Ceci est une ancienne révision du document !
Déploiement automatique de certificat Let's Encrypt vers Java Keystore
Contexte
Cette documentation détaille le processus d'automatisation du déploiement d'un certificat Let's Encrypt vers un Java Keystore (utilisé par Tomcat ou d'autres applications Java).
Prérequis
* Un certificat Let's Encrypt généré via Certbot * Accès root sur les deux serveurs (source et destination) * OpenSSL et Keytool installés * SSH configuré entre les serveurs
Configuration SSH sans mot de passe
Sur le serveur source (où se trouve le certificat Let's Encrypt) : <syntaxhighlight lang=“bash”> # Générer la paire de clés ssh-keygen -t ed25519
# Copier la clé vers le serveur de destination ssh-copy-id root@serveur-destination </syntaxhighlight>
Script de déploiement
Créer le script suivant dans /usr/local/bin/deploy_cert_mdm.sh : <syntaxhighlight lang=“bash”> #!/bin/bash
# Configuration CERT_PATH=“/etc/letsencrypt/live/mdm.murcier.fun” MDM_SERVER=“mdm.murcier.fun” MDM_USER=“root” KEYSTORE_PASSWORD=“123456” REMOTE_PATH=“/var/lib/tomcat9/ssl”
# Vérification des droits root if [ “$EUID” -ne 0 ]; then
echo "Ce script doit être exécuté en tant que root" exit 1
fi
# Création d'un dossier temporaire TEMP_DIR=$(mktemp -d) cd “$TEMP_DIR” || exit 1
echo “Création du keystore…”
# Création du keystore PKCS12 openssl pkcs12 -export \
- in “$CERT_PATH/fullchain.pem” \
- inkey “$CERT_PATH/privkey.pem” \
- out mdm.murcier.fun.p12 \
- name tomcat \
- password pass:$KEYSTORE_PASSWORD
# Conversion en JKS keytool -importkeystore \
- srckeystore mdm.murcier.fun.p12 \
- srcstoretype PKCS12 \
- srcstorepass $KEYSTORE_PASSWORD \
- destkeystore mdm.murcier.fun.jks \
- deststoretype JKS \
- deststorepass $KEYSTORE_PASSWORD
echo “Copie du keystore vers le serveur MDM…”
# Copie et configuration sur le serveur distant scp mdm.murcier.fun.jks $MDM_USER@$MDM_SERVER:$REMOTE_PATH/ ssh $MDM_USER@$MDM_SERVER “chown tomcat:tomcat $REMOTE_PATH/mdm.murcier.fun.jks && chmod 600 $REMOTE_PATH/mdm.murcier.fun.jks && systemctl restart tomcat9”
# Nettoyage cd / rm -rf “$TEMP_DIR”
echo “Déploiement terminé avec succès!” </syntaxhighlight>
Installation du script
<syntaxhighlight lang=“bash”> chmod +x /usr/local/bin/deploy_cert_mdm.sh ln -s /usr/local/bin/deploy_cert_mdm.sh /etc/letsencrypt/renewal-hooks/deploy/deploy_cert_mdm </syntaxhighlight>
Configuration Tomcat
Le fichier server.xml doit contenir : <syntaxhighlight lang=“xml”> <Connector port=“8443” protocol=“org.apache.coyote.http11.Http11NioProtocol”
maxThreads="150" SSLEnabled="true">
<SSLHostConfig>
<Certificate certificateKeystoreFile="/var/lib/tomcat9/ssl/mdm.murcier.fun.jks"
certificateKeystorePassword="123456"
type="RSA" />
</SSLHostConfig>
</Connector> </syntaxhighlight>
Test manuel
Pour tester le renouvellement manuellement : <syntaxhighlight lang=“bash”> # Test à blanc certbot renew –dry-run
# Renouvellement forcé certbot certonly –force-renewal -d votre.domaine.com </syntaxhighlight>
Vérification
Pour vérifier l'installation : <syntaxhighlight lang=“bash”> # Vérifier le statut de Tomcat systemctl status tomcat9
# Vérifier le certificat curl -v https://votre.domaine.com:8443 </syntaxhighlight>
Maintenance
* Le renouvellement est automatique via Certbot * Le script s'exécute automatiquement après chaque renouvellement * Le certificat est renouvelé environ 30 jours avant expiration * Vérifier les logs dans /var/log/letsencrypt/ en cas de problème
Dépannage
Problèmes courants
* 'Erreur de permissions' : Vérifier les droits utilisateur tomcat
* 'Erreur SSH' : Vérifier la configuration SSH et les clés
* 'Tomcat ne démarre pas' : Vérifier les logs avec journalctl -u tomcat9
* 'Certificat non renouvelé' : Vérifier les logs Certbot
Commandes utiles
* Vérifier le contenu d'un keystore : <syntaxhighlight lang=“bash”> keytool -list -v -keystore keystore.jks </syntaxhighlight>
* Vérifier la validité du certificat : <syntaxhighlight lang=“bash”> openssl x509 -in fullchain.pem -text -noout </syntaxhighlight>