Ce guide couvre tout ce dont vous avez besoin pour installer les certificats SSL ACME sur LiteSpeed, y compris OpenLiteSpeed et LiteSpeed Enterprise.

Vous installerez le client ACME, le connecterez à votre fournisseur de certificats, demanderez un certificat sécurisé, et configurerez LiteSpeed pour l’utiliser, le tout en quelques étapes claires. Une fois terminé, vos certificats seront renouvelés automatiquement sans aucune intervention manuelle.
Nous utiliserons ACME.sh, un outil léger et fiable qui prend en charge l’EAB (External Account Binding), nécessaire pour les SSL ACME commerciaux de Sectigo et DigiCert.
Ce dont vous aurez besoin avant de commencer
Veillez à ce qu’ils soient prêts :
- LiteSpeed Web Server installé (OpenLiteSpeed ou Enterprise)
- Accès SSH avec les privilèges root ou sudo
- L’enregistrement DNS A/AAAA de votre domaine pointant vers ce serveur
- Un abonnement SSL ACME actif (de Sectigo ou DigiCert)
- Vos informations d’identification EAB (KID + clé HMAC)
- Port 80 ouvert – le défi ACME fonctionne par HTTP normal
- Accès Internet sortant vers le point d’extrémité de votre fournisseur d’ACME
Points d’extrémité ACME à utiliser :
- Sectigo: https://acme.sectigo.com/v2/DV
- DigiCert: https://acme.digicert.com/v2/acme
Étape 1 : Installer ACME.sh
Nous allons commencer par installer ACME.sh, le script léger qui gère vos demandes et renouvellements de certificats.
Ouvrez une fenêtre de terminal (SSH) et connectez-vous à votre serveur LiteSpeed en tant que root. Si vous utilisez un VPS ou un serveur cloud, connectez-vous en utilisant :
ssh root@your-server-ip
Une fois que vous y êtes, exécutez les commandes suivantes pour installer ACME.sh :
curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version
Cette opération permet de télécharger le script, de configurer l’environnement et de confirmer qu’il a été correctement installé.
Si l’installation échoue :
- Assurez-vous que
curletgitsont installés sur votre serveur. - Si quelque chose s’est bloqué, relancez l’installation avec –force
Étape 2 : Enregistrez votre compte ACME (avec EAB)
Cette étape permet de relier votre client ACME à l’autorité de certification à l’aide des informations d’identification EAB de votre abonnement.
acme.sh --register-account \
--server https://acme.sectigo.com/v2/DV \
--eab-kid EAB_KID \
--eab-hmac-key EAB_HMAC_KEY \
--accountemail [email protected]
Remplacez les valeurs par vos véritables informations d’identification. Si vous vous êtes déjà enregistré avec la même paire de VAE, pas de problème, ACME.sh réutilisera le compte existant.
En cas d’échec, vérifiez :
- Vos références VAE sont-elles correctes ?
- Votre serveur peut-il accéder à la sortie HTTPS (port 443) ?
Étape 3 : Configurer Webroot et tester la validation HTTP
ACME utilise les défis HTTP-01 pour vérifier la propriété du domaine. Cela signifie que votre serveur doit répondre à : http://yourdomain.com/.well-known/acme-challenge/
Cela signifie que le client ACME déposera un fichier de test dans un dossier appelé .well-known, et que votre serveur devra le servir via HTTP (port 80).
Où se trouve le webroot sur votre serveur ?
Cela dépend de ce que vous utilisez. Sur OpenLiteSpeed (nouvelle installation), par défaut, la racine du site Web est /usr/local/lsws/Example/html.
Sur LiteSpeed Enterprise (WHM ou configuration manuelle), la racine du Web est l’endroit où votre domaine pointe, souvent quelque chose comme : /home/youruser/public_html
Créez le dossier de validation et le fichier de test
Dans la racine de votre document (ajustez le chemin pour qu’il corresponde au vôtre), exécutez :
mkdir -p /your/webroot/.well-known/acme-challenge
echo "ok" > /your/webroot/.well-known/acme-challenge/testfile
curl -I http://yourdomain.com/.well-known/acme-challenge/testfile
If you see HTTP/1.1 200 OK, your server is ready to answer ACME challenges.
