Gérer les paramètres Let’s Encrypt
Le comportement de l’extension Let’s Encrypt dépend de plusieurs paramètres, par exemple :
- Délai avant expiration et renouvellement des certificats Let’s Encrypt.
- Enregistrement ou non des requêtes du serveur ACME dans les logs Plesk.
- Taille de la clé privée RSA, etc.
Vous pouvez modifier ces paramètres en saisissant des valeurs personnalisées dans la section [ext-letsencrypt] du fichier de configuration panel.ini. Par exemple, pour renouveler les certificats Let’s Encrypt 45 jours avant date d’expiration et pour passer la taille de la clé privée RSA à 4 096 bits, ajoutez la section suivante au fichier panel.ini :
[ext-letsencrypt]
renew-before-expiration = 45
rsa-key-size = 4096
Sécurité des sites Web avec des certificats SSL/TLS gratuits de Let’s Encrypt
L’extension Let’s Encrypt permet de protéger automatiquement les sites Web hébergés avec des certificats de confiance gratuits de Let’s Encrypt. Vous pouvez activer ou désactiver cette fonction pour chaque pack d’hébergement. Quand vous activez cette fonction pour un pack d’hébergement, un domaine, un sous-domaine, un alias de domaine ou une messagerie Web appartenant à un abonnement basé sur un pack d’hébergement, étant soit :
- Avec protection par un certificat SSL/TLS autosigné.
- Avec protection par un certificat SSL/TLS expiré.
- Non protégé par un certificat SSL/TLS.
Le certificat SSL/TLS autosigné ou expiré est remplacé par un certificat Let’s Encrypt.
L’extension Let’s Encrypt peut également remplacer les certificats SSL/TLS non générés par l’une des autorités de certification de confiance, en plus de remplacer les certificats SSL/TLS autosignés et expirés. Pour ce faire, définissez le paramètre check-domain-cert-authority sur true. Pour en savoir plus sur le paramètre check-domain-cert-authority, consultez la « Liste des paramètres Let’s Encrypt ».
Pour protéger des sites Web avec des certificats SSL/TLS gratuits de Let’s Encrypt :
- Allez dans Pack de services.
- Dans l’onglet Packs d’hébergement, cliquez soit sur Ajouter un pack pour créer un pack, soit sur le nom d’un pack existant pour le modifier.
- Allez sur l’onglet « Autres services ».
- Sous « SSL It! », sélectionnez « Garder les sites Web sécurisés avec des certificats SSL gratuits ».
- Cliquez sur OK.
Désormais, tous les domaines, sous-domaines, alias de domaines et messageries Web qui appartiennent aux abonnements basés sur ce pack d’hébergement seront protégés automatiquement avec des certificats Let’s Encrypt. Ce changement s’applique aux nouveaux abonnements ainsi qu’aux abonnements existants.
Vous pouvez également activer l’option « Garder les sites Web sécurisés avec des certificats SSL gratuits » via l’API XML et la requête suivante :
<?xml version="1.0" encoding="UTF-8"?>
<packet>
<service-plan>
<add-plan-item>
<filter>
<name>Default Domain</name>
</filter>
<plan-item>
<name>urn:ext:letsencrypt:plan-item-sdk:keep-secured</name>
</plan-item>
</add-plan-item>
</service-plan>
</packet>
Liste des paramètres Let’s Encrypt
Tous les paramètres de l’extension Let’s Encrypt utilisables dans le fichier panel.ini sont décrits ci-dessous :
| Paramètre | Type | Description | Valeur par défaut |
|---|---|---|---|
rsa-key-size |
integer | Taille de la clé privée RSA en bits. | 2048 |
user-agent |
string | En-tête HTTP du User-Agent. | Plesk/$PRODUCT_VERSION |
letsencrypt-url |
string | URL du site Web Let’s Encrypt | https://letsencrypt.org/ |
terms-url |
string | URL du répertoire politique et juridique Let’s Encrypt (Policy et Legal). | https://letsencrypt.org/repository/ |
|
(obsolète) |
integer |
Nombre de jours avant expiration et renouvellement automatique du certificat. Vous pouvez utiliser le même paramètre que pour l’extension SSL It!. Dans ce cas, le paramètre de SSL It! sera prioritaire par rapport au paramètre Let’s Encrypt. Ce paramètre est encore actif actuellement, mais il deviendra obsolète dans Let’s Encrypt à l’avenir. |
