Pour ce tuto : http://mondedie.fr/d/5378 Merci de me rapporter les erreurs, et d'apporter vos suggestions.

Bonjour Meister, J'ai un petit soucis avec le tuto. Alors pas de soucis pour la génération etc. Par contre, même après avoir installer le root.crt et le class3.crt sur mon pc, chrome ou firefox me dit toujours qu'il ne reconnait pas mon certificat. Il faudrait également apporter une modification dans ton tuto : ssl on; ssl_certificate /etc/nginx/ssl/*_chain.pem; ssl_certificate_key /etc/nginx/ssl/key.pem; ssl_session_timeout 5m; ssl_prefer_server_ciphers on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:+HIGH:+MEDIUM; en ssl on; ssl_certificate /etc/nginx/ssl/<domaine>_chain.pem; ssl_certificate_key /etc/nginx/ssl/key.pem; ssl_session_timeout 5m; ssl_prefer_server_ciphers on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:+HIGH:+MEDIUM;

Salut et merci pour ton retour, peux-tu éditer ton sujet pour qu'on ne voit plus mon nom de domaine, j'ai fais la correction sur le tuto. Tu es sur quel OS, Sur mac j'ai du effacer l'historique et redémarrer pour que le certificat soit pris en compte

voilà c'est modifié. Je suis sous windows. ok je vais essayer ça ce soir. je te tiens au courant.

Pas de problème si tu as aucune erreur quand tu as fais le service nginx restart c'est que c'est ok sur le serveur. Il reste que ton pc qui a pas encore pris en compte le certificat. Au pire on fera un team viewer si tu veux

bon alors en refaisant le tuto, j'ai pris 10minutes sur mon super cours 😛 ça fonctionne parfaitement avec le lien que tu as fourni, en tout cas pour chrome puisqu'il utilise les bibliothèques de certificats de windows. Je vais jeter un oeil pour firefox pour voir un peu comment les ajouter.

Pour firefox je pense que tu dois ajouter les certificats à la main. Il faut que je refasse le tuto pour qu'il soit plus clair, je viens de l'utiliser pour quelqu'un en le relisant j'ai vu quelques petits problèmes de copier/coller.

oui je regarde ça dans une heure. oui il y a quelques soucis mais si on ne fait pas que du copier coller c'est bon 😛

Oui je sais mais justement la plupart des gens ici font du copier/coller et tu sais quand tu bosses sur un tuto pendant des heures a la fin tu fais plus attention aux petites choses. Je vais revoir ça

ça marche je regarderais ton nouveau tuto avec attention

[Discussion] Certificat SSL signé par CAcert : Page 4

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] Certificat SSL signé par CAcert

jbnitro

Bonjour,
Poir le tuto il fallait faire touted les pages ou juste la premiere est a faire ? Sinon pour la cle publique on la génère comment et tou ?

cocolabombe0

J'ai encore suivi le tuto avec rapidSSL en gratuit et j'ai toujours le même problème de clé.

Edit: pour le moment résolu. A voir avec les sous domaine pour que cela fonctionne correctement.
Pour le moment je suis bien sécurisé mais page blanche (peut être car j'ai un redirection d'un sous domaine sur la page d’accueil).

Teebo

marmotte5520 wrote:Personne n a ce problème. Avec l émail mais alias sont créer mais je ne recoi aucun émail et cacert me dit adresse invalide

Je rencontre le même problème, adresse invalide alors que j'ai créée une redirection, j'ai tenté d'envoyer un mail que je reçois bien sur le compte redirigé...
J'ai même tenté sans redirection, en créant un compte mail. J'arrive à envoyer et recevoir des mails de cette adresse mais pour Cacert :
L'adresse électronique donnée était invalide, un test de connexion avec votre serveur n'a pas abouti ou votre serveur a rejeté l'adresse électronique comme invalide.

Échec lors de la connexion au serveur de mail

Je ne comprends pas !!!

RiTook

Salut,

J'ai une question peut-être idiote mais tant pis, pour une utilisation basique du serveur (c'est à dire seedbox, proxy, et un éventuel un site de toute petite envergure) au niveau sécurité quelle différence cela fait-t-il entre un certificat auto-signé et un autre fourni par un organisme dont c'est le métier ?
Est-ce que l'intérêt réside plus pour la création de site sérieux ou bien ça vaut aussi pour une seedbox ?
Sachant en plus qu'il faut s'inscrire et y laisser une adresse email ça craint pas un peu ?
Désolé pour ces questions qui paraissent peut-être basiques pour certains mais je préfère demander .

