Gérer les paramètres Let’s Encrypt
Le comportement de l’extension Let’s Encrypt dépend de plusieurs paramètres, par exemple :
- Délai avant expiration et renouvellement des certificats Let’s Encrypt.
- Enregistrement ou non des requêtes du serveur ACME dans les logs Plesk.
- Taille de la clé privée RSA, etc.
Vous pouvez modifier ces paramètres en saisissant des valeurs personnalisées dans la section [ext-letsencrypt] du fichier de configuration panel.ini. Par exemple, pour renouveler les certificats Let’s Encrypt 45 jours avant date d’expiration et pour passer la taille de la clé privée RSA à 4 096 bits, ajoutez la section suivante au fichier panel.ini :
[ext-letsencrypt]
renew-before-expiration = 45
rsa-key-size = 4096
Sécurité des sites Web avec des certificats SSL/TLS gratuits de Let’s Encrypt
L’extension Let’s Encrypt permet de protéger automatiquement les sites Web hébergés avec des certificats de confiance gratuits de Let’s Encrypt. Vous pouvez activer ou désactiver cette fonction pour chaque pack d’hébergement. Quand vous activez cette fonction pour un pack d’hébergement, un domaine, un sous-domaine, un alias de domaine ou une messagerie Web appartenant à un abonnement basé sur un pack d’hébergement, étant soit :
- Avec protection par un certificat SSL/TLS autosigné.
- Avec protection par un certificat SSL/TLS expiré.
- Non protégé par un certificat SSL/TLS.
le certificat SSL/TLS autosigné ou expiré est remplacé par le certificat Let’s Encrypt.
L’extension Let’s Encrypt peut également remplacer les certificats SSL/TLS non générés par l’une des autorités de certification de confiance, en plus de remplacer les certificats SSL/TLS autosignés et expirés. Pour ce faire, définissez le paramètre check-domain-cert-authority sur true. Pour en savoir plus sur le paramètre check-domain-cert-authority, consultez la « Liste des paramètres Let’s Encrypt ».
Pour protéger des sites Web avec des certificats SSL/TLS gratuits de Let’s Encrypt :
- Allez sous Packs de services.
- Sur l’onglet « Packs d’hébergement », cliquez sur Ajouter un pack pour créer un pack ou cliquez sur le nom d’un pack existant pour le modifier.
- Allez sur l’onglet « Autres services ».
- Sous « Let’s Encrypt », sélectionnez « Garder les sites Web sécurisés avec des certificats SSL gratuits ».
- Cliquez sur OK (ou Mettre à jour & Synchroniser si vous modifiez un pack existant).
Désormais, tous les domaines, sous-domaines, alias de domaines et messageries Web qui appartiennent aux abonnements basés sur ce pack d’hébergement seront protégés automatiquement avec des certificats Let’s Encrypt. Ce changement s’applique aux nouveaux abonnements ainsi qu’aux abonnements existants.
Vous pouvez également activer l’option « Garder les sites Web sécurisés avec des certificats SSL gratuits » via l’API XML et la requête suivante :
<?xml version="1.0" encoding="UTF-8"?>
<packet>
<service-plan>
<add-plan-item>
<filter>
<name>Default Domain</name>
</filter>
<plan-item>
<name>urn:ext:letsencrypt:plan-item-sdk:keep-secured</name>
</plan-item>
</add-plan-item>
</service-plan>
</packet>
Liste des paramètres Let’s Encrypt
Tous les paramètres de l’extension Let’s Encrypt utilisables dans le fichier panel.ini sont décrits ci-dessous :
| Paramètre | Type | Description | Valeur par défaut |
|---|---|---|---|
|
(obsolète) |
string |
URL du répertoire du serveur ACME. Dans Let’s Encrypt 2.6.0 et versions ultérieures, ce paramètre est remplacé par Pour le moment, le paramètre |
https://acme-v01.api.letsencrypt.org/directory |
rsa-key-size |
integer | Taille de la clé privée RSA en bits. | 2048 |
user-agent |
string | En-tête HTTP du User-Agent. | Plesk/$PRODUCT_VERSION |
letsencrypt-url |
string | URL du site Web Let’s Encrypt | https://letsencrypt.org/ |
terms-url |
string | URL du répertoire politique et juridique Let’s Encrypt (Policy et Legal). | https://letsencrypt.org/repository/ |
renew-before-expiration |
integer | Nombre de jours avant expiration et renouvellement automatique du certificat. | 30 |
