• Serveurs

  • [Discussion] Certificat SSL signé et gratuit avec StartSSL {nginx}

Merci beaucoup de ton aide je t'ai envoyé les informations par MP.
Suis-je le seul :
[error] 16376#16376: OCSP_basic_verify() failed (SSL: error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:Verify error:unable to get local issuer certificate) while requesting certificate status, responder: ocsp.startssl.com
J'ai ajouté ceci dans mon vhost :
ssl_stapling        on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/ca-certs.pem;
Certificat au préalable ajouté à partir de :
wget -O - https://www.startssl.com/certs/ca.pem https://www.startssl.com/certs/sub.class1.server.ca.pem | tee -a ca-certs.pem> /dev/null
Qu'en est-il pour vous ?
oui pareil pour 5 certif differents, c'est le serveur ocsp de startssl qui est mort depuis pas mal de temps
arckosfr wrote:oui pareil pour 5 certif differents, c'est le serveur ocsp de startssl qui est mort depuis pas mal de temps
Ok ^^ Dans ce cas, je vais supprimer cette directive. Merci arckosfr.
Petit conseil, n'oubliez pas de baisser les permissions au maximum. Par exemple, si vous avez regroupé vos certificats dans un dossier, faites :
chmod -R 600 dossier
Le changement est récursif et tous les fichiers (clés et certificats) auront ces permissions.
Cela peut éviter quelques mauvaises surprises.
Mon compte n'existait plus. Je dois tout refaire.
C'est pour cela que l'identifiant ne fonctionnait plus.
Bonjour, hier, pas eu de problème pour mes certificats.
Aujourd'hui: 
Error Signing Certificate
 
Error	
An error occurred signing the certificate.
Please check your all your data and try again.
C'estq quand je valide mon certificat .csr.
J'ai essayé de me faire un certificat plex et sickrage et même message d'erreur.

Est ce que pour récupérer des certificats que j'avais sur mon ancien compte, je dois faire une demande de support car quand j'ai essayé de refaire un rutorrent hier, j'ai eu un message pour dire qu'il existe déjà un certificat à ce nom.
Cordialement Nicolas.
Yop,

alors désolé mais je crois que non: si tu n'as plus ton cerif, c'est mort tu ne peux pas le récupérer, tu peux juste récupérer ta clef si tu as ton certifs, mais pas ton certifs si t as rien...
Et sinon tu ne peux pas non plus révoquer gratuitement un sous-domaine et son certif, tu vas devoir payer 20$ ou un truc comme ça...
Je te conseil donc de te créer un nouveau sous-domaine et de recréé tes certifs pour ces nouveaux sous domaines, comme ça pas de soucis...

C'est l'inconvénient des certifs gratuit

(après peut être que je dis une connerie, dans ce cas là, hésitez pas à me reprendre )
En faite, il fonctionne. J'ai tous les fichiers. Mais j'aurais bien voulu l'avoir sur mon nouveau compte avec la date de fin.

Et mes certificats refonctionnent.
Bonjour,

J'avais perdu ma cle pour me connecter sur startssl, elle avait ete supprimée je me suis refait un compte et ils ont migré mes anciennes clés sur mon nouveau compte il faut envoyer un mail au support
@coco, si tu as tes clefs/certifs, et que c'est juste transférer d'un nouveau compte startssl depuis un ancien, tu peux demander à la hotline normalement ils le font.
Ok merci. Je vais faire chauffer google traduction pour leur demander.
Merci du conseil.
22 jours plus tard
Bonjour, j'ai une petite question. Si je génère des certificats à partir de mon serveur et que je le réinstalle, est-ce que je peux réutiliser ces certificats si je réinstalle mon serveur ? Ou est-ce que le .key généré est propre au serveur ?
Merci !
si tu as perdu ta clé privé, concrètement tu es niqué 😛
Non pour le moment j'ai tout mais si je compte réinstaller mon serveur, je voulais savoir s'il fallait que je génère de nouvelles clés sur le serveur réinstallé ou si je pouvais réutiliser l'existant
Edit : Pour être bien sûr, la clé privée c'est le fichier .key généré sur le serveur comme expliqué dans le tuto ?
Tu peux sauvegarder ces fichiers et les remettre en place sur ton serveur une fois ré-installé.
Aucun problème.
Merci pour la confirmation, c'est bon à savoir
un mois plus tard
Hello !

Suite à la fin de validité de mon certificat pour me connecter à StartSSL (mes certificats étant tous arrivés à expiration), j'ai dû recréer un compte et ajouter à nouveau mon domaine.
Chose faite sans encombre, j'ai validé mon domaine comme indiqué dans le tuto sans problème non plus.