Comme le tuto concerne un secteur que je ne maîtrise pas ( tout ce qui est domaine, sous-domaine ,redirection, etc.. je ne m'y connais pas trop), j'aurais voulu savoir si c'était possible de supprimer l'actuel certificat pour en recréer un autre (auto-signé donc) mais en spécifiant mon nom de domaine acquit gratuitement (merci pour le tuto au passage

) dans le but de pouvoir l'ajouter au navigateur afin qu'il le reconnaisse en tant que tel et d'avoir ainsi un beau cadenas vert comme dans sur photo.
Car dans l'état actuel des choses le ndd est différent de celui généré automatiquement par le script (wtf.org) et cela pose un problème au navigateur pour le valider .

Merci .

cocolabombe0

Cela fonctionne correctement sur Chrome et seulement lui.
Est ce que c'est normal que sur les mozilla firefox je ne suis pas certifié ou sur mon téléphone, ... .

J'ai une question.
J'ai rajouté plex en sous domaine et en https cela ne fonctionne pas (https://plex.nomdedomaine.fr). Il me redirige vers https://www.nomdedomaine.fr. Est ce que je peux quand même rajouter le code pour choisir l'http au lieu de https pour le SSL et mettre une redirection automatique vers http://plex.nomdedomaine.fr

Quelques modifications que j'ai fais par rapport au tutoriel.

Il manque le _chain sur le dernier code.
remplacer

    ssl on;
    ssl_certificate /etc/nginx/ssl/sd.<votre domaine>.pem;
    ssl_certificate_key /etc/nginx/ssl/sd.key.pem;
    ssl_session_timeout 5m;
    ssl_prefer_server_ciphers on;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:+HIGH:+MEDIUM;

en ça

    ssl on;
    ssl_certificate /etc/nginx/ssl/sd.<votre domaine>_chain.pem;
    ssl_certificate_key /etc/nginx/ssl/sd.key.pem;
    ssl_session_timeout 5m;
    ssl_prefer_server_ciphers on;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:+HIGH:+MEDIUM;

J'ai du retélécharger le root et class3 sur le sous domaine
Donc refaire:
Télécharger les ''certificats racines''.

cd /etc/nginx/ssl/
wget https://www.cacert.org/certs/root.crt
wget https://www.cacert.org/certs/class3.crt

Peut être faire une difference entre <votre domaine> et <votre domaine.xx> même si c'est expliqué dans ces discussions

Faire un listing des erreurs possible:

[....] Restarting nginx: nginxnginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/nginx/ssl/key.pem") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)
nginx: configuration file /etc/nginx/nginx.conf test failed

signifie que le code de CAcert ne correspond pas au CSR envoyé

service nginx restart
[....] Restarting nginx: nginxnginx: [emerg] BIO_new_file("/etc/nginx/ssl/server.crt") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/nginx/ssl/server.crt','r') error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed

signifie qu'un fichier de configuration est encore appelé sur le certificat auto-signé

cocolabombe0

Personne ne sait pourquoi cela fonctionne sur google chrome et pas les autres navigateurs?

Wagner

cocolabombe0 wrote:Est ce que c'est normal que sur les mozilla firefox je ne suis pas certifié ou sur mon téléphone, ...

Bonsoir,

non, c'est même anormal. Le certificat est reconnu comme étant auto-signé à l'instar d'être fourni par un organisme certifié (CAcert etc). Ainsi, je conseil de revoir le tutoriel. Il doit y avoir une erreur quelque part...

PS : Bien entendu, il reste la possibilité d'ajouter le certificat. Toutefois, cette solution n'est qu'un pseudo palatif.
Si avec CAcert, la voie semble persister dans l'insolvable. Il existe d'autres organismes (oui gratuit) dont par exemple : StartSSL.

corentin80

salut salut alors :

cocolabombe0 wrote:Personne ne sait pourquoi cela fonctionne sur google chrome et pas les autres navigateurs?

regarde ici :

http://wiki.cacert.org/FAQ/BrowserClients

les bibliothèques de certificats utilisés ne sont pas les mêmes.

cocolabombe0 wrote:Cela fonctionne correctement sur Chrome et seulement lui.
Est ce que c'est normal que sur les mozilla firefox je ne suis pas certifié ou sur mon téléphone, ... .

cocolabombe0

Ok pleins de modification pour avoir une compatibilité a 100%.
C est juste avec cacert ou les autres organismes c est pareil?

corentin80

cocolabombe0 wrote:Ok pleins de modification pour avoir une compatibilité a 100%.
C est juste avec cacert ou les autres organismes c est pareil?