config-dir |
string | Chemin de stockage des certificats pour intégration tierce. | $PRODUCT_ROOT/var/modules/letsencrypt/etc |
verify |
string | Chemin vers le bundle des certificats CA Root de confiance. | $PRODUCT_ROOT/admin/plib/modules/letsencrypt/resources/ca/cacert.pem |
disable-cleanup |
booléen | Désactiver le nettoyage de fichiers token après la résolution des litiges liés au domaine. | false |
log-requests |
booléen | Enregistrer les requêtes vers le serveur ACME dans le fichier journal de Plesk. | false |
secure-new-domain |
booléen | Définir le statut par défaut de la case « Sécuriser le domaine avec Let’s Encrypt » lors de la création d’un abonnement, d’un domaine ou d’un sous-domaine. | false |
letsencrypt-docs-rate-limits-url |
string | URL de la documentation Let’s Encrypt sur les « Rate Limits ». Le lien est affiché dans les messages d’erreur de l’interface de l’extension lorsque les limites Let’s Encrypt ont été dépassées. | https://letsencrypt.org/docs/rate-limits/ |
check-availability-delay |
integer | *Durée d’attente en secondes entre les tentatives de vérification d’accessibilité d’un domaine via HTTP. | 5 |
check-availability-max-attempts |
integer | *Nombre maximal de tentatives de vérification d’accessibilité d’un domaine via HTTP. | 10 |
check-availability-timeout |
integer | *Délai maximal en secondes pour vérifier l’accessibilité d’un domaine via HTTP. Si aucun code de réponse n’est reçu pendant le temps défini par check-availability-timeout, le domaine est considéré comme non disponible. | 5 |
check-domain-cert-authority |
booléen | Quand l’option « Garder les sites Web sécurisés avec des certificats SSL gratuits » est activée, si vous définissez ce paramètre sur « false », l’extension Let’s Encrypt remplace uniquement les certificats SSL/TLS autosignés et expirés. Si vous le définissez sur « true », l’extension remplace également les certificats SSL/TLS qui ne sont pas de confiance par l’un des certificats racine du paquet de certificats CA racine de confiance (voir le paramètre verify). |
false |
send-notifications-interval |
date interval | Détermine la fréquence à laquelle l’extension Let’s Encrypt vous envoie des notifications (par exemple, lorsqu’un domaine est protégé avec un certificat Let’s Encrypt ou lors du renouvellement d’un certificat Let’s Encrypt). Par défaut, l’extension vous envoie un mail de notification par jour. Ce mail inclut des informations sur tous les événements liés à Let’s Encrypt, survenus depuis l’envoi de la notification précédente. Si vous voulez recevoir un mail de notification à chaque fois qu’il y a un événement, ce paramètre doit être défini sur 0. | 1 jour |
use-common-challenge-dir |
Définit l’utilisation du répertoire « challenge » commun :
Note:
ce paramètre concerne Plesk pour Linux version 12.5 et versions ultérieures. |
true | |
fallback-registration-email |
Utilisée comme adresse d’enregistrement lors du renouvellement des certificats SSL/TLS. Utilisée uniquement en l’absence d’adresse mail au niveau de l’enregistrement du domaine dans les paramètres des modules et de l’adresse mail du propriétaire du domaine. | Adresse mail de l’administrateur | |
acme-directory-url |
URI de ressources du répertoire.
|
Pour générer des certificats SSL/TLS Wildcard, remplacez la valeur par défaut par |
|
acme-protocol-version |
Protocole de version ACME. Valeurs possibles : |
Pour générer des certificats SSL/TLS, la valeur par défaut doit être |
Note: *l’extension Let’s Encrypt vérifie si un domaine est accessible via GHTTP à chaque fois qu’un nouveau domaine est protégé, car les domaines peuvent être indisponibles un certain temps après leur création dans Plesk. Tous les paramètres commençant par check-availability sont appliqués pendant cette vérification.
Note: si vous avez installé l’extension Let’s Encrypt 2.0.3 ou version antérieure, mettez-la à jour vers la version 2.1 ou version ultérieure pour modifier les paramètres Let’s Encrypt via le fichier de configuration panel.ini.