Création de mon certificat, configuration de mon vhost ... aucun souci le certif est bien reconnu et la connexion depuis un navigateur est bien sécurisé.
Seulement depuis cette manipulation, lorsque je suis sur mon rutorrent, impossible d'afficher la liste de mes dossiers (uniquement lors de l'ajout d'un nouveau torrent) :
Liste dossier
Comme vous le voyez sur la capture, la liste ne s'affiche pas. Et ce depuis n'importe quel navigateur et quelle que soit ma connexion (Home, boulot ..). Cependant là où j'en suis venu à penser que cela venait du ssl, c'est le message différent que j'ai obtenu sur IE :
Liste dossier IE
Clairement, le message dit : 
Ce contenu ne peut pas être affiché dans un cadre.
Afin d’assurer la sécurité des informations que vous saisissez dans ce site Web, l’éditeur de ce contenu n’autorise pas son affichage dans un cadre.
Le problème semble donc simple à résoudre, seulement je ne vois pas ce que je dois modifier pour pouvoir afficher le contenu dans un cadre ???

Merci d'avance à celui qui pourra m'aider !

Bonne journée.
Oui le tuto de Jedediah et un peu trop strict,

enelève ca : 
add_header X-Frame-Options "DENY";
Ou remplace "DENY" par "SAMEORIGIN".
Sameorigin me pose problème avec file manager perso
un mois plus tard
Petite question, dans le cadre d'une migration de serveur, quelle est la méthode la plus propre et efficace pour transférer aussi ses certificats? si c'est possible évidement.
gormson wrote:Petite question, dans le cadre d'une migration de serveur, quelle est la méthode la plus propre et efficace pour transférer aussi ses certificats? si c'est possible évidement.
En transférant tes clefs + certifs de l'un à l'autre ?
lokiii wrote:
gormson wrote:Petite question, dans le cadre d'une migration de serveur, quelle est la méthode la plus propre et efficace pour transférer aussi ses certificats? si c'est possible évidement.
En transférant tes clefs + certifs de l'un à l'autre ? 🙂
C'est ce sur quoi je suis parti mais je me demandais surtout s'il n'y avait pas des manipulations à refaire pour pouvoir en quelque sorte réactiver le nouveau server...

Comme une installation si on veut...
gormson wrote:
C'est ce sur quoi je suis parti mais je me demandais surtout s'il n'y avait pas des manipulations à refaire pour pouvoir en quelque sorte réactiver le nouveau server...

Comme une installation si on veut...
Non non normalement, tu récupères juste tes key + crt, et sur ton nouveau serv, tu réinstalles ton serveur web compilé avec ssl et tu redéclares ensuite tes clefs/certs dans tes vhost et ça devrait être ok
Bonjour,

j'ai changé d'hébergement il y a peu de temps et je voudrais donc remettre le https sur mon site, seul hic est que depuis leur maintenance, startssl a complètement changé, et donc le tutoriel ne correspond plus du coup ...
j'ai essayé de me débrouiller mais je n'y parvient pas, je dois avoir 10 sous domaines dessus, qui ne fonctionne pas.

si vous pouvez mettre a jour le tuto ce serait top, merci
lokiii wrote:
gormson wrote:
C'est ce sur quoi je suis parti mais je me demandais surtout s'il n'y avait pas des manipulations à refaire pour pouvoir en quelque sorte réactiver le nouveau server...

Comme une installation si on veut...
Non non normalement, tu récupères juste tes key + crt, et sur ton nouveau serv, tu réinstalles ton serveur web compilé avec ssl et tu redéclares ensuite tes clefs/certs dans tes vhost et ça devrait être ok 🙂
ça roule, du coup ça prendra moins de temps que prévu... pour une fois
9 jours plus tard
Bonjour,
bravo pour le tuto, c'est excellent même si j'ai un souci dans la réalisation.

@+
22 jours plus tard
Bonjour, je me permet de mettre des capture d'écran plus récente, j'espère avoir pris les même que pour le tuto :





3 mois plus tard
bonsoir,

j'ai une erreur pourtant j'ai tout fait correctement:
L'unité (unit) nginx.service a commencé à démarrer.
mai 29 23:25:42 xxxxxxxxxxxx nginx[4373]: Enter PEM pass phrase:
mai 29 23:25:42 xxxxxxxxxxxx nginx[4373]: nginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/nginx/ssl/xxxxxxxxxxxxxx.key") failed (SSL: error:0906406D:PEM routines:PEM_def_callback:problems getting password error:0907B068:PEM routines:PEM
mai 29 23:25:42 xxxxxxxxxxxx systemd[1]: nginx.service: control process exited, code=exited status=1
mai 29 23:25:42 xxxxxxxxxxxxxxx systemd[1]: Failed to start LSB: Stop/start nginx.
-- Subject: L'unité (unit) nginx.service a échoué
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- L'unité (unit) nginx.service a échoué, avec le résultat failed.
mai 29 23:25:42 xxxxxxxxxxx systemd[1]: Unit nginx.service entered failed state.
les 4 fichier sont correctement en place dans 
 /etc/nginx/ssl
.crt / .csr / .key / .pem

