement DNS (_acme-challenge.mondomaine.dz)
● Challenge HTTP : dépôt de ficher signés par Let's Encrypt (http://mondomaine.dz/.well-known/acme-challenge/)
3- ACME : AutomatisationPreuve propriété Domaine
Letsencrypt-auto fait le travail pour vous!
● Création de la paire de clés privée/publique
● Génération de la requête CSR
● Vérification des challenges
● Récupération du certificat signé par Let's Encrypt
● Configuration automatique du serveur web (si demandé et si la version de apache est 2.4
3- ACME : AutomatisationObtention des certificats
Let's PracticePassons à la pratique!
4It's free, automated & open
Let's Encrypt
Télécharger Let's Encrypt
# apt-get install git# git clone https://github.com/letsencrypt/letsencrypt# cd letsencrypt/# ./letsencrypt-auto --help
4- Let's PracticeInstallation & 1ère exécution
Installer Configurer Automatiser
Exemple de génération de certificats :
# ./letsencrypt-auto certonly -d mdfive.dz -d www.mdfive.dz –-manual –-agree-tos
Réaliser les challenges demandés manuellement
4- Let's PracticeLetsencrypt-auto
4- Let's PracticeMise en place du certificat
Installation du certificat (Si manuel) :
● Upload via Panel d'hébergement (Cpanel, Plesk, …)
Configuration Manuelle de apache (virtualhost) :
<VirtualHost *:443> ServerName mondomaine.dz ServerAlias www.mondomaine.dz
SSLEngine on SSLCertificateFile /etc/letsencrypt/live/mondomaine.dz/cert.pem SSLCertificateKeyFile /etc/letsencrypt/live/mondomaine.dz/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/mondomaine.dz/fullchain.pem
<VirtualHost>
4- Let's PracticeAutorenew
Let's Encrypt est en Public BETA Le certificat expire au →bout de 90 jours!
Automatisation de la procédure de renouvellement mensuellement : “CRON”
#!/bin/shcd /root/letsencrypt
./letsencrypt-auto certonly -d mdfive.dz -d www.mdfive.dz –manual --agree-tos -renew-by-default
/etc/init.d/apache2 restart
1,000,000De Certificats délivrés en 3 mois!!!
(au 8 mars 2016 à 09h04)
Merci pour votre attention!
Questions?
Contactomar.akham@mdfive.dz
top related