Let's encrypt
-
Upload
cortex-omar -
Category
Software
-
view
643 -
download
2
Transcript of Let's encrypt
![Page 1: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/1.jpg)
Let's EncryptIt's free, automated and open
Algiers Meetup - Linux, Open Source & Security
Omar Reda Allah AKHAMAlger, 26 mars 2016
![Page 2: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/2.jpg)
Salutations! ... ! عليكم !Hello … السلم
[omar@localhost /] # whoami
Je suis Omar Reda Allah AKHAM
● IT Manager MEGA Development Five● Certifié Red Hat RHCSA & LPI Nv1● Master Systèmes Informatique Intelligents● Passionné de Linux, Logiciels libres & Open
source
![Page 3: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/3.jpg)
Plan
1 – Introduction
2 – Confiance & Let's Encrypt
3 – ACME : Automatisation
4 – Let's Practice
It's free, automated & open
0Let's Encrypt
![Page 4: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/4.jpg)
IntroductionQuels besoins et quels objectifs
1It's free, automated & open
Let's Encrypt
![Page 5: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/5.jpg)
1- IntroductionHttp Vs Https
![Page 6: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/6.jpg)
1- IntroductionHttp Vs Https
![Page 7: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/7.jpg)
1- IntroductionCryptage symétrique
![Page 8: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/8.jpg)
1- IntroductionCryptage asymétrique
![Page 9: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/9.jpg)
1- IntroductionCertificat SSL
![Page 10: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/10.jpg)
Certificat SSL Signé par une autorité de certification :
● Dépendence d'un tiers (A.C) pour l'obtention du certificat;
● Coût d'obtention élevé;● Procédure de renouvellement très manuelle;
Certificat SSL auto-signé :
● Non réconnu par les naviguateurs (non fiable)
1- IntroductionCertificat SSL
![Page 11: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/11.jpg)
1- IntroductionCertificat SSL
![Page 12: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/12.jpg)
1- IntroductionLet's Encrypt
![Page 13: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/13.jpg)
Mozilla, Electronic Frontier Foundation (EFF) et des chercheurs du Michigan décident de signer des certificats numériques
Rejoins par Cisco, Akamai & “IdenTrust” ISRG →(Internet Security Research Group)
Let's Encrypt signe des certificats pour répondres aux lacunes :
● Gratuité;● Automatisation;● Sécurité;● Transparence
1- IntroductionLet's Encrypt
![Page 14: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/14.jpg)
Confiance & Let's EncryptLet's Encrypt, vous et vos utilisateurs : Une histoire de confiance
2It's free, automated & open
Let's Encrypt
![Page 15: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/15.jpg)
Banques d'autorithés de certification dans les logiciels clients (navigateurs, …)
Let's Encrypt à lancer la procédure d'être une Autorité de Certification pour être incluses dans les banques A.C des logiciels clients
→ La procédure prend BEAUCOUP de temps
IdenTrust Propose de signer un Certificat Intermédiaire pour Let's Encrypt afin d'accélérer sa généralisation (19/10/2015)
2- Confiance & Let's EncryptConfiance Navigateur
![Page 16: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/16.jpg)
Comment Let's Encrypt vous fait confiance ?
● Let's Encrypt à besoin de 2 certitudes :
– Possession du domaine
– Possession de la clé privée correspondante à la clé publique qui sera certifiée
→ Procédure automatisée via ACME!
2- Confiance & Let's EncryptConfiance Domaine
![Page 17: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/17.jpg)
ACME : AutomatisationProtocol automatisé de gestion de certificats
3It's free, automated & open
Let's Encrypt
![Page 18: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/18.jpg)
ACME est un protocol ouvert d'automatisationd'obtention et de renouvellement de certificats numériques
Prouvons que nous détenons notre nom de domaine :
● Challenge DNS : Ajout d'un enregistrement DNS (_acme-challenge.mondomaine.dz)
● Challenge HTTP : dépôt de ficher signés par Let's Encrypt (http://mondomaine.dz/.well-known/acme-challenge/)
3- ACME : AutomatisationPreuve propriété Domaine
![Page 19: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/19.jpg)
Letsencrypt-auto fait le travail pour vous!
● Création de la paire de clés privée/publique
● Génération de la requête CSR
● Vérification des challenges
● Récupération du certificat signé par Let's Encrypt
● Configuration automatique du serveur web (si demandé et si la version de apache est 2.4
3- ACME : AutomatisationObtention des certificats
![Page 20: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/20.jpg)
Let's PracticePassons à la pratique!
4It's free, automated & open
Let's Encrypt
![Page 21: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/21.jpg)
Télécharger Let's Encrypt
# apt-get install git# git clone https://github.com/letsencrypt/letsencrypt# cd letsencrypt/# ./letsencrypt-auto --help
4- Let's PracticeInstallation & 1ère exécution
Installer Configurer Automatiser
![Page 22: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/22.jpg)
Exemple de génération de certificats :
# ./letsencrypt-auto certonly -d mdfive.dz -d www.mdfive.dz –-manual –-agree-tos
Réaliser les challenges demandés manuellement
4- Let's PracticeLetsencrypt-auto
![Page 23: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/23.jpg)
4- Let's PracticeMise en place du certificat
Installation du certificat (Si manuel) :
● Upload via Panel d'hébergement (Cpanel, Plesk, …)
Configuration Manuelle de apache (virtualhost) :
<VirtualHost *:443> ServerName mondomaine.dz ServerAlias www.mondomaine.dz
SSLEngine on SSLCertificateFile /etc/letsencrypt/live/mondomaine.dz/cert.pem SSLCertificateKeyFile /etc/letsencrypt/live/mondomaine.dz/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/mondomaine.dz/fullchain.pem
<VirtualHost>
![Page 24: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/24.jpg)
4- Let's PracticeAutorenew
Let's Encrypt est en Public BETA Le certificat expire au →bout de 90 jours!
Automatisation de la procédure de renouvellement mensuellement : “CRON”
#!/bin/shcd /root/letsencrypt
./letsencrypt-auto certonly -d mdfive.dz -d www.mdfive.dz –manual --agree-tos -renew-by-default
/etc/init.d/apache2 restart
![Page 25: Let's encrypt](https://reader034.fdocuments.us/reader034/viewer/2022052318/587a106d1a28ab01268b7967/html5/thumbnails/25.jpg)
1,000,000De Certificats délivrés en 3 mois!!!
(au 8 mars 2016 à 09h04)