30 |
config-dir |
string | Chemin de stockage des certificats pour intégration tierce. | $PRODUCT_ROOT/var/modules/letsencrypt/etc |
verify |
string | Chemin vers le bundle des certificats CA Root de confiance. | $PRODUCT_ROOT/admin/plib/modules/letsencrypt/resources/ca/cacert.pem |
disable-cleanup |
booléen | Désactiver le nettoyage de fichiers token après la résolution des litiges liés au domaine. | false |
log-requests |
booléen | Enregistrer les requêtes vers le serveur ACME dans le fichier journal de Plesk. | false |
secure-new-domain |
booléen | Définir le statut par défaut de la case « Sécuriser le domaine avec Let’s Encrypt » lors de la création d’un abonnement, d’un domaine ou d’un sous-domaine. | false |
letsencrypt-docs-rate-limits-url |
string | URL de la documentation Let’s Encrypt sur les « Rate Limits ». Le lien est affiché dans les messages d’erreur de l’interface de l’extension lorsque les limites Let’s Encrypt ont été dépassées. | https://letsencrypt.org/docs/rate-limits/ |
check-availability-delay |
integer | *Durée d’attente en secondes entre les tentatives de vérification d’accessibilité d’un domaine via HTTP. | 5 |
check-availability-max-attempts |
integer | *Nombre maximal de tentatives de vérification d’accessibilité d’un domaine via HTTP. | 10 |
check-availability-timeout |
integer | *Délai maximal en secondes pour vérifier l’accessibilité d’un domaine via HTTP. Si aucun code de réponse n’est reçu pendant le temps défini par check-availability-timeout, le domaine est considéré comme non disponible. | 5 |
check-domain-cert-authority |
booléen | Quand l’option « Garder les sites Web sécurisés avec des certificats SSL gratuits » est activée, si vous définissez ce paramètre sur « false », l’extension Let’s Encrypt remplace uniquement les certificats SSL/TLS autosignés et expirés. Si vous le définissez sur « true », l’extension remplace également les certificats SSL/TLS qui ne sont pas de confiance par l’un des certificats racine du paquet de certificats CA racine de confiance (voir le paramètre verify). |
false |
send-notifications-interval |
date interval | Détermine le nombre de notifications que l’extension Let’s Encrypt peut vous envoyer (par exemple, quand un domaine est sécurisé avec un certificat Let’s Encrypt ou quand le certificat est renouvelé). Par défaut, l’extension vous envoie une notification par jour. Cet e-mail contient des informations sur tous les événements Let’s Encrypt qui se sont produits depuis le dernier e-mail. Pour recevoir une notification par e-mail à chaque événement, définissez ce paramètre maintenant. | 1 jour |
use-common-challenge-dir |
Définit l’utilisation du répertoire « challenge » commun : /var/www/vhosts/default/.well-known/acme-challenge.
|
true | |
|
(obsolète) |
Utilisée comme adresse d’enregistrement lors du renouvellement des certificats SSL/TLS. Utilisée uniquement en l’absence d’adresse mail au niveau de l’enregistrement du domaine dans les paramètres des modules et de l’adresse mail du propriétaire du domaine. Actuellement, Let’s Encrypt requiert une adresse e-mail pour émettre un certificat. Ce paramètre est encore actif, mais il sera obsolète prochainement. |
Adresse mail de l’administrateur | |
acme-directory-url |
URI de ressources du répertoire. | https://acme-v02.api.letsencrypt.org/directory |
|
acme-protocol-version |
Version du protocole ACME. | acme-v02 |
Note: *L’extension Let’s Encrypt vérifie si un domaine est accessible via HTTP à chaque fois qu’un nouveau domaine est protégé, car les domaines peuvent être indisponibles un certain temps après leur création dans Plesk. Tous les paramètres commençant par check-availability sont appliqués pendant cette vérification.