ACME veut dire -> Automatic Certificate Management Environment
https://datatracker.ietf.org/doc/rfc8555/
https://github.com/acmesh-official/acme.sh
- se connecter en ssh sur son syno
- creer un repertoire pour recuperation de l'installeur
mkdir ~/temporaire
- creer un repertoire dans lequel va etre installer le script
mkdir -p ~/opt/acme.sh/
- creer un repertoire dans lequel va etre installé la configuration et les données de acme.sh
(/acme.sh va écrire tous les fichiers, y compris cert/keys, configs)
mkdir -p ~/opt/acme.sh/data/
cd ~/temporaire
git clone https://github.com/acmesh-official/acme.sh.git
cd ~/temporaire/acme.sh
./acme.sh --install -m nom.prenom@mail.org --nocron --home ~/opt/acme.sh/ --config-home ~/opt/acme.sh/data/
il faut mettre l'option --nocron sur le syno car Synology n'a pas de planificateur en cours d'exécution qui est pris en charge par acme.sh
il faut quitter et ouvrir un nouveau SSH pour prise en compte de l'installation
cd ~/opt/acme.sh/
./acme.sh --upgrade --auto-upgrade --nocron --home ~/opt/acme.sh/ --config-home ~/opt/acme.sh/data/
cd ~/opt/acme.sh/
./acme.sh --version
cd ~/opt/acme.sh/
./acme.sh --version
./acme.sh --upgrade
./acme.sh --version
Les challenges DNS sont des méthodes qui consistent à vérifier que vous êtes réellement le propriétaire d'un nom de domaine. Il en existe de plusieurs types
Pour que Let's Encrypt émette un certificat wildcard, il faut utiliser un 'challenge' DNS connu sous le nom de Validation de domaine (DV).
Acme.sh s'intègre aux API de nombreux fournisseurs DNS majeurs et automatise complètement ce processus.
ici https://github.com/acmesh-official/acme.sh/wiki/dnsapi
ici https://github.com/acmesh-official/acme.sh/wiki/How-to-use-OVH-domain-api
à suivre pas à pas
a été fait via https://eu.api.ovh.com/createApp/ comme indiqué dans la doc ci-dessus
Application name : application_acme_sh
Application description : pour usage de acme.sh sur le syno
Application Key : xxxxxxxxxxxxxxxx
Application Secret : zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz
variable pour la clef :
export OVH_AK#"xxxxxxxxxxxxxxxx"
variable pour le secret :
export OVH_AS#"zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz"
Pour générer réellement les certificats
il faut lancer la ligne de commande suivante :
./acme.sh --issue -d *.mondomaine.org --dns dns_ovh --server letsencrypt
En sortie de cela, les certificats sont générés
depuis le syno avec "File station"
ouvrir
/homes/monNomDeUser/opt/.acme.sh/
selection de "*.mondomaine.org" > télécharger le zip mondomaine.org.zip sur le disque du PC
decompression de l'archive mondomaine.org.zip dans un répertoire du pc
Panneau de config
connectivité -> Securité
Certificat
(Sélection du certificat expiré puis) -> Ajouter
(Remplacer un cerficat existant) OU Ajouter un nouveau certificat
Importer le certificat
Donner les chemins
- de la Cle privée : fichier monDomaine.org.key
- du certificat : fichier monDomaine.org.cer
- du certificat intermédiaire : fichier ca.cer
Pour remettre à jour les cerficats lorsqu'ils arrivent à expiration (au bout de 3 mois)
il faut suivre à nouveau les points depuis
demander un nouveau certificat pour tout les sous domaines possibles