Comme annoncé plus tôt cette année, **Let's Encrypt** délivre désormais des certificats d'adresses IP et des certificats de six jours au grand public. L'équipe **Certbot** de la **Electronic Frontier Foundation** a travaillé sur des améliorations pour prendre en charge ces fonctionnalités, notamment le drapeau `--preferred-profile` sorti l'année dernière dans Certbot 4.0, et le drapeau `--ip-address`, nouveau dans Certbot 5.3. Avec ces améliorations, vous pouvez désormais utiliser **Certbot** pour obtenir ces certificats d'adresses IP ! ### Obtention de certificats d'adresses IP avec Certbot Pour obtenir un certificat d'adresse IP à l'aide de Certbot, installez la version 5.4 ou supérieure (pour la prise en charge de `webroot` avec les adresses IP) et exécutez cette commande : sudo certbot certonly --staging \ --preferred-profile shortlived \ --webroot \ --webroot-path <chemin du système de fichiers vers la racine du serveur web> \ --ip-address <votre adresse IP> **Considérations importantes :** * Le drapeau `--staging` demande un certificat non fiable du serveur de staging de Let's Encrypt. Supprimez ce drapeau pour un certificat publiquement fiable une fois que vous avez vérifié le bon fonctionnement. * L'option `--preferred-profile shortlived` demande un certificat avec le profil "shortlived" de Let's Encrypt, valide pendant 6 jours. Ceci est une exigence pour les certificats d'adresses IP. ### Installation et configuration du serveur web Actuellement, **Certbot** ne prend en charge que l'*obtention* de certificats d'adresses IP, pas leur *installation* dans votre serveur web. Vous devrez modifier manuellement la configuration de votre serveur web pour charger le certificat nouvellement émis à partir de `/etc/letsencrypt/live/<adresse IP>/fullchain.pem` et `/etc/letsencrypt/live/<adresse IP>/privkey.pem`. L'exemple de ligne de commande ci-dessus utilise le mode "webroot" de **Certbot**, qui place un fichier de réponse de défi dans un emplacement accessible par votre serveur web en cours d'exécution. Cette méthode évite les interruptions temporaires du serveur. ### Plugins alternatifs Deux autres plugins prennent actuellement en charge les certificats d'adresses IP : `--manual` et `--standalone`. Le plugin `manual` est similaire à `webroot`, mais Certbot s'arrête pour le placement manuel du fichier de réponse de défi (ou exécute un hook fourni par l'utilisateur). Le plugin `standalone` exécute un serveur web simple pour servir la réponse de défi. Bien que facile à configurer, il nécessite de désactiver temporairement tout serveur web existant sur le port 80. **Remarque :** Les plugins `nginx` et `apache` ne prennent pas encore en charge les adresses IP. ### Renouvellement automatique Assurez-vous que **Certbot** est configuré pour le renouvellement automatique. La plupart des méthodes d'installation le configurent automatiquement. Cependant, comme les installateurs spécifiques aux serveurs web ne prennent pas encore en charge les certificats d'adresses IP, vous devrez définir un `--deploy-hook` qui indique à votre serveur web de charger les certificats mis à jour à partir du disque. Ce `--deploy-hook` peut être fourni via la commande `certbot reconfigure`, ainsi que les autres drapeaux mentionnés ci-dessus. Pour obtenir de l'aide, consultez le [Forum Communautaire](https://community.letsencrypt.org/) de **Let's Encrypt**.