Gestionnaire de renouvellement de certificat SSL
Génère les commandes de renewal et d'auto-renewal SSL/TLS pour certbot, acme.sh, lego, Caddy, win-acme et plus, avec HTTP-01, DNS-01 et un calculateur d'expiry.
Ce gestionnaire de renouvellement de certificat SSL construit les commandes issue, renew, dry-run et auto-renewal pour certbot, acme.sh, lego, dehydrated, Caddy, cert-manager sur Kubernetes, win-acme et Posh-ACME, le tout dans ton navigateur pour que tes domaines et ton email ne quittent jamais la page. Choisis un challenge de validation (plugin nginx ou apache, HTTP-01 webroot ou standalone, ou DNS-01 pour les wildcards), un DNS provider et un type de clé, puis copie les commandes prêtes plus le timer ou le cron qui garde le cert frais. Un calculateur d'expiry intégré te dit les jours restants et le jour où tu devrais vraiment renouveler, et les snippets openssl lisent n'importe quel certificat, vérifient la chaîne et surveillent le OCSP stapling.
100% dans votre navigateur. Rien de ce que vous tapez ne quitte cette page.
Gestionnaire de renouvellement de certificat SSL · commandes + auto-renew + expiry
Un certificate qui expire, c'est vraiment la pire façon de mettre un site à terre. Et à chaque fois, c'était évitable. Alors choisis ton client ACME, choisis un challenge, et l'outil te recrache tout le nécessaire : issue, renew, dry-run et planning d'auto-renewal pour certbot, acme.sh, lego, dehydrated, Caddy, cert-manager (Kubernetes), win-acme et Posh-ACME. Prêt à coller. Le calculateur d'expiry fait le calcul barbant à ta place : jours restants, et le jour où tu devrais vraiment renouveler. Quant aux snippets openssl, ils lisent n'importe quel cert (en ligne ou posé sur le disque), vérifient la chaîne, vont titiller le OCSP stapling, et peuvent même te relancer par email avant que le truc ne lapse. Et rien de tout ça ne quitte ton navigateur.
Astuce : les certs Let's Encrypt vivent 90 jours. Renouvelle à 60 (comme ça il te reste encore 30 jours de marge si jamais ça part en vrille). Mets ta date d'expiry dans la case ci-dessus, ou récupère-la directement depuis le cert avec la ligne openssl de l'onglet « Check expiry ».
Comment fonctionne l'auto-renewal d'un certificat
Un gestionnaire de renouvellement de certificat SSL existe parce que chaque certificat TLS/SSL a une durée de vie. 90 jours pour Let's Encrypt et ZeroSSL, plus longtemps si tu payes une CA pour le privilège. L'auto-renewal, ce n'est rien d'autre qu'un client ACME qui se réveille tous les jours, regarde l'heure, et réémet avant que ça ne lapse. Ensuite il recharge ton serveur web pour que le nouveau fichier soit réellement servi. Émettre le cert ? Facile. Cette partie-là ne casse quasiment jamais. Ce qui casse, et je l'ai vu se produire plus d'une fois, c'est le reload hook que personne n'a câblé (cert tout neuf sur le disque, ancien encore envoyé aux navigateurs) ou un scheduler qui est mort en silence il y a des mois sans que personne ne s'en rende compte. Du coup l'outil te file la commande de renewal ET le planning, plus un dry-run pour que tu prouves que tout marche avant de lui confier quoi que ce soit d'important.
