[Résolu] Problème de redirection certificat SSL let's encrypt

Mantinum · 28 janv. 2020

Bonjour, après plusieurs heures à fouiller je me résigne à me tourner vers vous, voilà j'ai installé ma seedbox via le script Ratxabox, j'ai installé mes certificats via Let's encrypt et cerbot, tuto sur ce site, et je n'arrive pas à avoir un fonctionnement normal.
Je m'explique, lorsque je teste mon NDD via des sites de check SSL, je ne rencontre pas, plus, d'erreurs seulement je suis obligé d'accéder à mon site en y ajouter à chaque fois https, l'url monsite.ndd ou encore monsite.ndd/rutorrent/ redirige vers une erreur de certificat.

Voilà mon fichier rutorrent.conf (enfin le début nécéssaire) :

include /etc/nginx/conf.d/log_rutorrent.conf;

server {
        listen 80 default_server;
        listen 443 default_server ssl http2;
        server_name mymedia.ovh www.mymedia.ovh;

        index index.html index.php;
        charset utf-8;
        client_max_body_size 10M;
       
        ssl_certificate /etc/letsencrypt/live/mymedia.ovh/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/mymedia.ovh/privkey.pem;

        include /etc/nginx/conf.d/ciphers.conf;

        access_log /var/log/nginx/rutorrent-access.log combined if=$loggable;
        error_log /var/log/nginx/rutorrent-error.log error;

        error_page 500 502 503 504 /50x.html;

        auth_basic "seedbox";
        auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd";

        root /var/www;

        location = /favicon.ico {
                access_log off;
                log_not_found off;
        }

        location = /50x.html {
                root /usr/share/nginx/html;
        }

Je précise que j'ai testé en navigation privée pour éviter les erreurs de cache, que mon domaine avec et sans www semble être bon du côté de let's encrypt.

Si vous avez une idée, je suis preneur.

Merci à vous.

Edit : J'oubliais je n'obtiens qu'une note de A et non A+ comme sur mes autres serveurs, si ça peut aider.

MattProd · 28 janv. 2020

Mantinum Pour obtenir A+ il faudra surement retravailler le vhost.

Donc si je comprend : si http = erreur de certificat si https c'est bon ?

Si j'etais toi je remplacerais ça :

server {
        listen 80 default_server;
        listen 443 default_server ssl http2;
        server_name mymedia.ovh www.mymedia.ovh;
...

par ça :

server {
        listen 80;
        server_name mymedia.ovh www.mymedia.ovh;
        return 301 https://mymedia.ovh$request_uri;
}

server {
        listen 443 ssl http2;
        server_name mymedia.ovh;
...

Ce qui devrait donc provoquer automatiquement le renvoi sur https

Mantinum · 28 janv. 2020

MattProd Merci pour ton aide mais ça m'a tout planté, rutorrent page quasi blanche, page d'accueil modifiée, sachant que Nextcloud est sur un sous domaine, mais qui lui ne me pose pas de problème, pour l'instant du moins.

MattProd · 28 janv. 2020

Et avec nginx -t pas d'erreur ?
Nextcloud en sous domaine ou en sous dossier ? Nextcloud.ndd.com ou ndd.com/nextcloud ?
Ok bon remet comme c'était.

Mantinum · 28 janv. 2020

MattProd Je t'avoue ne pas avoir teste nginx -t j'ai remis l'ancienne config, Nextcloud est en sous domaine nextcloud.ndd.com

MattProd · 28 janv. 2020

Tu peut nous fournir le vhost complet de rtorrent ?

Mantinum · 29 janv. 2020

Voilà mon /etc/nginx/sites-enabled :

include /etc/nginx/conf.d/log_rutorrent.conf;

server {
	listen 80 default_server;
	listen 443 default_server ssl http2;
	server_name www.NDD.ovh;

	index index.html index.php;
	charset utf-8;
	client_max_body_size 10M;

	ssl_certificate /etc/letsencrypt/live/mymedia.ovh/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/mymedia.ovh/privkey.pem;

	include /etc/nginx/conf.d/ciphers.conf;

	access_log /var/log/nginx/rutorrent-access.log combined if=$loggable;
	error_log /var/log/nginx/rutorrent-error.log error;

	error_page 500 502 503 504 /50x.html;

	auth_basic "seedbox";
	auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd";

	root /var/www;

	location = /favicon.ico {
		access_log off;
		log_not_found off;
	}

	location = /50x.html {
		root /usr/share/nginx/html;
	}

	location ~ \.php$ {
		fastcgi_index index.php;
		include /etc/nginx/fastcgi_params;
		fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
		fastcgi_pass unix:/run/php/php7.3-fpm.sock;
	}

	location ~* \.(jpg|jpeg|gif|css|png|js|map|woff|woff2|ttf|svg|eot)$ {
		expires 30d;
		access_log off;
	}

	location ~* \.(eot|ttf|woff|svg)$ {
		add_header Acccess-Control-Allow-Origin *;
	}

	## Config accueil serveur ##

	location ^~ / {
		root /var/www/base;
		include /etc/nginx/conf.d/php.conf;
		include /etc/nginx/conf.d/cache.conf;
		satisfy any;
		allow all;
	}

	## Config rutorrent ##

	location /rutorrent {
		try_files $uri $uri/ /index.html;
	}

	location ~ ^/rutorrent/(conf|share)/(.+)$ {
		deny all;
	}

	## Config munin ##

	location /graph {
	}

	location /graph/img {
		error_log /dev/null crit;
	}

	location /monitoring {
		auth_basic "Monitoring";
		auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd_manty";
	}

	location ^~ /nginx_status {
		stub_status on;
		access_log off;
		satisfy any;
		allow 127.0.0.1;
		deny all;
	}