j'ai même recrée un 2 ème certificats en 4096 bits j'ai exactement le même soucis.
bon j'ai corrigé cette erreur 
openssl rsa -in fichier.key -out fichier.key
et ensuite le mdp de la clé pour la validation de l'écriture
encore des soucis 

L'unité (unit) nginx.service a commencé à démarrer.
mai 30 00:57:07 xxxxxxxxxx nginx[17425]: nginx: [emerg] PEM_read_bio_DHparams("/etc/nginx/ssl/xxxxxxxxxx.ovh.pem") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: DH PARAMETERS)
mai 30 00:57:07 xxxxxxxxxxxxsystemd[1]: nginx.service: control process exited, code=exited status=1
mai 30 00:57:07xxxxxxxxxxxx systemd[1]: Failed to start LSB: Stop/start nginx.
-- Subject: L'unité (unit) nginx.service a échoué
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- L'unité (unit) nginx.service a échoué, avec le résultat failed.
mai 30 00:57:07 xxxxxxxxxxx systemd[1]: Unit nginx.service entered failed state.
c'est plus dure que le tuto ou alors j'ai raté un épisode.
un mois plus tard
Salut,

vhost
 nginx -V
nginx version: nginx/1.10.1
built by gcc 4.9.2 (Debian 4.9.2-10)
built with OpenSSL 1.0.1k 8 Jan 2015 (running with OpenSSL 1.0.1t 3 May 2016)
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path= /etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/v ar/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy -temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/v ar/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_m odule --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_f lv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_modu le --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-http_xslt_modul e=dynamic --with-http_image_filter_module=dynamic --with-http_geoip_module=dynamic --with-http_perl_module=dynamic --ad d-dynamic-module=debian/extra/njs-1c50334fbea6/nginx --with-threads --with-stream --with-stream_ssl_module --with-http_ slice_module --with-mail --with-mail_ssl_module --with-file-aio --with-ipv6 --with-http_v2_module --with-cc-opt='-g -O2 -fstack-protector-strong -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro -Wl,--a s-needed' 
nginx -t
nginx: [emerg] BIO_new_file("/etc/nginx/ssl/dhparams.pem") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/nginx/ssl/dhparams.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed
log nginx:
2016/06/30 02:52:59 [emerg] 23920#23920: BIO_new_file("/etc/nginx/ssl/dhparams.pem") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/nginx/ssl/dhparams.pem','r')
Yop,
Tu peux ls -l /etc/nginx/ssl et nous donner le résultat ?
J'étais trop KO pour éditer, en recherchant, dans ciphers.conf, il y a /etc/nginx/ssl/dhparams.pem et en regardant sur google, j'avais créé dhparam.pem et ne trouvant pas directement... c'est en recherchant en approfondie dans les fichiers de configuration que j'ai vu mon erreur ^^

Ceci dit, ça m'étonne que le script bonobox ne le génère pas ? :x
C'est étrange t'as dû avoir un bug à l'install' parce le script le fait bien normalement le dhparams.pem 
root@ksxxx:/etc/nginx/ssl# ls
dhparams.pem  server.crt  server.key
Ex.
un mois plus tard
Bonjour,

Tout d'abord merci pour ce super tuto !

Mon problème surviens lorsque j'essaye de charger ma page j'ai une erreur sur Firefox:
uses security technology that is outdated and vulnerable to attack. An attacker could easily reveal information which you thought to be safe.
Advanced info: SSL_ERROR_NO_CYPHER_OVERLAP
et sur chrome:
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Protocole incompatible
Le client et le serveur ne sont pas compatibles avec une version de protocole ou une méthode de chiffrement SSL courante. Le problème se produit généralement lorsque le serveur nécessite un chiffrement RC4, qui n'est plus considéré comme sécurisé.
Utilisant Tomcat7 j'ai essayé d'ajouter sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1" à mon fichier server.xml. Mais cela ne change rien j'ai toujours le même message.

Le problème peut il venir de la génération de la clé server.key ?
Salut,

Il faut en effet modifier les protocoles dans le fichier de configuration SSL de ton serveur Web. Es-tu certain que c'est le bon fichier que tu as édité ?
De mémoire, par défaut, avec LE c'est dans /etc/letsencrypt/options-ssl-apache.conf