Choisir le bon client ACME
| Client | Idéal pour |
|---|---|
certbot | Le client de référence Let's Encrypt sous Linux, avec plugins nginx/apache. Il installe son propre systemd timer. |
acme.sh | Du pur shell, zéro dépendance, une énorme liste de DNS providers. Il installe son propre cron job. |
Caddy | Serveur web avec HTTPS automatique intégré. Rien à planifier, il se renouvelle tout seul. |
win-acme | Windows et IIS. Il crée une tâche planifiée Windows automatiquement. |
Posh-ACME | Module PowerShell pour l'automatisation Windows et les challenges DNS. |
Validation HTTP-01 vs DNS-01
HTTP-01 prouve que tu possèdes le domaine en servant un petit token sur le port 80. Tu peux faire ça via le plugin nginx ou apache, ou en pointant vers un dossier webroot, ou en laissant simplement le client monter un serveur standalone le temps d'une seconde. Le chemin le plus simple, honnêtement. Le hic : il ne sait carrément pas faire les wildcards. DNS-01 prouve la même chose autrement, en déposant un enregistrement TXT dans ta zone. Ça marche même quand la machine est complètement derrière un firewall, et c'est la seule route vers un wildcard (*.example.com). Donc pars sur DNS-01 avec le plugin de ton provider si tu as besoin de ce wildcard, ou si le port 80 n'est tout simplement pas joignable depuis l'extérieur.
Sources et pour aller plus loin
- RFC 8555: Automatic Certificate Management Environment (ACME)
- Let's Encrypt: How It Works
- certbot documentation (EFF)
- RFC 5280: X.509 Certificate and CRL Profile
- CA/Browser Forum: Baseline Requirements
Questions fréquentes
Comment savoir quand mon certificat SSL expire ?
Site en ligne ? Lance echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null | openssl x509 -noout -enddate. Tu as plutôt le fichier en local, openssl x509 -enddate -noout -in cert.pem fait le boulot. Ou tu zappes complètement le terminal : colle la date dans le calculateur tout en haut et il te dira les jours restants plus le moment où tu devrais renouveler. L'onglet « Check expiry » construit d'ailleurs ces lignes pour ton propre domaine.
Quand faut-il renouveler un certificat Let's Encrypt ?
90 jours, c'est la durée de vie Let's Encrypt. Les clients s'y mettent vers le jour 60 d'eux-mêmes, ce qui te laisse un coussin de 30 jours. Si tu essaies de renouveler avant la barre des 30-jours-restants, il ne se passe rien : c'est un no-op, sauf si tu forces. Et c'est exactement pour ça qu'un timer quotidien qui ne se déclenche que quand il y a vraiment du boulot est le bon choix.
Pourquoi mon certificat a-t-il expiré alors que l'auto-renew était en place ?
Presque toujours l'une de deux choses. Soit le scheduler s'est arrêté en silence (va vérifier systemctl list-timers ou ton cron), soit le renewal a bien marché mais rien n'a rechargé le serveur web, donc il a continué à distribuer le vieux cert. Câble un deploy ou reload hook genre systemctl reload nginx et ne le saute pas. Puis lance le dry-run que l'outil te recrache pour confirmer que la boucle est bien bouclée.
Comment tester un renewal sans taper dans les rate limits ?
Fais un dry-run. certbot renew --dry-run si tu es sur certbot, ou vise l'endpoint staging avec le client que tu as sous la main. Le dry-run parle à l'environnement staging de Let's Encrypt, donc il ne mange pas ton rate limit de production et ne touche pas non plus à ton certificat live. Teste autant que tu veux.
Puis-je obtenir un certificat wildcard de cette façon ?
Tu peux, mais DNS-01 est le seul moyen d'y arriver. Choisis DNS-01 et ton provider ci-dessus, puis balance un domaine du genre *.example.com. Le client écrit un enregistrement TXT pour prouver que tu contrôles toute la zone, et ça, c'est un tour que la validation HTTP est tout simplement incapable de faire.
Cet outil est-il sûr avec les détails de mon domaine ?
Oui. Tout tourne dans ton navigateur et il ne fait qu'assembler du texte de commande à partir de ce que tu tapes. Rien n'est envoyé nulle part : ni tes domaines, ni ton email, ni des clés. Copie les commandes et lance-les sur ta propre machine.