Pour ce tuto : http://mondedie.fr/d/5895/2 N'hésitez pas à poser vos questions et à signaler les problèmes rencontrés.

Merci pour le tuto. On peut l'attribué à un serveur NAS ?

Aucune idée, j'ai jamais tenté sur mon NAS. Mais ça doit pouvoir se faire.

Ok je test et je fais un retour Merci

De même, j'essaierai peut-être ce soir.

Super tuto, il est clair et bien expliqué. Juste une petite suggestion par rapport au certificat root (ca.pem) de StartSSL, au lieu de le concaténer avec les autres certificats, je recommande plutôt de le spécifier grâce à l'attribut " ssl_trusted_certificate " dans la configuration du vhost : ssl on; ssl_certificate /etc/nginx/keys/votre-domaine.fr.crt-unified; ssl_certificate_key /etc/nginx/keys/votre-domaine.fr.key; ssl_trusted_certificate /etc/nginx/keys/ca.pem; L'intérêt est de vérifier les certificats clients et les réponses OCSP si le stapling est activé. ssl_stapling on; ssl_stapling_verify on; C'est vraiment un petit détail mais au moins comme ça la chaîne de certification est parfaitement respectée, pour plus d'info : http://tools.ietf.org/html/rfc4366#section-3.6 NB : il est impossible d’utiliser Chrome pour ces étapes, je vous recommande donc l’utilisation de Firefox. Pourquoi ça ne marcherait pas avec chrome ? A l'époque j'avais essayé avec chromium et je n'ai pas eu de soucis particulier. C'est au niveau de l'AUTH par certificat ?

Hardware wrote: Pourquoi ça ne marcherait pas avec chrome ? A l'époque j'avais essayé avec chromium et je n'ai pas eu de soucis particulier. C'est un niveau de l'AUTH par certificat ? Absolument.

Je viens de réessayer avec ma clé privée sur chromium ça marche bien pourtant.

[Discussion] Certificat SSL signé et gratuit avec StartSSL {nginx} : Page 12

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] Certificat SSL signé et gratuit avec StartSSL {nginx}

MonsterChips

Ah ouais c'est bien plus mieux !

Merci !

arckosfr

Sameorigin me pose problème avec file manager perso

gormson

Petite question, dans le cadre d'une migration de serveur, quelle est la méthode la plus propre et efficace pour transférer aussi ses certificats? si c'est possible évidement.

lokiii

gormson wrote:Petite question, dans le cadre d'une migration de serveur, quelle est la méthode la plus propre et efficace pour transférer aussi ses certificats? si c'est possible évidement.

En transférant tes clefs + certifs de l'un à l'autre ?

gormson

lokiii wrote:
gormson wrote:Petite question, dans le cadre d'une migration de serveur, quelle est la méthode la plus propre et efficace pour transférer aussi ses certificats? si c'est possible évidement.
En transférant tes clefs + certifs de l'un à l'autre ? 🙂

C'est ce sur quoi je suis parti mais je me demandais surtout s'il n'y avait pas des manipulations à refaire pour pouvoir en quelque sorte réactiver le nouveau server...

Comme une installation si on veut...

lokiii

gormson wrote:
C'est ce sur quoi je suis parti mais je me demandais surtout s'il n'y avait pas des manipulations à refaire pour pouvoir en quelque sorte réactiver le nouveau server...

Comme une installation si on veut...

Non non normalement, tu récupères juste tes key + crt, et sur ton nouveau serv, tu réinstalles ton serveur web compilé avec ssl et tu redéclares ensuite tes clefs/certs dans tes vhost et ça devrait être ok

Luke34

Bonjour,

j'ai changé d'hébergement il y a peu de temps et je voudrais donc remettre le https sur mon site, seul hic est que depuis leur maintenance, startssl a complètement changé, et donc le tutoriel ne correspond plus du coup ...
j'ai essayé de me débrouiller mais je n'y parvient pas, je dois avoir 10 sous domaines dessus, qui ne fonctionne pas.

si vous pouvez mettre a jour le tuto ce serait top, merci

gormson

lokiii wrote:
gormson wrote:
C'est ce sur quoi je suis parti mais je me demandais surtout s'il n'y avait pas des manipulations à refaire pour pouvoir en quelque sorte réactiver le nouveau server...

Comme une installation si on veut...
Non non normalement, tu récupères juste tes key + crt, et sur ton nouveau serv, tu réinstalles ton serveur web compilé avec ssl et tu redéclares ensuite tes clefs/certs dans tes vhost et ça devrait être ok 🙂

ça roule, du coup ça prendra moins de temps que prévu... pour une fois

Luke34

up svp ==> https://mondedie.fr/d/5896/227

mrglobule

Bonjour,
bravo pour le tuto, c'est excellent même si j'ai un souci dans la réalisation.

