Gérer les paramètres Let's Encrypt

Les réactions de l'extension Let's Encrypt sont gérées par un certain nombre de paramètres, par exemple :

  • Délai avant la date d'expiration pour le renouvellement des  certificats Let's Encrypt
  • Enregistrement ou non des requêtes du serveur ACME dans les logs Plesk
  • Taille de la clé privée RSA, etc.

Vous pouvez modifier ces paramètres en saisissant des valeurs personnalisées dans la section [ext-letsencrypt] du fichier de configuration panel.ini. Par exemple, pour renouveler les certificats Let's Encrypt 45 jours avant la date d'expiration et pour passer la taille de la clé privée RSA à 4096 bits, ajoutez la section suivante au fichier panel.ini :

[ext-letsencrypt]
renew-before-expiration = 45
rsa-key-size = 4096
Sécuriser les sites Web avec des certificats SSL/TLS gratuits de Let's Encrypt

L'extension Let's Encrypt permet de sécuriser automatiquement les sites Web hébergés avec des certificats de confiance gratuits de Let's Encrypt. Vous pouvez activer ou désactiver cette fonction pour chaque pack d'hébergement. Quand vous activez cette fonction pour un pack d'hébergement, que ce soit pour un domaine, un sous-domaine, un alias de domaine ou une messagerie Web appartenant à un abonnement basé sur un pack d'hébergement, le certificat SSL/TLS autosigné ou expiré est remplacé par le certificat Let's Encrypt, dans les trois cas suivants :

  • Sécurisation avec un certificat SSL/TLS autosigné
  • Sécurisation avec un certificat SSL/TLS expiré
  • Non sécurisé avec un certificat SSL/TLS

L'extension Let’s Encrypt peut également remplacer les certificats SSL/TLS non émis par l'une des autorités de certification de confiance, en plus de remplacer les certificats SSL/TLS autosignés et expirés. Pour ce faire, définissez le paramètre check-domain-cert-authority sur true. Pour en savoir plus sur le paramètre check-domain-cert-authority, consultez la "Liste des paramètres Let's Encrypt".

Pour sécuriser les sites Web avec des certificats SSL/TLS gratuits de Let's Encrypt :

  1. Allez dans Packs de services.
  2. Dans l'onglet Packs d'hébergement, cliquez soit sur Ajouter un pack pour créer un pack, soit sur le nom d'un pack existant pour le modifier.
  3. Allez dans l'onglet "Autres services".
  4. Dans "Let's Encrypt", sélectionnez "Garder les sites Web sécurisés avec des certificats SSL gratuits".
  5. Cliquez sur  OK (ou sur Mettre à jour & Synchroniser si vous modifiez un pack existant).

Désormais, tous les domaines, sous-domaines, alias de domaines et messageries Web qui appartiennent aux abonnements basés sur ce pack d'hébergement seront sécurisés automatiquement avec des certificats Let's Encrypt. Ce changement s'applique aux nouveaux abonnements ainsi qu'aux abonnements déjà existants.

Vous pouvez également activer l'option "Garder les sites Web sécurisés avec des certificats SSL gratuits" via l'API XML en envoyant la requête suivante :

<?xml version="1.0" encoding="UTF-8"?>
<packet>
 <service-plan>
 <add-plan-item>
 <filter>
 <name>Default Domain</name>
 </filter>
 <plan-item>
 <name>urn:ext:letsencrypt:plan-item-sdk:keep-secured</name>
 </plan-item>
 </add-plan-item>
 </service-plan>
</packet>
Liste des paramètres Let's Encrypt

Tous les paramètres de l'extension Let's Encrypt pouvant être saisis dans le fichier panel.ini sont décrits ci-dessous :

Paramètre Type Description Valeur par défaut

serveur

chaîne

URL du répertoire du serveur ACME.

https://acme-v01.api.letsencrypt.org/directory

rsa-key-size

entier

Taille de la clé privée RSA, en bits.

