Acme.sh (DNS Auto API) - MailServer d'Hardware

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Acme.sh (DNS Auto API) - MailServer d'Hardware

Rathorian

Bonsoir à tous,

Aujourd'hui, j'ouvre ce topic un peu dans le désespoir car j'ai beau chercher, je comprends rien 🤔

Ayant migré mon serveur de mail et DNS tout deux provenant des images d'@Hardware sur un nouveau serveur, je souhaitais utiliser Traefik pour découvrir la bête. Après quelques essais et m'apercevant qu'avec le site CryptCheck d'Imirhil, je n'avais qu'un pauvre "C" au niveau de la configuration HTTPS, j'ai décidé de retourner sur un bon vieux Nginx qui vient de chez @xataz (docker-reverse-nginx).

Je souhaitais également changer de méthode pour la génération de certificats.
Auparavant, j'utilisais Certbot des paquets Debian mais il utilise que des certificats RSA et je voudrais changer pour du EC384.
Donc j'essaie avec un client assez renommé qui est "Acme.sh".
Mais je voudrais également utiliser un tout nouveau mode pour moi, le "DNS API Auto" pour renouveler les certificats automatiquement et là, c'est un peu la catastrophe.

Déjà, j'arrive pas à comprendre un truc et ça peut paraitre très con pour la majorité d'entre vous, est-ce qu'il faut obligatoirement utiliser les DNS d'OVH (par exemple) pour pouvoir utiliser ce mode vu que j'utilise mon propre serveur DNS ?

Ensuite, il faut que les fichiers du certificat soit en 4 parties pour le MailServer d'@Hardware :

privkey.pem
cert.pem
chain.pem
fullchain.pem

Comment je pourrais faire pour obtenir ce format ?

Je suis un peu perdu donc si des gens passent par là et qui voudrait bien m'éclaircir sur tout ça.
Merci beaucoup

Rathorian

Hardware

J'ai pas testé mais ces deux commandes devraient fonctionner :

acme.sh --install-cert -d example.com \
--key-file       ${VOLUMES_ROOT_PATH}/ssl/live/mail.domain.tld/privkey.pem  \
--fullchain-file ${VOLUMES_ROOT_PATH}/ssl/live/mail.domain.tld/fullchain.pem \
--reloadcmd      "docker restart mailserver"

acme.sh --install-cert -d example.com \
--ca-file        ${VOLUMES_ROOT_PATH}/ssl/live/mail.domain.tld/chain.pem  \
--cert-file      ${VOLUMES_ROOT_PATH}/ssl/live/mail.domain.tld/cert.pem  \
--key-file       ${VOLUMES_ROOT_PATH}/ssl/live/mail.domain.tld/privkey.pem  \
--fullchain-file ${VOLUMES_ROOT_PATH}/ssl/live/mail.domain.tld/fullchain.pem \
--reloadcmd      "docker restart mailserver"

*Remplace VOLUMES_ROOT_PATH par le chemin vers tes volumes docker.

Si ça fonctionne correctement je le rajouterai au readme comme exemple 🙂

mailserver:
  image: hardware/mailserver
  volumes:
    - ${VOLUMES_ROOT_PATH}/ssl:/etc/letsencrypt
    ...

https://github.com/hardware/mailserver#custom-certificates

Rathorian Déjà, j'arrive pas à comprendre un truc et ça peut paraitre très con pour la majorité d'entre vous, est-ce qu'il faut obligatoirement utiliser les DNS d'OVH (par exemple) pour pouvoir utiliser ce mode vu que j'utilise mon propre serveur DNS ?

J'ai pas trouvé de script pour NSD et je sais pas si c'est faisable mais en théorie il faudrait écrire un custom script pour que acme.sh puisse modifier dynamiquement ta zone DNS pour vérifier que tu as bien les droits sur le domaine.

SInon il faut en choisir un autre dans la liste : https://github.com/Neilpang/acme.sh/tree/master/dnsapi

Rathorian je souhaitais utiliser Traefik pour découvrir la bête. Après quelques essais et m'apercevant qu'avec le site CryptCheck d'Imirhil, je n'avais qu'un pauvre "C" au niveau de la configuration HTTPS, j'ai décidé de retourner sur un bon vieux Nginx

Si tu veux un A+, il suffit seulement d'ajouter ceci à ton fichier TOML :

[entryPoints]
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
    minVersion = "VersionTLS12"
    cipherSuites = ["TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305"]

Si tu as un certificat utilisant ECC et pas RSA, il faut utiliser :

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

https://godoc.org/crypto/tls#pkg-constants

Attention à la compatibilité avec les navigateurs en utilisant cette liste de ciphers, modifie selon tes besoins.

