Les certificats SSL/TLS sécurisent les échanges HTTPS.
Avec Let's Encrypt et Certbot, vous obtenez des certificats gratuits et les renouvelez automatiquement.
Reste à automatiser la rotation avec Certbot et cron.
Plan de l'article
- Installer Certbot
- Générer un certificat SSL/TLS
- Automatiser le renouvellement avec cron ou systemd
- Vérifier le renouvellement
- Bonnes pratiques de sécurité
- Conclusion
Pour une gestion complète de la planification des tâches, consultez nos guides sur cron et crontab et les systemd timers avancés.
Installer Certbot
Sous Debian/Ubuntu :
sudo apt update
sudo apt install certbot python3-certbot-nginx
Sous CentOS/RHEL :
sudo yum install certbot python3-certbot-nginx
Générer un certificat SSL/TLS
Avec Nginx :
sudo certbot --nginx -d exemple.com -d www.exemple.com
Avec Apache :
sudo certbot --apache -d exemple.com -d www.exemple.com
👉 Le certificat est valide 90 jours.
Automatiser le renouvellement
Certbot installe automatiquement un timer systemd ou une tâche cron.
Vérifiez avec :
systemctl list-timers | grep certbot
Ou ajoutez une tâche cron manuelle :
0 3 * * * certbot renew --quiet
Vérifier le renouvellement
Tester le renouvellement :
sudo certbot renew --dry-run
Vérifier la validité :
openssl x509 -in /etc/letsencrypt/live/exemple.com/fullchain.pem -noout -enddate
Bonnes pratiques de sécurité
- Forcer le HTTPS avec une redirection 301.
- Utiliser des suites TLS modernes et désactiver les protocoles obsolètes.
- Configurer HSTS pour empêcher les downgrades en HTTP.
- Surveiller les logs de Certbot (
/var/log/letsencrypt/).
Ressources complémentaires
- Utilisez OpenSSL pour gérer les certificats
- Automatisez avec cron et crontab
- Supervisez avec systemd services avancés
Conclusion
Avec Certbot et cron, la rotation des certificats SSL/TLS tourne seule et votre connexion HTTPS reste valide en permanence.
Une étape qui protège vos services web en production.