ça je ne peux pas te dire j'ai mis en place les certificats avec Cacert seulement.

Mais je suis d'accord avec toi sur certain point, le tuto n'est pas clair.

Il vaut mieux bien le lire avant de commencer les choses.

cocolabombe0

Je l'ai fais sur deux serveurs pour comprendre bien. Un qui part bientot et un nouveau.

corentin80

si tu as des questions envoie moi un Mp je te répondrais si tu ne t'en sors pas.

jbnitro

j'ai fait un certif sur startssl sans soucis mais je peux pas ajouter de sous domaine comme pour cacert c'est dommage

niiveek

Bonjour

Déjà merci pour ce tuto qui fonctionne parfaitement (du moins sur chrome

)

Mais je me poser une question sur la page d'acceuil (ndd.fr) et il possible de stopper pour firefox (et je en sais pas si il y a d'autre navigateur qui font la même chose) la redirection direct vers le "https://" histoire de pouvoir faire un petit site perso accessible.

Car sous chrome le choix entre http et https fonctionne bien mais pas sous firefox.

Cordialement.

fumble64

bon ... ça fait un moment que je bataille et que j'ai refais le tuto plusieurs fois ...
à la fin, j'ai toujours ce message :
j'ai un serveur kimsufi, avec le seedbox manager, rutorrent, cakebox et owncloud en sous domaine
bravo d'ailleurs pour les autres tuto -> vraiment bien !

service nginx restart
[....] Restarting nginx: nginxnginx: [emerg] BIO_new_file("/etc/nginx/ssl/sd.<domaine>.pem") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/nginx/ssl/sd.<domaine>.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed

je ne sais plus quoi faire ... est ce que vous avez une direction à me donner ?

Jedediah

BIO_new_file("/etc/nginx/ssl/sd.<domaine>.pem")

J'espère que tu n'as pas laissé comme ça dans le fichier ?
Si non c'est juste que le fichier n'existe pas...

fumble64

à chaque fois, je l'ai renommé en sd.exemple.pem
et là dans le code qui m'est donné, j'ai remplacé "exemple" par "<domaine>" pour vous expliquer mon problème

en effet, le fichier n'existe pas mais ça me semble normal puisque je l'ai supprimé en suivant le tutoriel :

rm sd.<votre domaine>.pem sd.secure.pem sd.<votre domaine>.csr root.crt class3.crt

par contre, je ne comprend pas pourquoi il appelle cette clef ...

du coup, je l'ai remise et là, j'ai une autre erreur :

service nginx restart
[....] Restarting nginx: nginxnginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/nginx/ssl/key.pem") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)
nginx: configuration file /etc/nginx/nginx.conf test failed

-> j'ai l'impression que les certificats ne correspondent pas ...
est ce que je refais le tuto une 6 ème fois ?

jbnitro

Je pense qu'on devrait le remettre a jour ou l'améliorer un peu

Jedediah

J'ai un tuto sur la paille pour signer ses certificats avec startsll, je le posterai peut-être ce soir.

fumble64

j'ai trouvé ce qui n'allait pas. En fait, à force de trifouiller le rutorrent.conf, j'avais des erreurs de syntaxe, mais je ne me rappelai plus ce que j'avais modifié. il se trouve que je suis en train de migrer d'un serveur vers un autre donc j'en ai 2 ce mois-ci. J'ai donc réinstallé rutorrent+nginx en automatique sur l'ancien serveur (au passage, il est vraiment trop cool ce script !) pour récupérer le fichier rutorrent.conf et repartir sur quelquechose de propre. je le met là au cas ou quelqu'un en aurait besoin, cela peut peut être éviter une réinstallation complète.

