ServBay

Français

English
简体中文
繁體中文
Español
العربية
Português
Русский
日本語
Deutsch
Tiếng Việt
Türkçe
Italiano
हिन्दी
Bahasa Indonesia
Bahasa Melayu
Polski
Nederlands
Українська
ไทย
한국어

Français

English
简体中文
繁體中文
Español
العربية
Português
Русский
日本語
Deutsch
Tiếng Việt
Türkçe
Italiano
हिन्दी
Bahasa Indonesia
Bahasa Melayu
Polski
Nederlands
Українська
ไทย
한국어

Appearance

Demander un certificat SSL dans ServBay avec la méthode ACME

ServBay prend en charge le protocole ACME pour l’automatisation de la demande de certificats SSL/TLS pour vos sites web en développement local. ACME (Automated Certificate Management Environment) est un protocole standardisé permettant de gérer automatiquement le cycle de vie des certificats (demande, renouvellement, révocation). Grâce au tableau de bord ACME intégré à ServBay, vous pouvez configurer facilement des certificats SSL de confiance sur vos sites locaux, essentiel pour simuler un environnement de production et tester toutes les fonctionnalités liées à HTTPS.

Par défaut, ServBay utilise ZeroSSL comme autorité de certification, mais vous êtes libre de choisir d’autres autorités compatibles ACME comme Let's Encrypt ou Google Trust Services.

TIP

Pour garantir la cohérence entre votre environnement de développement local et votre environnement de production, il est crucial d’utiliser un certificat SSL de confiance. La fonctionnalité ACME de ServBay rend cette tâche extrêmement simple.

Explication des concepts clés

Avant de commencer, il est utile de bien comprendre certains concepts essentiels relatifs à la fonctionnalité ACME de ServBay :

  • Protocole ACME : Un protocole standard ouvert qui permet l’automatisation des interactions entre l'autorité de certification (CA) et les serveurs, pour faciliter la demande, le renouvellement et la gestion des certificats.
  • Validation DNS-01 (via l’API DNS) : Le protocole ACME prend en charge plusieurs méthodes de validation de la propriété d’un domaine. ServBay utilise principalement la méthode DNS-01, qui consiste à ajouter un enregistrement TXT spécifique dans la zone DNS de votre domaine. Si l’enregistrement existe et son contenu est correct, l’autorité de certification valide que vous contrôlez le domaine. Les avantages de cette méthode :
    • Pas besoin que votre environnement local soit accessible depuis Internet.
    • Fonctionne même si les ports locaux 80/443 sont bloqués par un pare-feu ou votre FAI.
  • External Account Binding (EAB) : Pour certaines autorités (comme Google Trust Services ou ZeroSSL), lors de la première demande via ACME, il est nécessaire de lier votre client ACME (ici, acme.sh intégré à ServBay) à votre compte CA, généralement via une paire Key ID et HMAC Key.
  • Certificats ECC vs RSA :
    • RSA : Algorithme cryptographique traditionnel très compatible, nécessitant de grandes longueurs de clé (2048 ou 4096 bits) pour une bonne sécurité, ce qui implique plus de ressources de calcul.
    • ECC (cryptographie à courbe elliptique) : Algorithme moderne offrant un niveau de sécurité élevé avec des clés plus courtes (par exemple 256 ou 384 bits). Les certificats ECC sont plus performants, réduisent le temps de connexion TLS, consomment moins de bande passante et offrent une meilleure confidentialité persistante. ServBay recommande par défaut l’ECC.

Prérequis

ServBay utilise l’API DNS pour demander des certificats ACME ; votre site n’a donc pas besoin d’être exposé à Internet. Avant de commencer, assurez-vous de remplir les conditions suivantes :