Rathorian

Merci beaucoup pour toutes ces informations @Hardware

Concernant Traefik, pour le coup je préfère rester sur du Nginx mais l'information que tu as donné pourra toujours aider d'autres personnes en cas de besoin.

Donc pour DNS API Auto ce n'est pas possible actuellement.
Dans ce cas, quel serait selon toi, le meilleur mode pour créer/renouveler un certificat avec Ame.sh s'il te plait ?

Du coup l'option "--install-cert" ce fait à chaque fois à la main pour le renouvellement ou c'est automatique lors de du renew ?

Merci

Hardware

Rathorian Dans ce cas, quel serait selon toi, le meilleur mode pour créer/renouveler un certificat avec Ame.sh s'il te plait ?

Via Webroot.

Rathorian Du coup l'option "--install-cert" ce fait à chaque fois à la main pour le renouvellement ou c'est automatique lors de du renew ?

C'est automatique de ce que j'ai compris .

Rathorian

Hardware Le problème du Webroot pour moi, c'est que je ne sais absolument pas le chemin à mettre pour les conteneurs.

J'essaierais la commande --install-cert du coup, elle parait bien.

Merci

Rathorian

Je viens d'essayer pas mal de chose pour webroot et pour l'instant je n'y arrive pas.

Voici mon docker-compose.yml

Tout les conteneurs sont lancés.

Dans mon dossier "/home/domaine/docker/nginx/custom_sites" j'ai créés mes vHosts :
- vHost mail.domaine.fr et webmail.domaine.fr
- vHost postfixadmin.domaine.fr
- vHost spam.rathorian.fr

Ensuite, quand j'essaie de générer un certificat avec la commande :

acme.sh --issue --test \
-d mail.domaine.fr \
-d spam.domaine.fr \
-d postfixadmin.domaine.fr \
-d webmail.domaine.fr \
-w /nginx/www/webmail.domaine.fr \
-k ec-384

J'ai une belle erreur :

[Sat Feb 17 12:37:29 CET 2018] Using stage ACME_DIRECTORY: https://acme-staging.api.letsencrypt.org/directory
[Sat Feb 17 12:37:30 CET 2018] Multi domain='DNS:mail.domaine.fr,DNS:spam.domaine.fr,DNS:postfixadmin.domaine.fr,DNS:webmail.domaine.fr'
[Sat Feb 17 12:37:30 CET 2018] Getting domain auth token for each domain
[Sat Feb 17 12:37:30 CET 2018] Getting webroot for domain='mail.domaine.fr'
[Sat Feb 17 12:37:30 CET 2018] Getting new-authz for domain='mail.domaine.fr'
[Sat Feb 17 12:37:32 CET 2018] The new-authz request is ok.
[Sat Feb 17 12:37:32 CET 2018] Getting webroot for domain='spam.domaine.fr'
[Sat Feb 17 12:37:32 CET 2018] Getting new-authz for domain='spam.domaine.fr'
[Sat Feb 17 12:37:34 CET 2018] The new-authz request is ok.
[Sat Feb 17 12:37:34 CET 2018] Getting webroot for domain='postfixadmin.domaine.fr'
[Sat Feb 17 12:37:34 CET 2018] Getting new-authz for domain='postfixadmin.domaine.fr'
[Sat Feb 17 12:37:35 CET 2018] The new-authz request is ok.
[Sat Feb 17 12:37:35 CET 2018] Getting webroot for domain='webmail.domaine.fr'
[Sat Feb 17 12:37:35 CET 2018] Getting new-authz for domain='webmail.domaine.fr'
[Sat Feb 17 12:37:36 CET 2018] The new-authz request is ok.
[Sat Feb 17 12:37:37 CET 2018] Verifying:mail.domaine.fr
mkdir: cannot create directory '/nginx': Permission denied
/home/domaine/.acme.sh/acme.sh: line 3816: /nginx/www/webmail.domaine.fr/.well-known/acme-challenge/GQ5wVfWNKFF7lOeu0TXaar0Tdj8e-PO8Twdh_oVzq88: No such file or directory
[Sat Feb 17 12:37:37 CET 2018] mail.domaine.fr:Can not write token to file : /nginx/www/webmail.domaine.fr/.well-known/acme-challenge/GQ5wVfWNKFF7lOeu0TXaar0Tdj8e-PO8Twdh_oVzq88
[Sat Feb 17 12:37:37 CET 2018] Please add '--debug' or '--log' to check more details.
[Sat Feb 17 12:37:37 CET 2018] See: https://github.com/Neilpang/acme.sh/wiki/How-to-debug-acme.sh

Je suis totalement perdu.... 😥

xataz

Salut,

J'ai pas regardé ta configuration du webroot, mais a première vu cela vient de acme, faut que tu lui indique le chemin hors du conteneur, et pas dans le conteneur