Lancé fin 2015, l’organisme à but non lucratif Let’s Encrypt a permis de démocratiser l’utilisation de HTTPS en fournissant gratuitement des certificats SSL grâce à un système de validation automatisé.

Après plusieurs mois de tests, Let’s Encrypt vient de lancer la deuxième version de son client (ACME v2) avec une fonctionnalité très demandée : pouvoir obtenir des certificats wildcard, valables pour tous les sous-domaines d’un même domaine.

Cette possibilité est particulièrement intéressante lorsque l’on utilise de nombreux sous-domaines : jusqu’ici, il était nécessaire de rééditer un nouveau certificat pour ajouter un nouveau sous-domaine, ou pour en supprimer un ancien. Désormais, un simple *.domain.tld suffit !

Ces commandes sont à faire en sudo ou en root

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
mv certbot-auto /bin

Remplacer ^domain.tdl par le domaine à certifié

 certbot-auto certonly --server https://acme-v02.api.letsencrypt.org/directory --manual -d *.domain.tld -d domain.tdl 

Suivre les instructions jusqu'à la validation qui demande de rajouter un zone ^TXT dans le DNS et un fichier contenant un texte spécifique accessible depuis une URL.

Le certificat est valable trois mois, avant de devoir être renouvelé. Pour s’en assurer, on crée une tâche ^cron

30 5 * * 1 certbot-auto renew
35 5 * * 1 /etc/init.d/(apache2 ou nginx) reload