  1. Posséder un nom de domaine : Vous devez avoir un domaine dont vous pouvez gérer les enregistrements DNS.
  2. Obtenir la clé API de votre fournisseur DNS : Le processus ACME ajoute/supprime automatiquement des enregistrements TXT via l’API DNS. Procurez-vous donc la clé API ou les identifiants d’accès auprès du fournisseur qui héberge la zone DNS de votre domaine (qui n’est pas forcément votre bureau d’enregistrement). Consultez la section DNS API du Wiki officiel d’acme.sh (en anglais) pour connaître la liste des fournisseurs acceptés et la procédure d’obtention des clés : How to use DNS API. Référez-vous au tutoriel adapté à votre fournisseur.
  3. Récupérer les informations EAB (pour une première demande avec Google Trust Services ou ZeroSSL) : Si vous choisissez Google Trust Services, vous devez obtenir les détails EAB via Google Cloud. Consultez la documentation officielle (en anglais) : Obtaining EAB credentials from Google Cloud. Pour ZeroSSL, une vérification email ou une clé API peut aussi être exigée à la première demande.

Demander un certificat SSL via ACME dans ServBay

Procédez comme suit pour demander un certificat SSL pour votre site local via le protocole ACME dans ServBay :

  1. Ouvrir le panneau d’administration ServBay
    Lancez l’application ServBay puis accédez au panneau d’administration à partir de l’icône dans la barre de menu ou le Dock.

  2. Aller dans la gestion des certificats SSL
    Dans la barre latérale gauche, cliquez sur l’option SSL 证书 (Certificats SSL).

  3. Démarrer la demande d’un nouveau certificat
    En haut à droite de l’interface de gestion SSL, cliquez sur le bouton +, puis sélectionnez 申请新证书 (Demander un nouveau certificat).

  4. Configurer les informations de base du certificat

    • Nom du certificat : Saisissez un nom facilement reconnaissable pour votre certificat (ex. : servbay-demo-ssl).
    • Usage : Sélectionnez TLS/SSL.
    • Méthode de demande : Choisissez ACME.

  5. Sélectionner l’autorité de certification (CA)
    Dans le menu déroulant 签发方 (Autorité), choisissez l’autorité de certification. Par défaut, ZeroSSL est proposé, mais vous pouvez aussi choisir Let's Encrypt ou Google Trust Services. Nous prenons ici ZeroSSL comme exemple.

  6. Choisir le fournisseur d’API DNS
    Dans le menu DNS API 提供商 (Fournisseur API DNS), sélectionnez le service utilisé pour gérer la zone DNS du domaine. Ici, nous prenons Cloudflare comme exemple. Attention à sélectionner celui qui héberge réellement la zone DNS, pas simplement là où vous avez acheté votre domaine si les deux diffèrent.

  7. Choisir l’algorithme et la taille de clé du certificat

    • Algorithme : Par défaut, il est recommandé de choisir ECC pour de meilleures performances et sécurité. Pour la compatibilité avec de vieux appareils, vous pouvez utiliser RSA.
    • Longueur de clé : Si vous optez pour ECC, la taille recommandée est généralement 384 bits. En RSA, préférez 2048 ou 4096 bits.

  8. Saisir les informations de validation
    Selon le CA et le fournisseur DNS sélectionnés, un ou plusieurs champs apparaissent pour renseigner les données de validation nécessaires :

    • Pour ZeroSSL, votre adresse email peut être requise.
    • Pour Cloudflare, saisissez votre clé API ou informations d’authentification requises (consultez le Wiki acme.sh selon le fournisseur choisi).

    WARNING

    Attention : Collez uniquement la valeur de la clé API ou du secret. N’incluez pas de préfixes de commande shell comme export dans le champ de saisie.

  9. Définir le(s) nom(s) de domaine
    Dans le champ 域名 (domaine), saisissez le ou les domaines pour lesquels demander le certificat (ex. : servbay.demo ou *.servbay.demo). Pour un certificat générique type *.servbay.demo, vérifiez que votre fournisseur DNS prend en charge la gestion automatisée des enregistrements TXT à caractère générique.

  10. Démarrer la demande
    Vérifiez que tous les champs sont correctement remplis, puis cliquez sur 请求 (Demander). ServBay lancera l’outil intégré acme.sh qui procédera à la validation du domaine par API DNS puis enverra la demande au CA.

Interface de demande de certificat ACME dans ServBay

Le traitement de la demande peut prendre du temps, en fonction de la propagation des enregistrements DNS et de la rapidité de la réponse du CA. Vous pouvez suivre l’évolution dans les journaux ou la liste des certificats ServBay. À succès, le certificat apparaîtra dans la liste SSL 证书 (Certificats SSL).

