• Serveurs
  • [Discussion] Certificat SSL signé et gratuit avec StartSSL {nginx}

Génial ! Super tuto ! Merci
Merci pour le tuto.

On peut l'attribué à un serveur NAS ?
Aucune idée, j'ai jamais tenté sur mon NAS.
Mais ça doit pouvoir se faire.
Ok je test et je fais un retour
Merci
De même, j'essaierai peut-être ce soir.
Super tuto, il est clair et bien expliqué.

Juste une petite suggestion par rapport au certificat root (ca.pem) de StartSSL, au lieu de le concaténer avec les autres certificats, je recommande plutôt de le spécifier grâce à l'attribut "ssl_trusted_certificate" dans la configuration du vhost :
ssl on;
ssl_certificate           /etc/nginx/keys/votre-domaine.fr.crt-unified;
ssl_certificate_key       /etc/nginx/keys/votre-domaine.fr.key;
ssl_trusted_certificate   /etc/nginx/keys/ca.pem;
L'intérêt est de vérifier les certificats clients et les réponses OCSP si le stapling est activé.
ssl_stapling             on;
ssl_stapling_verify      on;
C'est vraiment un petit détail mais au moins comme ça la chaîne de certification est parfaitement respectée, pour plus d'info : http://tools.ietf.org/html/rfc4366#section-3.6
NB : il est impossible d’utiliser Chrome pour ces étapes, je vous recommande donc l’utilisation de Firefox.
Pourquoi ça ne marcherait pas avec chrome ? A l'époque j'avais essayé avec chromium et je n'ai pas eu de soucis particulier. C'est au niveau de l'AUTH par certificat ?
Hardware wrote: Pourquoi ça ne marcherait pas avec chrome ? A l'époque j'avais essayé avec chromium et je n'ai pas eu de soucis particulier. C'est un niveau de l'AUTH par certificat ?
Absolument.
Je viens de réessayer avec ma clé privée sur chromium ça marche bien pourtant.
moi je peux aps m'identifier avec firefox masi que sur chrome

(Code d'erreur : ssl_error_handshake_failure_alert)
StarSSL ne fait plus d'inscription pour le moment.
En faite, ce matin, j'ai voulu le suivre et voila ce que j'ai eu quand j'ai voulu faire mon inscription:
Plus de capacité

Nous recevons actuellement plus de demandes que nous pouvons gérer. S'il vous plaît essayer de nouveau plus tard.

Nous nous excusons pour le désagrément temporaire et vous remercions de votre compréhension.
Maintenant, il y a eu de nouveau du stock car je peux m'inscrire
Je viens de suivre le tuto et j'ai des différences. Cela fonctionne bien.

Pour les vérifications de certifications, j'en ai pas eu besoin pour tous.
owncloud, rutorrent, site, manager, j'ai eu automatiquement le certificat.
J'en ai fais un autre et là, je dois attendre.

Pour ce qui est de la racine du site, j'ai du retirer le rewrite avec le WWW sinon cela ne fonctionnait pas.

Pour firefox, on peut voir ce problème:
Échec de la connexion sécurisée

Une erreur est survenue pendant une connexion à votre-domaine.fr. Le serveur OCSP n'a pas de statut pour le certificat. (Code d'erreur : sec_error_ocsp_unknown_cert)

    La page que vous essayez de consulter ne peut pas être affichée car l'authenticité des données reçues ne peut être vérifiée.
    Veuillez contacter les propriétaires du site web pour les informer de ce problème.
Il a disparu assez rapidement. Il faut attendre un peu. J'ai vu ça avec google et même pas 15 minutes après, j'avais plus le message.
@cocolabombe0 :
Le serveur OCSP n'a pas de statut pour le certificat. (Code d'erreur : sec_error_ocsp_unknown_cert)
Pour éviter ce genre de problème il faut ajouter le paramètre "ssl_trusted_certificate" dans la conf du vhost nginx, regarde mon post un peu plus haut, j'explique un peu plus en détail. Le délai avant que ce message disparaisse peut être plus ou moins long, de quelques minutes à plusieurs heures. Autant le corriger maintenant pour que les visiteurs de ton site n'est plus ce soucis.
ok j'avais déjà vu ton message.
Donc si je comprend bien, c'est pour chaque utilisateur qui peut voir ce message et après c'est bon ou une fois que le message n'est plus visible, c'est pour tout le monde qui vont sur mon serveur?

edit: j'ai rajouter "ssl_trusted_certificate" dans un fichier de conf et j'ai pas résolu de suite le problème.
bonjour,

il faut absolument un nom de domain ? ou une redirection dyndns peut faire l'affaire ?

merci par avance
Une redirection DynDNS sans nom de domaine ? Tu m'expliques ?