Et si vous imposez HTTPS ?
Si votre site redirige automatiquement HTTP vers HTTPS, vous devez faire une exception pour le chemin ACME afin qu’il puisse rester sur HTTP pendant la validation. Ajoutez ceci à votre fichier .htaccess:
RewriteEngine On
# Let ACME validation go through
RewriteRule ^\.well-known/acme-challenge/ - [L]
# Redirect everything else to HTTPS
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Cela permet de s’assurer que le défi fonctionne même si votre site utilise HTTPS.
Vérification supplémentaire : le port 80 est-il ouvert ?
Si la validation échoue, il se peut que votre serveur n’écoute pas sur HTTP. Vérifiez vos auditeurs LiteSpeed.
Pour OpenLiteSpeed :
- Connectez-vous à LiteSpeed WebAdmin : https://:7080
- Naviguez jusqu’à Listeners > Default (ceci existe sur les nouvelles installations).
- Ensemble :
- Port = 80
- IP = ANY
Pour LiteSpeed Enterprise :
Connectez-vous à WHM ou WebAdmin, et assurez-vous que votre domaine écoute sur le port 80. Si un autre service utilise ce port, exécutez :
sudo lsof -i :80
Arrêtez le processus en conflit, puis redémarrez LiteSpeed.
Étape 4 : Émettre votre certificat SSL
Il est maintenant temps de demander votre certificat SSL via le client ACME. Vous exécuterez cette commande directement dans le terminal (SSH) de votre serveur, à l’endroit où vous avez installé ACME.sh plus tôt.
acme.sh --issue \
-d yourdomain.com \
-w /path/to/your/webroot \
--server https://acme.yourca.com/v2/endpoint
Voyons cela en détail :
- acme.sh –issue – indique à ACME.sh que vous souhaitez émettre un nouveau certificat.
- -d votredomaine.com – votre nom de domaine principal. Vous pouvez ajouter d’autres drapeaux -d pour les sous-domaines ou la version www, comme -d www.yourdomain.com.
- -w /path/to/your/webroot – le chemin complet vers la racine du document de votre site web.
- –server https://acme.yourca.com/v2/endpoint – remplacez cette adresse par l’URL de l’ACME de votre CA :
- Sectigo : https://acme.sectigo.com/v2/DV
- DigiCert : https://acme.digicert.com/v2/acme
S’il échoue avec des erreurs telles que : « non autorisé », « non délégué », ou « réponse invalide », cela signifie généralement :
- L’enregistrement DNS A/AAAA du domaine ne pointe pas encore vers ce serveur.
- Votre chemin d’accès à webroot est erroné. ACME ne trouve pas le fichier challenge.
- Le port 80 est bloqué ou redirigé vers HTTPS.
- Vous avez utilisé la mauvaise URL de serveur CA pour votre produit.
Étape 5 : Installer le certificat et paramétrer le rechargement
Maintenant nous installons le certificat et disons à LiteSpeed de se recharger après les renouvellements.
Tout d’abord, créez un répertoire pour le certificat :
mkdir -p /usr/local/lsws/conf/cert/yourdomain.com
Installez-le ensuite :
acme.sh --install-cert -d yourdomain.com \
--key-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key \
--fullchain-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt \
--reloadcmd "/usr/local/lsws/bin/lswsctrl reload"
Corrigez les permissions :
chmod 600 /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
chown -R nobody:nogroup /usr/local/lsws/conf/cert/yourdomain.com
Remplacez nobody:nogroup par votre utilisateur et groupe LiteSpeed actuel s’il est différent.
Étape 6 : Configurer HTTPS dans LiteSpeed
Maintenant que votre certificat est installé, connectons-le à LiteSpeed pour que votre site se charge en HTTPS.
Pour OpenLiteSpeed (panneau WebAdmin)
- Connectez-vous à la console WebAdmin. Visitez : https://your-server-ip:7080
- Create a secure HTTPS listener. In the left menu, go to: Listeners > Add > Then set the following:
- Nom : HTTPS
- Adresse IP : ANY
- Port : 443
- Sécurisé : Oui
- Cliquez sur Enregistrer.
- Après avoir sauvegardé, cliquez sur votre nouvel auditeur HTTPS et allez dans l’onglet SSL.