@+

manitas

Bonjour, je me permet de mettre des capture d'écran plus récente, j'espère avoir pris les même que pour le tuto :

jgalode

bonsoir,

j'ai une erreur pourtant j'ai tout fait correctement:

L'unité (unit) nginx.service a commencé à démarrer.
mai 29 23:25:42 xxxxxxxxxxxx nginx[4373]: Enter PEM pass phrase:
mai 29 23:25:42 xxxxxxxxxxxx nginx[4373]: nginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/nginx/ssl/xxxxxxxxxxxxxx.key") failed (SSL: error:0906406D:PEM routines:PEM_def_callback:problems getting password error:0907B068:PEM routines:PEM
mai 29 23:25:42 xxxxxxxxxxxx systemd[1]: nginx.service: control process exited, code=exited status=1
mai 29 23:25:42 xxxxxxxxxxxxxxx systemd[1]: Failed to start LSB: Stop/start nginx.
-- Subject: L'unité (unit) nginx.service a échoué
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- L'unité (unit) nginx.service a échoué, avec le résultat failed.
mai 29 23:25:42 xxxxxxxxxxx systemd[1]: Unit nginx.service entered failed state.

les 4 fichier sont correctement en place dans

 /etc/nginx/ssl

.crt / .csr / .key / .pem

j'ai même recrée un 2 ème certificats en 4096 bits j'ai exactement le même soucis.

jgalode

bon j'ai corrigé cette erreur

openssl rsa -in fichier.key -out fichier.key

et ensuite le mdp de la clé pour la validation de l'écriture

jgalode

encore des soucis

L'unité (unit) nginx.service a commencé à démarrer.
mai 30 00:57:07 xxxxxxxxxx nginx[17425]: nginx: [emerg] PEM_read_bio_DHparams("/etc/nginx/ssl/xxxxxxxxxx.ovh.pem") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: DH PARAMETERS)
mai 30 00:57:07 xxxxxxxxxxxxsystemd[1]: nginx.service: control process exited, code=exited status=1
mai 30 00:57:07xxxxxxxxxxxx systemd[1]: Failed to start LSB: Stop/start nginx.
-- Subject: L'unité (unit) nginx.service a échoué
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- L'unité (unit) nginx.service a échoué, avec le résultat failed.
mai 30 00:57:07 xxxxxxxxxxx systemd[1]: Unit nginx.service entered failed state.

c'est plus dure que le tuto ou alors j'ai raté un épisode.

LetsGo67

Salut,

vhost

 nginx -V

nginx version: nginx/1.10.1
built by gcc 4.9.2 (Debian 4.9.2-10)
built with OpenSSL 1.0.1k 8 Jan 2015 (running with OpenSSL 1.0.1t 3 May 2016)
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path= /etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/v ar/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy -temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/v ar/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_m odule --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_f lv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_modu le --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-http_xslt_modul e=dynamic --with-http_image_filter_module=dynamic --with-http_geoip_module=dynamic --with-http_perl_module=dynamic --ad d-dynamic-module=debian/extra/njs-1c50334fbea6/nginx --with-threads --with-stream --with-stream_ssl_module --with-http_ slice_module --with-mail --with-mail_ssl_module --with-file-aio --with-ipv6 --with-http_v2_module --with-cc-opt='-g -O2 -fstack-protector-strong -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro -Wl,--a s-needed'

nginx -t

nginx: [emerg] BIO_new_file("/etc/nginx/ssl/dhparams.pem") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/nginx/ssl/dhparams.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed

log nginx:

2016/06/30 02:52:59 [emerg] 23920#23920: BIO_new_file("/etc/nginx/ssl/dhparams.pem") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/nginx/ssl/dhparams.pem','r')

lokiii

Yop,
Tu peux ls -l /etc/nginx/ssl et nous donner le résultat ?

LetsGo67

J'étais trop KO pour éditer, en recherchant, dans ciphers.conf, il y a /etc/nginx/ssl/dhparams.pem et en regardant sur google, j'avais créé dhparam.pem et ne trouvant pas directement... c'est en recherchant en approfondie dans les fichiers de configuration que j'ai vu mon erreur ^^

Ceci dit, ça m'étonne que le script bonobox ne le génère pas ? :x

ex_rat

C'est étrange t'as dû avoir un bug à l'install' parce le script le fait bien normalement le dhparams.pem

root@ksxxx:/etc/nginx/ssl# ls
dhparams.pem  server.crt  server.key

Ex.

Fuzo

Bonjour,

Tout d'abord merci pour ce super tuto

!

Mon problème surviens lorsque j'essaye de charger ma page j'ai une erreur sur Firefox:

uses security technology that is outdated and vulnerable to attack. An attacker could easily reveal information which you thought to be safe.
Advanced info: SSL_ERROR_NO_CYPHER_OVERLAP

et sur chrome:

ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Protocole incompatible
Le client et le serveur ne sont pas compatibles avec une version de protocole ou une méthode de chiffrement SSL courante. Le problème se produit généralement lorsque le serveur nécessite un chiffrement RC4, qui n'est plus considéré comme sécurisé.

Utilisant Tomcat7 j'ai essayé d'ajouter sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1" à mon fichier server.xml. Mais cela ne change rien j'ai toujours le même message.

Le problème peut il venir de la génération de la clé server.key ?

Aerya

Salut,

Il faut en effet modifier les protocoles dans le fichier de configuration SSL de ton serveur Web. Es-tu certain que c'est le bon fichier que tu as édité ?
De mémoire, par défaut, avec LE c'est dans /etc/letsencrypt/options-ssl-apache.conf

« Page précédente Page suivante »