server {
     listen 80;
     server_name exemple www.exemple;
     return 301  https://www.exemple$request_uri;
}

server {
     listen 443 default_server ssl;
     server_name www.exemple exemple;
     if ($host !~* ^www\.){
     rewrite ^(.*)$ https://www.exemple$1;
}

	index index.html index.php;
	charset utf-8;
	client_max_body_size 10M;

	ssl on;
	ssl_certificate /etc/nginx/ssl/sd.exemple.pem;
    ssl_certificate_key /etc/nginx/ssl/sd.key.pem;
    ssl_session_timeout 5m;
    ssl_prefer_server_ciphers on;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:+HIGH:+MEDIUM;

	access_log /var/log/nginx/rutorrent-access.log combined;
	error_log /var/log/nginx/rutorrent-error.log error;

	error_page 500 502 503 504 /50x.html;
	location = /50x.html { root /usr/share/nginx/html; }

	auth_basic "seedbox";
	auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd";

	location = /favicon.ico {
		access_log off;
		log_not_found off;
	}

	## début config accueil serveur ##

	location ^~ / {
	    root /var/www/base;
	    include /etc/nginx/conf.d/php;
	    include /etc/nginx/conf.d/cache;
	    satisfy any;
	    allow all;
	}

	## fin config accueil serveur ##

	## début config proxy ##

	location ^~ /proxy {
	    root /var/www;
	    include /etc/nginx/conf.d/php;
	    include /etc/nginx/conf.d/cache;
	}

	## fin config proxy ##

	## début config rutorrent ##

	location ^~ /rutorrent {
	    root /var/www;
	    include /etc/nginx/conf.d/php;
	    include /etc/nginx/conf.d/cache;

	    location ~ /\.svn {
		    deny all;
	    }

	    location ~ /\.ht {
		    deny all;
	    }
	}

	location ^~ /rutorrent/conf/ {
		deny all;
	}

	location ^~ /rutorrent/share/ {
		deny all;
	}

	## fin config rutorrent ##

	## début config munin ##

	location ^~ /graph {
	    root /var/www;
	    include /etc/nginx/conf.d/php;
	    include /etc/nginx/conf.d/cache;
	}

	location ^~ /graph/img {
	    root /var/www;
	    include /etc/nginx/conf.d/php;
	    include /etc/nginx/conf.d/cache;
	    error_log /dev/null crit;
	}

	location ^~ /monitoring {
	    root /var/www;
	    include /etc/nginx/conf.d/php;
	    include /etc/nginx/conf.d/cache;
	}

	## fin config munin ##

	## début config seedbox-manager ##

	location ^~ /seedbox-manager {
	alias /var/www/seedbox-manager/public;
	    include /etc/nginx/conf.d/php-manager;
	    include /etc/nginx/conf.d/cache;
	}

        ## fin config seedbox-manager ##

        ## config utilisateurs  ##

        location /user01 {
            include scgi_params;
            scgi_pass 127.0.0.1:5001; #ou socket : unix:/home/username/.session/username.socket
            auth_basic "seedbox";
            auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd_user01";
        }
		
		        location /user02 {
            include scgi_params;
            scgi_pass 127.0.0.1:5003; #ou socket : unix:/home/username/.session/username.socket
            auth_basic "seedbox";
            auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd_user02";
        }

        location /user03 {
            include scgi_params;
            scgi_pass 127.0.0.1:5004; #ou socket : unix:/home/username/.session/username.socket
            auth_basic "seedbox";
            auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd_user03";
        }
		
		location /user04 {
            include scgi_params;
            scgi_pass 127.0.0.1:5005; #ou socket : unix:/home/username/.session/username.socket
            auth_basic "seedbox";
            auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd_user04";
        }
		## debut config cakebox-light ##
 
   location /cakebox/ {
        rewrite ^/cakebox(/.*)$ $1 break;
        proxy_pass http://127.0.0.1:81;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
        proxy_redirect    off;
    }

    location /cakebox/user01/ {
        alias /home/user01/torrents/;
        add_header Content-Disposition "attachment";
        satisfy any;
        allow all;
    }

    location /cakebox/user02/ {
        alias /home/user02/torrents/;
        add_header Content-Disposition "attachment";
        satisfy any;
        allow all;
    }
 location /cakebox/user03/ {
        alias /home/user03/torrents/;
        add_header Content-Disposition "attachment";
        satisfy any;
        allow all;
    }
 location /cakebox/user04/ {
        alias /home/user04/torrents/;
        add_header Content-Disposition "attachment";
        satisfy any;
        allow all;
    }

    ## fin config cakebox-light ##
		
}

En tous cas merci bien et bravo pour le tuto parceque si j'avais pas fait n'importe quoi, ça marchait parfaitement !

« Page précédente Page suivante »