Installation d'un certificat certbot (Letsencrypt) HTTPS / IPv6 sur un serveur web openResty sur Raspbian

Introduction

Cette fiche opérationnelle décrit la mise en place d'un certificat SSL/TLS de Let's Encrypt pour un serveur web Resty en mode https et en IPv6 seulement sur une carte Raspberry Pi sous Raspian (Debian Stretch). Toutefois, un recours initial et temporaire à IPv4 sera nécessaire.

openResty est une édition spéciale du serveur NGINX auquel est intégré un interpréteur Lua et/ou son compilateur « juste à temps » LuaJIT

Nous utilisons le domaine geek.scalaire.com.

Avertissement :

certbot n'est pas encore capable de bien gérer les sites exclusivement en IPv6. Il faudra recourir temporairement à un accès IPv4 avec le port standard 80/http, celui du trafic non chiffré. Dans un réseau privé, il faudra en sus router par NAT l'adresse IPv4:80 publique vers ce serveur. Normalement ce port est libre tant sur le serveur que sur le routeur (ou box internet) car nous utilisons exclusivement le seul port https/443 chiffré.

Préparation

Configuration

Pérennisation

Lorsque l'installation est stabilisée, on installe ou modifie la procédure de création automatique de l'IPv6 sous systemd

Renouvellement

Il faudra malheureusement recommencer le cirque IPv4:80 avant les 3 mois de durée de vie du certificat qui sera renouvelé par :

certbot certonly --force-renewal --cert-name geek.scalaire.fr -d geek.scalaire.fr