====== OPNSense & Let's Encrypt ======

===== Installer le package =====
  - Dans System -> Firmware -> Plugins, faire un Check for updates
  - Installer le plugin OS-ACME-CLIENT {{:reseau:opnsense:pasted:20200224-093947.png}}

===== Configuration =====
  - Dans Services -> Let's Encrypt -> Settings
    - Activer le service
    - Choisir Auto Renewal
    - Choisir Staging pour réaliser les essais (ou prendre Production si on est certain - attention le nombre de requêtes est limité) 
    - Faire Apply  {{:reseau:opnsense:pasted:20200224-094334.png}}
  - Dans Services -> Let's Encrypt -> Account, créer un compte avec votre adresse email pour recevoir les éventuelles alertes {{:reseau:opnsense:pasted:20200224-094912.png}}
  - Dans Services -> Let's Encrypt -> Validation Method, créer une nouvelle méthode
    - L'activer
    - Choisir le challenge type DNS-01
    - Dans DNS-Service j'ai utilisé OVH, Kimsufi, soyoustart, à adapter selon vos besoins
    - Se rendre sur https://api.ovh.com/createToken/ et 
      - Choisir validity = **unlimited**
      - Rajouter des droits pour:
        - GET : /domain
        - POST : /domain
        - PUT : /domain
        - DELETE : /domain
        - GET : /domain/*
        - POST : /domain/*
        - PUT : /domain/*
        - DELETE : /domain/*
        - Puis créer les clés
    - Encoder les clés créées sur OVH et les insérer dans le formulaire {{:reseau:opnsense:pasted:20200224-095604.png}}
  - Dans Services -> Let's Encrypt -> Certificate, créer un nouveau certificat
    - L'activer en cliquant sur Enabled
    - Donner le nom du host dans CommonName
    - Choisir le compte dans LE Account précédemment créé
    - Choisir le Validation Method {{:reseau:opnsense:pasted:20200224-100032.png}}
    - Appuyer sur Save
    - Générer un nouveau certificat en cliquant sur ISSUE/RENEW {{:reseau:opnsense:pasted:20200224-100422.png}}

Une fois créé, on peut changer le certificat dans System -> Trust -> Certificates
Il est possible d'aller plus loin en lançant via automation un restart