Let’s Encrypt Webroot – ZCSPlus / Zimbra 10 FOSS

Let's Encrypt - Webroot

Le 9 octobre 2024, au cours de la deuxième journée de la réunion d'automne du CA/Browser Forum, Apple a révélé avoir publié sur GitHub un projet de bulletin de vote pour commentaires.
Cette proposition prévoit de réduire progressivement la durée maximale des certificats SSL/TLS publics à 45 jours d'ici à 2027. Le projet prévoit également de réduire progressivement la période de réutilisation du DCV, jusqu'à ce qu'elle atteigne 10 jours en 2027.
Google et maintenant Apple, préconisent tous deux des durées de vie plus courtes pour les certificats numériques.

Zimbra, a mis en ligne un article sur l'installation d'un certificat SSL Let's Encrypt, sauf qu'il vous oblige d'avoir un serveur de DNS sur votre serveur Zimbra.
Chez ZCSPlus, nous gérons nos zones DNS chez notre Registrar, il fallait donc réagir, et c'est en quoi nous avons mis en place une solution complète permettant d'utiliser pleinement Let's Encrypt en mode Webroot, pas de casse-tête à taper des lignes de commande, nous avons construit un script qui automatise toute la procédure d'activation et de renouvellement de vos certificats SSL !

Comment que cela fonctionne ?
Rien de plus simple, vous avez juste à taper la commande suivante:

/opt/zimbra/libexec/zcsplus-letsencrypt

Cette commande va d'abord détecter si vous avez installé la dernière version de Certbot depuis Python PIP, si ce n'est pas le cas, il vous indiquera les commandes à suivre pour l'installer.

Cette étape est faite ?
Relancer la commande, et il poursuivra la tâche d'activation en patchant d'abord un Template NGINX, puis passera à l'étape de déploiement.
Enfin, il finira par mettre en place un fichier Cron pour que Cerbot soit appeler tous les jours, et vérifie si vos certificats ne dépassent pas les 20 jours, si tel est le cas, alors il automatisera le renouvellement des certificats ainsi que le redémarrage de ZCSPlus.

Nous resterons vigilant sur les futurs mises à jour des Templates NGINX, afin que cela ne puisse casser les renouvellements de vos certificats, par mesure de prudence, nous avons ajouté une option qui exécutera uniquement cette étape de Patch, dont voici la commande:

/opt/zimbra/libexec/zcsplus-letsencrypt "nginx-patch"