- Saisissez les chemins d’accès complets aux fichiers cert et key que vous avez installés précédemment et cliquez à nouveau sur Enregistrer .
- Fichier de clé privée : /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
- Fichier de certificat : /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt
- Toujours sous l’auditeur HTTPS, allez dans l’onglet Mappages d’hôtes virtuels.
- Ajoutez une cartographie comme celle-ci :
- Hôte virtuel : Exemple (Remplacez Exemple par votre nom d’hôte virtuel actuel si vous l’avez modifié).
- Domaines : *
- Pour appliquer tous les changements, redémarrez LiteSpeed. Vous pouvez le faire à partir de WebAdmin : Actions > Redémarrage en douceur
Pour LiteSpeed Enterprise
Si vous utilisez LiteSpeed Enterprise (par exemple avec WHM/cPanel), les étapes sont similaires, mais la disposition peut différer légèrement.
- Accédez à WebAdmin ou WHM
- Utilisez le panneau WebAdmin (comme ci-dessus) ou configurez le SSL via votre panneau d’hébergement.
- Attribuer les chemins d’accès au certificat et à la clé
- A chaque fois que l’hôte virtuel de votre domaine est défini, définissez :
- Fichier de clé privée: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
- Fichier de certificat: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt
- Recharger LiteSpeed
- Appliquez les modifications en exécutant service lsws reload
C’est tout. Une fois que LiteSpeed se sera rechargé, votre site commencera à servir le trafic sur HTTPS en utilisant le certificat ACME que vous avez installé.
Étape 7 : Vérifier HTTPS et le renouvellement automatique
Visitez votre site. Vous devriez voir :
- CN/SAN correct
- Pas d’avertissement dans le navigateur
Vérifiez maintenant si ACME.sh a ajouté une tâche cron :
crontab -l
Il devrait ressembler à ceci :
24 13 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
Testez manuellement le renouvellement :
acme.sh --renew -d yourdomain.com --force
tail -n 40 ~/.acme.sh/acme.sh.log
Si votre commande de rechargement est correcte, LiteSpeed récupérera le nouveau certificat automatiquement.
Vous avez des problèmes ? Voici ce qu’il faut vérifier
Si quelque chose ne fonctionne pas lors de la délivrance ou du renouvellement, ces vérifications rapides devraient permettre de résoudre le problème :
404 Not Found » sur le fichier challenge
- Vérifiez le chemin -w que vous avez utilisé. Pointe-t-il vers la bonne racine du document ?
- Assurez-vous que le dossier.well-known/acme-challenge/ existe dans cette racine.
- Essayez d’accéder manuellement à un fichier de test via HTTP (curl ou navigateur).
Erreurs « Non autorisé » ou « Non délégué ».
- Il se peut que votre DNS ne pointe pas encore vers le serveur. Vérifiez vos enregistrements A/AAAA
- Vérifiez votre URL CA –serveur
- Utilisez-vous les bonnes informations d’identification VAE de votre fournisseur SSL ?
LiteSpeed ne s’est pas rechargé après le renouvellement du certificat
Si votre certificat a été renouvelé mais que le site affiche toujours l’ancien, cela signifie généralement que LiteSpeed n’a pas été rechargé automatiquement. Vérifiez quelle version de LiteSpeed vous utilisez.
Si vous êtes sur OpenLiteSpeed, rechargez le serveur manuellement avec :
/usr/local/lsws/bin/lswsctrl reload
Si vous êtes sur LiteSpeed Enterprise, utilisez :
service lsws reload
Mettez à jour votre commande ACME.sh reload pour qu’elle exécute la bonne ligne après chaque renouvellement.
--reloadcmd "/usr/local/lsws/bin/lswsctrl reload"
Cela permet à LiteSpeed de rafraîchir automatiquement le certificat la prochaine fois qu’il sera renouvelé.
Vous avez terminé
Vous avez maintenant installé avec succès un certificat SSL ACME sur LiteSpeed, et vous l’avez configuré pour qu’il soit renouvelé automatiquement sans aucun travail manuel. Votre serveur utilise des certificats sécurisés basés sur EAB, tout est connecté à LiteSpeed, et le rechargement se fait silencieusement après chaque renouvellement.
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10