2048

user-agent

chaîne

En-tête HTTP User-Agent.

Plesk/$PRODUCT_VERSION

letsencrypt-url

chaîne

URL du site Web Let's Encrypt

https://letsencrypt.org/

terms-url

chaîne

URL du répertoire politique et légal de Let's Encrypt.

https://letsencrypt.org/repository/

renew-before-expiration

entier

Nombre de jours avant l'expiration lorsque le certificat est renouvelé automatiquement.

30

config-dir

chaîne

Chemin où les certifications pour l'intégration tierce sont stockées.

$PRODUCT_ROOT/var/modules/letsencrypt/etc

verify

chaîne

Chemin vers le paquet des certificats CA racines de confiance.

$PRODUCT_ROOT/admin/plib/modules/letsencrypt/resources/ca/cacert.pem

disable-cleanup

booléen

Désactiver le nettoyage de fichiers token après la résolution des litiges liés au domaine. 

false

log-requests

booléen

Enregistrer les requêtes vers le serveur ACME dans le fichier journal de Plesk.

false

secure-new-domain

 

booléen

Définir le statut par défaut de la case "Sécuriser le domaine avec Let's Encrypt" lors de la création d'un abonnement, d'un domaine ou d'un sous-domaine.

false

letsencrypt-docs-rate-limits-url

chaîne

URL vers la documentation Let's Encrypt sur les "Rate Limits". Le lien est affiché dans les messages d'erreur de l'interface de l'extension lorsque les limites Let's Encrypt ont été dépassées.

https://letsencrypt.org/docs/rate-limits/

check-availability-delay

entier

*La durée d'attente en secondes entre les tentatives de vérification d'accessibilité d'un domaine via HTTP.

5

check-availability-max-attempts

entier

*Le nombre maximum de tentatives de vérification d'accessibilité d'un domaine via HTTP.

10

check-availability-timeout

entier

*Délai maximum en seconde pour vérifier l'accessibilité d'un domaine via HTTP. Si aucun code de réponse n'est reçu pendant le temps défini par check-availability-timeout, le domaine est considéré comme non disponible.

5

 

check-domain-cert-authority

booléen

Quand l'option "Garder les sites Web sécurisés avec des certificats SSL gratuits" est activée, si vous définissez ce paramètre sur "false", l'extension Let's Encrypt remplace uniquement les certificats SSL/TLS autosignés et expirés. Si vous définissez le paramètre sur "true", l'extension remplace également les certificats SSL/TLS qui ne sont pas de confiance par l'un des certificats racine dans le paquet des certificats CA racine de confiance (voir le paramètre verify).

false

send-notifications-interval

 

date interval

Détermine le nombre de notifications envoyées par l'extension Let's Encrypt (par exemple, lors de la sécurisation d'un domaine à l'aide d'un certificat Let's Encrypt ou lors du renouvellement d'un certificat Let's Encrypt). Par défaut, l'extension vous envoie un mail de notification par jour. Ce mail contient les informations sur tous les événements liés à Let's Encrypt qui se sont produits depuis l'envoi de la notification précédente. Si vous voulez recevoir une notification par mail pour chaque événement à chaque fois qu'il y a un événement, ce paramètre doit être défini sur 0.

1 jour

Remarque : *l'extension Let's Encrypt vérifie si un domaine est accessible via GHTTP à chaque fois qu'un nouveau domaine est sécurisé, car les domaines peuvent être indisponibles pendant un certain temps après leur création dans Plesk. Tous les paramètres commençant par check-availability sont appliqués pendant cette vérification.

Remarque : si vous avez installé l'extension Let's Encrypt version 2.0.3 ou une version antérieure, mettez à jour l'extension vers la version 2.1 ou une version ultérieure pour modifier les paramètres Let's Encrypt à l'aide du fichier de configuration panel.ini.