Comment installer un certificat en utilisant le protocole ACME ?
Ce guide décrit une procédure complète et fiable pour installer un certificat SSL Trustsign, Sectigo ou Comodo via le client ACME acme.sh.
Il inclut les cas d’erreurs fréquents rencontrés en production ainsi que les solutions associées.
0. Préparation DNS
Avant toute installation, assurez-vous que votre domaine pointe vers votre serveur.
Type : A
Nom : @
Valeur : IP du serveur
Sans cette configuration, la génération du certificat échouera.
1. Installation de acme.sh
Installer le client ACME sur le serveur.
curl https://get.acme.sh | sh && source ~/.bashrc
Erreurs possibles :
- Commande curl bloquée → vérifier connexion internet
- acme.sh non disponible → relancer l’installation en root (commande à faire pour être en root : sudo su)
2. Enregistrement du compte ACME
Enregistrer le compte avec les identifiants EAB qui vous sont fournis à l’achat de votre certificat :
acme.sh --register-account
-m admin@votredomaine.tld
--server <url fournie dans votre dashboard HTTPCS>
--eab-kid VOTRE_KID
--eab-hmac-key VOTRE_HMAC
Erreurs possibles :
- Commande curl bloquée → vérifier connexion internet
- acme.sh non disponible → relancer l’installation en root (commande à faire pour être en root : sudo su)
3. Génération du certificat
Créer le certificat via validation HTTP (webroot) :
acme.sh --issue
-d mondomaine.tld
-w /var/www/html
--server <url fournie dans votre dashboard HTTPCS>
Erreurs possibles :
- Port 80 fermé → ouvrir firewall
- Mauvais webroot → vérifier dans /var/www/*
* : Pour trouver votre dossier maître html, vous pouvez utiliser la commande ls /var/www/.
Dans le cas de ce tutoriel, le dossier est nommé html mais ce n'est pas forcement le cas
4. Installation du certificat et déploiement système
Implémenter le certificat dans le système /etc/ssl et recharger Nginx.
acme.sh --install-cert -d mondomaine.tld
--key-file /etc/ssl/private/mondomaine-acme.key
--fullchain-file /etc/ssl/certs/mondomaine-acme.crt
--reloadcmd "systemctl reload nginx"
ls -l /etc/ssl/private/<br> ls -l /etc/ssl/certs/
Erreurs possibles :
- Permission refusée → exécuter en root
- Mauvais chemin → vérifier chemins ssl
5. Configuration Nginx
Configurer Nginx pour utiliser le certificat ACME.
ssl_certificate /etc/ssl/certs/mondomaine-acme.crt;
ssl_certificate_key /etc/ssl/private/mondomaine-acme.key;
ssl_trusted_certificate /etc/ssl/certs/mondomaine-ca.crt;
systemctl reload nginx
Erreurs possibles :
- Mauvais fichier chargé → vérifier sites-enabled
- Oubli reload nginx → systemctl reload nginx
6. Vérification SSL
Vérifier avec openssl et navigateur.
openssl s_client –connect mondomaine.tld :443 – servername mondomaine.tld
Erreurs possibles :
- Ancien certificat affiché → vider cache navigateur
- Mauvais cert → vérifier chemin nginx
7. Vérification navigateur
Confirmer que le certificat est valide côté client.
Erreurs possibles :
- Certificat non sécurisé → problème chaîne CA
8. Renouvellement automatique
Vérifier la présence du cron pour renouvellement automatique.
crontab -l
Erreurs possibles :
- Pas de cron → relancer installation acme.sh
Points critiques à vérifier avant installation
- Le domaine pointe vers le serveur (DNS configuré)
- Le port 80 est accessible publiquement
- Nginx est actif
- Les chemins SSL sont cohérents
Bonnes pratiques
- Toujours tester avec openssl après installation
- Ne jamais supprimer les anciens certificats sans vérification
- Vérifier le cron régulièrement
Conclusion
L’installation est complète lorsque le certificat est actif, reconnu par le navigateur et renouvelé automatiquement.