let's encrypt

Download Let's encrypt

Post on 14-Jan-2017

634 views

Category:

Software

2 download

Embed Size (px)

TRANSCRIPT

  • Let's EncryptIt's free, automated and open

    Algiers Meetup - Linux, Open Source & Security

    Omar Reda Allah AKHAMAlger, 26 mars 2016

  • Salutations! ... ! !Hello

    [omar@localhost /] # whoami

    Je suis Omar Reda Allah AKHAM

    IT Manager MEGA Development Five Certifi Red Hat RHCSA & LPI Nv1 Master Systmes Informatique Intelligents Passionn de Linux, Logiciels libres & Open

    source

  • Plan

    1 Introduction

    2 Confiance & Let's Encrypt

    3 ACME : Automatisation

    4 Let's Practice

    It's free, automated & open

    0Let's Encrypt

  • IntroductionQuels besoins et quels objectifs

    1It's free, automated & open

    Let's Encrypt

  • 1- IntroductionHttp Vs Https

  • 1- IntroductionHttp Vs Https

  • 1- IntroductionCryptage symtrique

  • 1- IntroductionCryptage asymtrique

  • 1- IntroductionCertificat SSL

  • Certificat SSL Sign par une autorit de certification :

    Dpendence d'un tiers (A.C) pour l'obtention du certificat;

    Cot d'obtention lev; Procdure de renouvellement trs manuelle;

    Certificat SSL auto-sign :

    Non rconnu par les naviguateurs (non fiable)

    1- IntroductionCertificat SSL

  • 1- IntroductionCertificat SSL

  • 1- IntroductionLet's Encrypt

  • Mozilla, Electronic Frontier Foundation (EFF) et des chercheurs du Michigan dcident de signer des certificats numriques

    Rejoins par Cisco, Akamai & IdenTrust ISRG (Internet Security Research Group)

    Let's Encrypt signe des certificats pour rpondres aux lacunes : Gratuit; Automatisation; Scurit; Transparence

    1- IntroductionLet's Encrypt

  • Confiance & Let's EncryptLet's Encrypt, vous et vos utilisateurs : Une histoire de confiance

    2It's free, automated & open

    Let's Encrypt

  • Banques d'autoriths de certification dans les logiciels clients (navigateurs, )

    Let's Encrypt lancer la procdure d'tre une Autorit de Certification pour tre incluses dans les banques A.C des logiciels clients

    La procdure prend BEAUCOUP de temps

    IdenTrust Propose de signer un Certificat Intermdiaire pour Let's Encrypt afin d'acclrer sa gnralisation (19/10/2015)

    2- Confiance & Let's EncryptConfiance Navigateur

  • Comment Let's Encrypt vous fait confiance ?

    Let's Encrypt besoin de 2 certitudes :

    Possession du domaine

    Possession de la cl prive correspondante la cl publique qui sera certifie

    Procdure automatise via ACME!

    2- Confiance & Let's EncryptConfiance Domaine

  • ACME : AutomatisationProtocol automatis de gestion de certificats

    3It's free, automated & open

    Let's Encrypt

  • ACME est un protocol ouvert d'automatisationd'obtention et de renouvellement de certificats numriques

    Prouvons que nous dtenons notre nom de domaine :

    Challenge DNS : Ajout d'un enregistrement DNS (_acme-challenge.mondomaine.dz)

    Challenge HTTP : dpt de ficher signs par Let's Encrypt (http://mondomaine.dz/.well-known/acme-challenge/)

    3- ACME : AutomatisationPreuve proprit Domaine

  • Letsencrypt-auto fait le travail pour vous!

    Cration de la paire de cls prive/publique

    Gnration de la requte CSR

    Vrification des challenges

    Rcupration du certificat sign par Let's Encrypt

    Configuration automatique du serveur web (si demand et si la version de apache est 2.4

    3- ACME : AutomatisationObtention des certificats

  • Let's PracticePassons la pratique!

    4It's free, automated & open

    Let's Encrypt

  • Tlcharger Let's Encrypt

    # apt-get install git# git clone https://github.com/letsencrypt/letsencrypt# cd letsencrypt/# ./letsencrypt-auto --help

    4- Let's PracticeInstallation & 1re excution

    Installer Configurer Automatiser

    https://github.com/letsencrypt/letsencrypt

  • Exemple de gnration de certificats :

    # ./letsencrypt-auto certonly -d mdfive.dz -d www.mdfive.dz -manual -agree-tos

    Raliser les challenges demands manuellement

    4- Let's PracticeLetsencrypt-auto

  • 4- Let's PracticeMise en place du certificat

    Installation du certificat (Si manuel) :

    Upload via Panel d'hbergement (Cpanel, Plesk, )

    Configuration Manuelle de apache (virtualhost) :

    ServerName mondomaine.dz ServerAlias www.mondomaine.dz

    SSLEngine on SSLCertificateFile /etc/letsencrypt/live/mondomaine.dz/cert.pem SSLCertificateKeyFile /etc/letsencrypt/live/mondomaine.dz/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/mondomaine.dz/fullchain.pem

  • 4- Let's PracticeAutorenew

    Let's Encrypt est en Public BETA Le certificat expire au bout de 90 jours!

    Automatisation de la procdure de renouvellement mensuellement : CRON

    #!/bin/shcd /root/letsencrypt

    ./letsencrypt-auto certonly -d mdfive.dz -d www.mdfive.dz manual --agree-tos -renew-by-default

    /etc/init.d/apache2 restart

  • 1,000,000De Certificats dlivrs en 3 mois!!!

    (au 8 mars 2016 09h04)

  • Merci pour votre attention!

    Questions?

    Contactomar.akham@mdfive.dz

    Slide 1Slide 2Slide 3Slide 4Slide 5You can also split your contentSlide 7Slide 8Slide 9Slide 10This is a slide titleSlide 12Slide 13Slide 14Slide 15Slide 16Slide 17Slide 18Slide 19Slide 20Slide 21Slide 22Our process is easySlide 24Slide 25Slide 26