[{"data":1,"prerenderedAt":118},["ShallowReactive",2],{"seo-verification":3,"blog-certificats-ssl-lets-encrypt-vps-fr":6},{"google":4,"bing":5},"EycwPY2XMyTkVzas3n1ygeNJFGAH513qrMjfDljzsMQ","",{"id":7,"slug":8,"title":9,"excerpt":10,"readTime":11,"views":12,"isPinned":13,"publishedAt":14,"category":15,"categories":20,"featuredImage":22,"bgImage":23,"posterImage":24,"relatedSolution":25,"intro":28,"sections":29,"ctaTitle":72,"ctaBody":73,"ctaButton":74,"ctaUrl":75,"relatedPosts":76},116,"certificats-ssl-lets-encrypt-vps","Certificats SSL gratuits avec Let's Encrypt sur VPS","Déployez Let's Encrypt sur votre VPS : HTTPS gratuit, renouvellement automatique, A+ SSL Labs avec Nginx, Caddy ou Traefik en Docker.",8,292,false,"2026-02-24T00:00:00+00:00",{"id":11,"name":16,"slug":17,"color":18,"icon":19},"Sécurité & Monitoring","securite-monitoring","bg-rose-500\u002F10 text-rose-400","security",[21],{"id":11,"name":16,"slug":17,"color":18,"icon":19},null,"\u002Fblog\u002Fcovers\u002Fbg.svg","\u002Fblog\u002Fcovers\u002Fcertificats-ssl-lets-encrypt-vps-poster.svg",{"categorySlug":26,"appSlug":27},"securite","certbot","Le HTTPS n'est plus une option : navigateurs, SEO et clients l'exigent. Sur un VPS que vous maîtrisez de bout en bout, Let's Encrypt délivre des certificats reconnus, gratuits et renouvelés tout seuls. Voici comment monter une chaîne TLS propre, automatisée et notée A+, sans dépendre d'un panneau d'hébergement mutualisé.",[30,34,44,47,69],{"type":31,"title":32,"body":33},"h2","Pourquoi gérer Let's Encrypt soi-même sur un VPS","Let's Encrypt est une autorité de certification gratuite qui émet des certificats TLS validés par challenge automatisé (HTTP-01 ou DNS-01). Sur un hébergement mutualisé, vous subissez la config TLS du fournisseur : versions de protocole imposées, pas d'OCSP stapling, renouvellement opaque. Sur un VPS, vous tenez le `certbot` (ou `acme.sh`), le reverse proxy et la terminaison TLS. Vous décidez des protocoles (TLS 1.2\u002F1.3 uniquement), des suites de chiffrement, du HSTS et de l'agrafage OCSP. Vous pouvez aussi émettre un certificat **wildcard** (`*.exemple.ma`) via le challenge DNS-01, couvrir plusieurs domaines dans un seul certificat (SAN), et brancher le renouvellement sur vos propres alertes. Bref : un contrôle total sur la sécurité de transport, condition d'un score A+ sur SSL Labs et d'une note de confiance maximale côté navigateur.",{"type":35,"title":36,"items":37},"ul","Ce que vous gagnez en self-hébergeant la chaîne TLS",[38,39,40,41,42,43],"Certificats 100% gratuits, valables 90 jours et renouvelés automatiquement sans intervention.","Wildcard `*.exemple.ma` possible via le challenge DNS-01 : un seul certificat pour tous vos sous-domaines.","Maîtrise complète de la config : TLS 1.3, suites de chiffrement modernes, HSTS et OCSP stapling.","Certificats SAN multi-domaines (`exemple.ma`, `www.exemple.ma`, `api.exemple.ma`) sur une même IP.","Renouvellement scriptable et observable : hooks de reload, alertes Slack\u002Fe-mail avant expiration.","Aucune dépendance à un panneau tiers : la même recette fonctionne sur tous vos VPS et environnements.",{"type":31,"title":45,"body":46},"Prérequis réalistes","La terminaison TLS consomme très peu de ressources : un VPS **1 vCPU \u002F 512 Mo à 1 Go de RAM** suffit largement pour servir le HTTPS d'un ou plusieurs sites. Côté logiciel : `Docker` et `docker compose` (ou un Nginx\u002FCaddy natif), un **nom de domaine pointant vers l'IP publique du VPS** (enregistrement A\u002FAAAA propagé), et les **ports 80 et 443 ouverts** dans le pare-feu — le port 80 est indispensable pour le challenge HTTP-01. Pour un certificat wildcard, prévoyez un accès API à votre fournisseur DNS (token) afin d'automatiser le challenge DNS-01. Vérifiez la propagation avant de commencer : `dig +short exemple.ma` doit renvoyer l'IP du VPS.",{"type":48,"title":49,"steps":50},"steps","Déployer HTTPS automatisé en quelques étapes",[51,54,57,60,63,66],{"title":52,"body":53},"Pointer le domaine et ouvrir les ports","Créez un enregistrement A `exemple.ma` (et AAAA si IPv6) vers l'IP du VPS, puis autorisez le trafic web : `ufw allow 80,443\u002Ftcp`. Confirmez la résolution avec `dig +short exemple.ma` avant d'aller plus loin — un challenge échoue toujours si le DNS ne pointe pas encore.",{"title":55,"body":56},"Choisir le reverse proxy qui gère TLS","Le plus simple : `Caddy`, qui obtient et renouvelle Let's Encrypt automatiquement. Un `Caddyfile` minimal — `exemple.ma { reverse_proxy app:3000 }` — suffit pour servir HTTPS dès `docker compose up -d`. Pour un contrôle fin, partez plutôt sur `Nginx` + `certbot`, ou `Traefik` avec son resolver ACME intégré.",{"title":58,"body":59},"Émettre le premier certificat (HTTP-01)","Avec Nginx + Certbot en conteneur : `docker run --rm -v .