Gestion SSL

HTTPS par défaut — certificats gérés automatiquement

Quand vous déployez un projet avec Klystrr, le SSL fait partie du processus. Certbot émet un certificat Let's Encrypt pour votre domaine, Nginx ou Apache est configuré pour le trafic HTTPS, et vous obtenez une URL sécurisée sans toucher à la chaîne de certificats.

Déployer avec SSL aujourd'hui Lire le guide SSL

Le problème

Les certificats SSL ne sont pas difficiles à comprendre, mais faciles à rater — et les conséquences sont visibles par chaque utilisateur. Un avertissement de navigateur, une erreur de contenu mixte, un certificat expiré sans renouvellement, ou une configuration Nginx qui continue à servir HTTP sur le port 80 au lieu de rediriger vers HTTPS.

La solution

Klystrr intègre l'émission SSL dans le pipeline de déploiement. Après le déploiement de votre application et la configuration du reverse proxy, Klystrr invoque Certbot sur votre serveur pour demander un certificat Let's Encrypt. La configuration Nginx ou Apache est mise à jour automatiquement pour servir HTTPS et rediriger le trafic HTTP.

Fonctionnalités clés

Gestion automatique des certificats SSL

Émission automatique via Certbot

Klystrr exécute Certbot sur votre serveur après chaque déploiement pour émettre ou renouveler les certificats Let's Encrypt. Pas d'invocation manuelle, pas de cron à configurer, pas de flags Certbot à mémoriser.

Support Nginx et Apache

Klystrr configure le SSL pour les reverse proxies Nginx et Apache. Le bloc serveur ou VirtualHost approprié est écrit avec les paramètres HTTPS, la redirection HTTP→HTTPS et les en-têtes HSTS.

Domaines par défaut sécurisés

Chaque projet déployé avec Klystrr obtient une URL publique par défaut sur projet.klystrr.app, servie via HTTPS. Le SSL pour ces domaines est géré de manière centralisée.

Visibilité de l'état SSL

Le tableau de bord Klystrr affiche l'état SSL de chaque projet — si un certificat est actif, quand il a été émis et s'il y a des erreurs de configuration. Sans SSH.

Gestion des erreurs SSL courantes

En cas d'échec de l'émission, Klystrr remonte l'erreur dans le journal de déploiement. Les causes courantes — DNS non propagé, port 80 bloqué, mauvaise configuration du webroot — sont reportées avec suffisamment de contexte.

Renouvellement des certificats

Les certificats Let's Encrypt sont valides 90 jours. Le mécanisme de renouvellement automatique de Certbot gère le renouvellement sur votre serveur. Klystrr s'assure que Certbot est correctement configuré dès le premier déploiement.

Comment ça marche

De HTTP à HTTPS en 7 étapes

Déployez votre application

Lancez un déploiement via Klystrr. L'application est démarrée via PM2 et liée à un port local.

Configuration du reverse proxy

Klystrr écrit une configuration Nginx ou Apache qui proxifie le trafic depuis le domaine (port 80 initialement) vers le port local de votre application.

Validation DNS

Pour que le certificat soit émis, le domaine doit résoudre vers l'IP de votre serveur. Pour les sous-domaines klystrr.app par défaut, c'est géré automatiquement. Pour les domaines personnalisés, vous devez configurer vos enregistrements DNS d'abord.

Demande de certificat

Klystrr invoque Certbot via la méthode webroot ou HTTP-01. Certbot contacte Let's Encrypt, valide la propriété du domaine en servant un fichier de challenge, et récupère le certificat.

Configuration HTTPS

Klystrr met à jour la configuration Nginx ou Apache pour utiliser le certificat émis, active HTTPS sur le port 443 et configure une redirection permanente depuis le port 80.

SSL actif

Votre application est maintenant accessible via HTTPS. Le certificat est stocké sur votre serveur sous le chemin Certbot standard (/etc/letsencrypt/live/).

Renouvellement automatique

Le daemon de renouvellement ou la cron de Certbot renouvelle le certificat avant expiration. Aucune intervention manuelle n'est requise sauf si la configuration du serveur change.

Cas d'usage

SSL dans la pratique

Nouveau projet, premier déploiement

Vous déployez une API NestJS pour la première fois. Klystrr déploie le code, configure Nginx et émet un certificat SSL dans la même exécution. L'API est disponible sur https://votre-api.klystrr.app en quelques minutes.

Redéploiement après modifications

Lors d'un redéploiement, Klystrr vérifie l'état SSL. Si le certificat est toujours valide, il est conservé en place. S'il est proche de l'expiration ou révoqué, Certbot le renouvelle.

Plusieurs applications sur le même serveur

Chaque projet Klystrr dispose de son propre bloc Nginx et de son propre certificat Let's Encrypt. Dix projets sur le même VPS signifient dix certificats distincts, chacun émis et renouvelé indépendamment.

Débogage d'un certificat échoué

L'émission SSL d'un nouveau projet échoue car le port 80 est bloqué par une règle UFW. Le journal de déploiement Klystrr affiche la sortie d'erreur Certbot. Vous ouvrez le port 80 et redéployez.

Domaine personnalisé avec migration DNS

Vous pointez l'enregistrement A d'un domaine personnalisé vers votre serveur. Une fois le DNS propagé, vous déclenchez un redéploiement dans Klystrr et Certbot émet le certificat pour votre domaine.

FAQ certificats SSL

Chaque application que vous déployez mérite HTTPS dès le premier jour.

Klystrr en fait la valeur par défaut, pas une réflexion après coup.

Déployez votre premier projet HTTPS — sans carte de crédit

Votre serveur héberge le certificat. Klystrr s'assure juste qu'il est correctement configuré.