	## debut conf ratxabox ##

	include /etc/nginx/ratxabox.d/*.conf;

	## fin conf ratxabox ##

	## Config seedbox-manager ##

	location /seedbox-manager {
		try_files /seedbox-manager/$uri /seedbox-manager/index.php$is_args$args;
	}

	## Config utilisateurs ##

        location /MANTY {
                include scgi_params;
                scgi_pass 127.0.0.1:5001;
                auth_basic "seedbox";
                auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd_manty";
        }
}

Hier soir, tout semblait fonctionner, et ce matin pas de HTTPS, bizarre, sachant que Nextcloud n'a aucun problème.

Merci.

MattProd · 29 janv. 2020

Il y'a pas une incohérence entre ton serveur_name et le dossier des certificats ?
J'ai corriger le nom du server_name pour eviter que tout le monde fonce dessus ( j'ai tester avant de corriger je tombe bien sur l'index de ratxabox en https en ayant taper http avant .)

Pour moi normalement quand tu as :
server_name www.NDD.com
quand tu génère ton certificat il va l'envoyer dans :
/etc/letsencrypt/live/www.NDD.com/
et là c'est dans :
/etc/letsencrypt/live/mymedia.ovh/...

Mantinum · 29 janv. 2020

Encore merci pour ton aide, en fait mon certificat est bien dans ndd.tld et non dans le www.ndd.tld, bien que le certificat concerné ce dernier ainsi que mon sous-domaine « cloud ».

Le www étant un sous domaine de ndd.tld, ça me semblait logique.

Cependant j’ai réussi à obtenir un A+ en reprenant le tuto let’s encrypt, en effet j’avais oublié la création du fichier params.conf.

Mais mon ndd.tld renvoie toujours en non sécurisé, ayant la même configuration sur un autre serveur lorsque j’entre ndd.tld je passe automatiquement en « sécurisé » je continue mes recherches, si tu as une idée ?

Encore merci pour ton aide.

MattProd · 29 janv. 2020

Normalement, enfin pour moi en debut de vhost je met cette regle pour rediriger le http vers le https automatiquement.
Tu auras beau taper http tu finiras sur le https.


include /etc/nginx/conf.d/log_rutorrent.conf;

server {
        listen 80;
        server_name ndd.tld;
        return 301 https://$server_name$request_uri;
}

server {
        listen 443 ssl http2;
        server_name ndd.tld;

	index index.html index.php;
	charset utf-8;
	client_max_body_size 10M;

	ssl_certificate /etc/letsencrypt/live/ndd.tld/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/ndd.tld/privkey.pem;

	include /etc/nginx/conf.d/ciphers.conf;

	access_log /var/log/nginx/rutorrent-access.log combined if=$loggable;
	error_log /var/log/nginx/rutorrent-error.log error;

	error_page 500 502 503 504 /50x.html;

	auth_basic "seedbox";
	auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd";

	root /var/www;

	location = /favicon.ico {
		access_log off;
		log_not_found off;
	}

	location = /50x.html {
		root /usr/share/nginx/html;
	}

	location ~ \.php$ {
		fastcgi_index index.php;
		include /etc/nginx/fastcgi_params;
		fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
		fastcgi_pass unix:/run/php/php7.3-fpm.sock;
	}

	location ~* \.(jpg|jpeg|gif|css|png|js|map|woff|woff2|ttf|svg|eot)$ {
		expires 30d;
		access_log off;
	}

	location ~* \.(eot|ttf|woff|svg)$ {
		add_header Acccess-Control-Allow-Origin *;
	}

	## Config accueil serveur ##

	location ^~ / {
		root /var/www/base;
		include /etc/nginx/conf.d/php.conf;
		include /etc/nginx/conf.d/cache.conf;
		satisfy any;
		allow all;
	}

	## Config rutorrent ##

	location /rutorrent {
		try_files $uri $uri/ /index.html;
	}

	location ~ ^/rutorrent/(conf|share)/(.+)$ {
		deny all;
	}

	## Config munin ##

	location /graph {
	}

	location /graph/img {
		error_log /dev/null crit;
	}

	location /monitoring {
		auth_basic "Monitoring";
		auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd_manty";
	}

	location ^~ /nginx_status {
		stub_status on;
		access_log off;
		satisfy any;
		allow 127.0.0.1;
		deny all;
	}

	## debut conf ratxabox ##

	include /etc/nginx/ratxabox.d/*.conf;

	## fin conf ratxabox ##

	## Config seedbox-manager ##

	location /seedbox-manager {
		try_files /seedbox-manager/$uri /seedbox-manager/index.php$is_args$args;
	}

	## Config utilisateurs ##

        location /MANTY {
                include scgi_params;
                scgi_pass 127.0.0.1:5001;
                auth_basic "seedbox";
                auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd_manty";
        }
}

Mantinum · 29 janv. 2020

Semblerait que tu m'aies sorti une épine du pied, ça semble bien fonctionner, je n'hésiterai pas à te tenir au courant.

Encore merci à toi.

MattProd · 29 janv. 2020

Pas de soucis, si le sujet viens à être clos pense à le marquer comme résolu dans le titre

Mantinum · 31 janv. 2020

MattProd Il semblerait que l'on ne puisse pas modifier le titre d'un post, surement réservé aux modos.