\u002Fcerts:\u002Fetc\u002Fletsencrypt -v .\u002Fwebroot:\u002Fvar\u002Fwww certbot\u002Fcertbot certonly --webroot -w \u002Fvar\u002Fwww -d exemple.ma -d www.exemple.ma`. Certbot place un fichier de défi dans le webroot servi par Nginx, Let's Encrypt le valide, et dépose `fullchain.pem` + `privkey.pem`.",{"title":61,"body":62},"Émettre un wildcard via DNS-01 (optionnel)","Pour `*.exemple.ma`, le challenge HTTP-01 ne convient pas : utilisez DNS-01. Avec `acme.sh` et un token API : `acme.sh --issue --dns dns_cf -d exemple.ma -d '*.exemple.ma'`. Le script crée un enregistrement TXT `_acme-challenge`, attend la propagation, puis nettoie automatiquement.",{"title":64,"body":65},"Durcir la config TLS","Dans Nginx, forcez `ssl_protocols TLSv1.2 TLSv1.3;`, activez `ssl_stapling on;`, et ajoutez `add_header Strict-Transport-Security \"max-age=63072000; includeSubDomains; preload\" always;`. Redirigez tout le port 80 vers 443. Rechargez sans coupure : `nginx -s reload`.",{"title":67,"body":68},"Automatiser le renouvellement","Programmez un renouvellement deux fois par jour avec reload du proxy : `0 0,12 * * * docker run --rm -v .\u002Fcerts:\u002Fetc\u002Fletsencrypt certbot\u002Fcertbot renew --quiet --deploy-hook \"nginx -s reload\"`. Caddy et Traefik le font nativement ; vérifiez l'expiration avec `echo | openssl s_client -connect exemple.ma:443 2>\u002Fdev\u002Fnull | openssl x509 -noout -dates`.",{"type":70,"body":71},"tip","Avant de mettre en production, testez contre l'environnement de **staging** de Let's Encrypt (`--staging` chez Certbot, `--server letsencrypt_test` chez acme.sh) : la limite de production est de 5 émissions par domaine et par semaine, et un script mal réglé peut vite vous y faire buter. Ajoutez aussi un certificat de **monitoring d'expiration** : une sonde qui exécute `openssl x509 -checkend 604800` (7 jours) et déclenche une alerte si le renouvellement automatique a silencieusement échoué — un cron cassé est la cause numéro un d'un HTTPS expiré en pleine nuit.","Déployez votre VPS Cloud avec HTTPS prêt à l'emploi","Le template VPS Cloud ServOrbit arrive avec Docker, un reverse proxy et la chaîne Let's Encrypt préconfigurée : certificats émis et renouvelés automatiquement, score SSL Labs A+ dès le premier déploiement. Concentrez-vous sur votre application, pas sur la plomberie TLS.","Déployer mon VPS Cloud","\u002Fvps-cloud",[77,91,105],{"id":78,"slug":79,"title":80,"excerpt":81,"readTime":82,"views":83,"isPinned":13,"publishedAt":84,"category":85,"categories":86,"featuredImage":22,"bgImage":23,"posterImage":88,"relatedSolution":89},105,"superviser-vps-uptime-kuma","Superviser votre VPS avec Uptime Kuma","Deployez Uptime Kuma sur votre VPS pour surveiller vos sites et services en self-hosted, avec alertes et page de statut publique.",6,1520,"2026-03-07T00:00:00+00:00",{"id":11,"name":16,"slug":17,"color":18,"icon":19},[87],{"id":11,"name":16,"slug":17,"color":18,"icon":19},"\u002Fblog\u002Fcovers\u002Fsuperviser-vps-uptime-kuma-poster.svg",{"categorySlug":26,"appSlug":90},"uptime-kuma",{"id":92,"slug":93,"title":94,"excerpt":95,"readTime":96,"views":97,"isPinned":13,"publishedAt":98,"category":99,"categories":100,"featuredImage":22,"bgImage":23,"posterImage":102,"relatedSolution":103},106,"monitoring-vps-grafana-prometheus","Monitoring de VPS avec Grafana et Prometheus","Montez une stack Grafana + Prometheus sur votre VPS pour collecter, stocker et visualiser vos metriques systeme et applicatives.",9,522,"2026-03-06T00:00:00+00:00",{"id":11,"name":16,"slug":17,"color":18,"icon":19},[101],{"id":11,"name":16,"slug":17,"color":18,"icon":19},"\u002Fblog\u002Fcovers\u002Fmonitoring-vps-grafana-prometheus-poster.svg",{"categorySlug":26,"appSlug":104},"grafana",{"id":106,"slug":107,"title":108,"excerpt":109,"readTime":82,"views":110,"isPinned":13,"publishedAt":111,"category":112,"categories":113,"featuredImage":22,"bgImage":23,"posterImage":115,"relatedSolution":116},107,"monitorer-vps-netdata","Monitorer votre VPS en temps réel avec Netdata","Installez Netdata sur votre VPS pour un monitoring temps reel par seconde : milliers de metriques, zero configuration, alertes incluses.",559,"2026-03-05T00:00:00+00:00",{"id":11,"name":16,"slug":17,"color":18,"icon":19},[114],{"id":11,"name":16,"slug":17,"color":18,"icon":19},"\u002Fblog\u002Fcovers\u002Fmonitorer-vps-netdata-poster.svg",{"categorySlug":26,"appSlug":117},"netdata",1784126229144]