Pour renouveler le certificat Let's encrypt de son serveur web protégé par Cloudflare, le plus simple est de donner accès à l'API Cloudflare à certbot. Voici comment faire sur Debian :

1/ Installer ce qu'il faut :

apt-get install python3 certbot python3-certbot python3-certbot-dns-cloudflare

2/ Trouver sa clé API sur Cloudflare

C'est déjà expliqué sur un autre article de notre blog : https://www.securiteinfo.com/blog-pour-hackers/blog/cloudflare-trouver-sa-cle-api-et-son-id-zone

3/ Créer un fichier contenant les informations de connexion de l'API (votre mail de login et la clé de l'API de Cloudflare)

Exemple :

cat /root/monapicloudflare.txt

# Cloudflare API credentials used by Certbot

dns_cloudflare_email = cloudflare@example.com

dns_cloudflare_api_key = 0123456789abcdef0123456789abcdef01234

Ne pas oublier de mettre un chmod 600 sur le fichier

chmod 600 /root/monapicloudflare.txt

4/ Renouveler le certificat en utilisant la création de champ DNS temporaire chez Cloudflare :

certbot renew --dns-cloudflare --dns-cloudflare-credentials /root/monapicloudflare.txt --dns-cloudflare-propagation-seconds 60

Et voilà, c'est fini, il n'a pas été nécessaire d'arrêter le serveur web pour que ça fonctionne.