Utiliser le certificat dans la configuration du site ServBay

Après avoir obtenu votre certificat ACME, vous pouvez l'appliquer à l’un de vos sites configurés dans ServBay :

  1. Depuis la barre latérale du panneau d’administration, accédez à l’onglet 网站 (Sites).
  2. Sélectionnez le site à sécuriser puis cliquez sur le bouton de modification (icône crayon) à droite.
  3. Sur la page de configuration, trouvez l’option SSL 证书 (Certificat SSL).
  4. Dans le menu, sélectionnez le certificat ACME que vous venez de créer.
  5. Assurez-vous que l’option 启用 SSL (Activer SSL) est activée.
  6. Enregistrez la configuration du site. Votre site sera désormais accessible via HTTPS.

Utilisation d’un certificat ACME SSL dans la configuration d’un site ServBay

Renouvellement du certificat ACME

Les certificats émis par ACME (par exemple Let's Encrypt ou ZeroSSL) sont généralement valides 90 jours. Pour garantir la continuité de votre site sous HTTPS, un renouvellement régulier avant expiration est nécessaire.

ServBay surveille automatiquement la validité des certificats ACME qu’il a générés. À l’approche de l’expiration, ServBay tentera de renouveler le certificat automatiquement en utilisant les informations API DNS précédemment saisies.

Tant que vos identifiants API DNS restent valides et que la zone DNS du domaine fonctionne normalement, vous n’avez aucune intervention manuelle à effectuer : ServBay gère tout en arrière-plan.

FAQ et dépannage

  • La demande échoue avec une erreur de validation DNS ?
    • Vérifiez soigneusement que les identifiants API DNS sont corrects et ont les permissions d’ajout/suppression d’enregistrement TXT.
    • Assurez-vous d’avoir choisi dans ServBay la bonne API DNS, correspondant bien au fournisseur qui gère effectivement la zone DNS du domaine.
    • La propagation DNS peut prendre de quelques minutes à plusieurs heures. Il peut suffire de réessayer après un temps.
    • Contrôlez l’orthographe exacte des noms de domaine saisis.
  • La demande échoue avec une erreur liée à EAB ?
    • Pour Google Trust Services ou ZeroSSL en première demande, assurez-vous d’avoir correctement récupéré et saisi les infos EAB.
    • Si la demande marchait avant et échoue à présent, les infos EAB sont peut-être expirées ou invalides : récupérez-en de nouvelles.
  • Échec pour limite de fréquence (rate limit) dépassée ?
    • Les CA imposent des limites de fréquence sur le nombre de certificats demandés par domaine/adresse IP sur une période donnée. À force de trop nombreuses demandes ou de tests rapprochés, vous risquez d’être bloqué temporairement : attendez quelques heures/jours avant de réessayer.
  • Demande réussie mais le site est encore signalé "non sécurisé" dans le navigateur ?
    • Assurez-vous d’avoir appliqué le nouveau certificat ACME à votre site ServBay et d’avoir bien activé l’option SSL.
    • Videz le cache de votre navigateur ou testez en navigation privée.
    • Vérifiez que votre fichier hosts local et votre configuration réseau redirigent correctement vers ServBay.
  • Quand ServBay tente-t-il un renouvellement automatique ? ServBay s’y prend généralement un certain nombre de jours avant expiration (par exemple 30 jours). Tant que votre application ServBay est active et qu’Internet est accessible, le renouvellement se fait en toute transparence.

Résumé

ServBay offre une gestion ACME puissante et simple, permettant aux développeurs d’obtenir et de gérer facilement des certificats SSL/TLS de confiance pour leurs sites en développement local via l’API DNS. Cela simplifie la configuration tout en rapprochant au maximum votre environnement de développement d’un environnement de production HTTP sécurisé, afin de développer et tester plus efficacement.

Nous espérons que ce guide vous aidera à configurer facilement des certificats SSL dans ServBay avec ACME et à rendre votre développement local plus sûr et plus productif.