• Serveurs

  • [Discussion] Certificat SSL signé et gratuit avec StartSSL {nginx}

moi je peux aps m'identifier avec firefox masi que sur chrome

(Code d'erreur : ssl_error_handshake_failure_alert)
StarSSL ne fait plus d'inscription pour le moment.
En faite, ce matin, j'ai voulu le suivre et voila ce que j'ai eu quand j'ai voulu faire mon inscription:
Plus de capacité

Nous recevons actuellement plus de demandes que nous pouvons gérer. S'il vous plaît essayer de nouveau plus tard.

Nous nous excusons pour le désagrément temporaire et vous remercions de votre compréhension.
Maintenant, il y a eu de nouveau du stock car je peux m'inscrire
Je viens de suivre le tuto et j'ai des différences. Cela fonctionne bien.

Pour les vérifications de certifications, j'en ai pas eu besoin pour tous.
owncloud, rutorrent, site, manager, j'ai eu automatiquement le certificat.
J'en ai fais un autre et là, je dois attendre.

Pour ce qui est de la racine du site, j'ai du retirer le rewrite avec le WWW sinon cela ne fonctionnait pas.

Pour firefox, on peut voir ce problème: 
Échec de la connexion sécurisée

Une erreur est survenue pendant une connexion à votre-domaine.fr. Le serveur OCSP n'a pas de statut pour le certificat. (Code d'erreur : sec_error_ocsp_unknown_cert)

    La page que vous essayez de consulter ne peut pas être affichée car l'authenticité des données reçues ne peut être vérifiée.
    Veuillez contacter les propriétaires du site web pour les informer de ce problème.
Il a disparu assez rapidement. Il faut attendre un peu. J'ai vu ça avec google et même pas 15 minutes après, j'avais plus le message.
@cocolabombe0 :
Le serveur OCSP n'a pas de statut pour le certificat. (Code d'erreur : sec_error_ocsp_unknown_cert)
Pour éviter ce genre de problème il faut ajouter le paramètre "ssl_trusted_certificate" dans la conf du vhost nginx, regarde mon post un peu plus haut, j'explique un peu plus en détail. Le délai avant que ce message disparaisse peut être plus ou moins long, de quelques minutes à plusieurs heures. Autant le corriger maintenant pour que les visiteurs de ton site n'est plus ce soucis.
ok j'avais déjà vu ton message.
Donc si je comprend bien, c'est pour chaque utilisateur qui peut voir ce message et après c'est bon ou une fois que le message n'est plus visible, c'est pour tout le monde qui vont sur mon serveur?

edit: j'ai rajouter "ssl_trusted_certificate" dans un fichier de conf et j'ai pas résolu de suite le problème.
bonjour,

il faut absolument un nom de domain ? ou une redirection dyndns peut faire l'affaire ?

merci par avance
Une redirection DynDNS sans nom de domaine ? Tu m'expliques ?
je veux dire no-ip suffit ou il faut absolument un registar ?


merki
tu peut obtenir un domaine avec no-ip et faire tes redirection normal a moins que ça changer ...
Slt !

Merci bien pour le tuto, très pratique !

J'avais une question cependant, je suis parvenu à mettre en place un certificat pour mon wordpress situé sur blog.domaine.tld. Mais je n'arrive pas à le mettre pour mon owncloud dispo sur cloud.domaine.tld.

J'ai bien généré le certificat pour cloud.domaine.tld et correctement fais les manipulations pour l'ajouter sur le serveur. Seulement ue fois les champs ssl_certificate renseigné, je restart nginx et la je n'ai plus accès avec cette erreur sous firefox : 
Une erreur est survenue pendant une connexion à cloud.domaine.tld. Le serveur OCSP n'a pas de statut pour le certificat. (Code d'erreur : sec_error_ocsp_unknown_cert)
J'ai essayé sous chrome : idem.

Et avec les même manips pour le blog ça fonctionne (avec une nouvelle clé pour le blog.domaine.tld bien sûr).

J'ai pensé alors à un problème dans la conf du vhost d'owncloud mais je ne suis pas du tout sûr de moi

J'ai utilisé celui donné dans le tuto owncloud disponible ici : 
upstream php-handler {
        #server 127.0.0.1:9000;
        server unix:/var/run/php5-fpm.sock;
}

server {
        listen 80;
        server_name owncloud.xxxx.org;
        return 301 https://$server_name$request_uri;  # enforce https
}

server {
        listen 443 ssl;
        server_name owncloud.xxxx.org;


			  index index.html index.php;
    	  charset utf-8;

        ssl_certificate /etc/nginx/ssl/server.crt;
        ssl_certificate_key /etc/nginx/ssl/server.key;


    	  access_log /var/log/nginx/owncloud-access.log combined;
    	  error_log /var/log/nginx/owncloud-error.log error;

        # Path to the root of your installation
        root /var/www/owncloud/;

        client_max_body_size 10G; # set max upload size
        fastcgi_buffers 64 4K;

        rewrite ^/caldav(.*)$ /remote.php/caldav$1 redirect;
        rewrite ^/carddav(.*)$ /remote.php/carddav$1 redirect;
        rewrite ^/webdav(.*)$ /remote.php/webdav$1 redirect;

        index index.php;
        error_page 403 /core/templates/403.php;
        error_page 404 /core/templates/404.php;

        location = /robots.txt {
            allow all;
            log_not_found off;
            access_log off;
        }

        location ~ ^/(data|config|\.ht|db_structure\.xml|README) {
                deny all;
        }

        location / {
                # The following 2 rules are only needed with webfinger
                rewrite ^/.well-known/host-meta /public.php?service=host-meta last;
                rewrite ^/.well-known/host-meta.json /public.php?service=host-meta-json last;

                rewrite ^/.well-known/carddav /remote.php/carddav/ redirect;
                rewrite ^/.well-known/caldav /remote.php/caldav/ redirect;

                rewrite ^(/core/doc/[^\/]+/)$ $1/index.html;

                try_files $uri $uri/ index.php;
        }

        location ~ ^(.+?\.php)(/.*)?$ {
                try_files $1 = 404;

                include fastcgi_params;
                fastcgi_param SCRIPT_FILENAME $document_root$1;
                fastcgi_param PATH_INFO $2;
                fastcgi_param HTTPS on;
                fastcgi_pass php-handler;
        }

        # Optional: set long EXPIRES header on static assets
        location ~* ^.+\.(jpg|jpeg|gif|bmp|ico|png|css|js|swf)$ {
                expires 30d;
                # Optional: Don't log access to assets
                access_log off;
        }

}
Peut-être il y a-t-il une meilleure façon de le faire ?

Merci de votre aide
Hello.

Si tu laisses "owncloud.ton-ndd.fr" à la place de "cloud.ton-ndd.fr" ça risque pas de marcher.
Oui je l'ai modifié, la j'ai juste mis le code donné dans le tuto owncloud.

Sur le mien j'ai juste modifié le serveur. Je ne l'ai pas précisé pardon
@Monsterchip, tu as pas du lire 2 de mes posts juste avant, je parle justement de ce problème. Une autre solution, c'est d'attendre la propagation OSCP (~6h max) et pendant ce temps là tu désactives la validation dans les paramètres avancés de firefox (Préférences > Avancé > Validation > Décocher la case de validation OSCP)
Voilà mon fichier de conf si ça peut t'aider.
upstream php-handler {
        #server 127.0.0.1:9000;
        server unix:/var/run/php5-fpm.sock;
}


server {
        listen 443 ssl;
        server_name cloud.xxx.net;


	index index.html index.php;
    	charset utf-8;

    	ssl_certificate /etc/nginx/keys/cloud.xxx.net.crt-unified;
    	ssl_certificate_key /etc/nginx/keys/cloud.xxx.net.key;


    	access_log /var/log/nginx/owncloud-access.log combined;
    	error_log /var/log/nginx/owncloud-error.log error;

        # Path to the root of your installation
        root /var/www/owncloud/;

        client_max_body_size 10G; # set max upload size
        fastcgi_buffers 64 4K;

        rewrite ^/caldav(.*)$ /remote.php/caldav$1 redirect;
        rewrite ^/carddav(.*)$ /remote.php/carddav$1 redirect;
        rewrite ^/webdav(.*)$ /remote.php/webdav$1 redirect;

        index index.php;
        error_page 403 /core/templates/403.php;
        error_page 404 /core/templates/404.php;

        location = /robots.txt {
            allow all;
            log_not_found off;
            access_log off;
        }

        location ~ ^/(data|config|\.ht|db_structure\.xml|README) {
                deny all;
        }

        location / {
                # The following 2 rules are only needed with webfinger
                rewrite ^/.well-known/host-meta /public.php?service=host-meta last;
                rewrite ^/.well-known/host-meta.json /public.php?service=host-meta-json last;

                rewrite ^/.well-known/carddav /remote.php/carddav/ redirect;
                rewrite ^/.well-known/caldav /remote.php/caldav/ redirect;

                rewrite ^(/core/doc/[^\/]+/)$ $1/index.html;

                try_files $uri $uri/ index.php;
        }

        location ~ ^(.+?\.php)(/.*)?$ {
                try_files $1 = 404;

                include fastcgi_params;
                fastcgi_param SCRIPT_FILENAME $document_root$1;
                fastcgi_param PATH_INFO $2;
                fastcgi_param HTTPS on;
                fastcgi_pass php-handler;
        }

        # Optional: set long EXPIRES header on static assets
        location ~* ^.+\.(jpg|jpeg|gif|bmp|ico|png|css|js|swf)$ {
                expires 30d;
                # Optional: Don't log access to assets
                access_log off;
        }

}
Mais c'est pas un problème dans le vhost -_-, je crois que je vais abandonner, je donne la solution et personne ne l'applique, ça sert à rien que je post alors ?