• Serveurs

  • [Discussion] Certificat SSL signé et gratuit avec StartSSL {nginx}

Sameorigin me pose problème avec file manager perso
un mois plus tard
Petite question, dans le cadre d'une migration de serveur, quelle est la méthode la plus propre et efficace pour transférer aussi ses certificats? si c'est possible évidement.
gormson wrote:Petite question, dans le cadre d'une migration de serveur, quelle est la méthode la plus propre et efficace pour transférer aussi ses certificats? si c'est possible évidement.
En transférant tes clefs + certifs de l'un à l'autre ?
lokiii wrote:
gormson wrote:Petite question, dans le cadre d'une migration de serveur, quelle est la méthode la plus propre et efficace pour transférer aussi ses certificats? si c'est possible évidement.
En transférant tes clefs + certifs de l'un à l'autre ? 🙂
C'est ce sur quoi je suis parti mais je me demandais surtout s'il n'y avait pas des manipulations à refaire pour pouvoir en quelque sorte réactiver le nouveau server...

Comme une installation si on veut...
gormson wrote:
C'est ce sur quoi je suis parti mais je me demandais surtout s'il n'y avait pas des manipulations à refaire pour pouvoir en quelque sorte réactiver le nouveau server...

Comme une installation si on veut...
Non non normalement, tu récupères juste tes key + crt, et sur ton nouveau serv, tu réinstalles ton serveur web compilé avec ssl et tu redéclares ensuite tes clefs/certs dans tes vhost et ça devrait être ok
Bonjour,

j'ai changé d'hébergement il y a peu de temps et je voudrais donc remettre le https sur mon site, seul hic est que depuis leur maintenance, startssl a complètement changé, et donc le tutoriel ne correspond plus du coup ...
j'ai essayé de me débrouiller mais je n'y parvient pas, je dois avoir 10 sous domaines dessus, qui ne fonctionne pas.

si vous pouvez mettre a jour le tuto ce serait top, merci
lokiii wrote:
gormson wrote:
C'est ce sur quoi je suis parti mais je me demandais surtout s'il n'y avait pas des manipulations à refaire pour pouvoir en quelque sorte réactiver le nouveau server...

Comme une installation si on veut...
Non non normalement, tu récupères juste tes key + crt, et sur ton nouveau serv, tu réinstalles ton serveur web compilé avec ssl et tu redéclares ensuite tes clefs/certs dans tes vhost et ça devrait être ok 🙂
ça roule, du coup ça prendra moins de temps que prévu... pour une fois
9 jours plus tard
Bonjour,
bravo pour le tuto, c'est excellent même si j'ai un souci dans la réalisation.

@+
22 jours plus tard
Bonjour, je me permet de mettre des capture d'écran plus récente, j'espère avoir pris les même que pour le tuto :





3 mois plus tard
bonsoir,

j'ai une erreur pourtant j'ai tout fait correctement:
L'unité (unit) nginx.service a commencé à démarrer.
mai 29 23:25:42 xxxxxxxxxxxx nginx[4373]: Enter PEM pass phrase:
mai 29 23:25:42 xxxxxxxxxxxx nginx[4373]: nginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/nginx/ssl/xxxxxxxxxxxxxx.key") failed (SSL: error:0906406D:PEM routines:PEM_def_callback:problems getting password error:0907B068:PEM routines:PEM
mai 29 23:25:42 xxxxxxxxxxxx systemd[1]: nginx.service: control process exited, code=exited status=1
mai 29 23:25:42 xxxxxxxxxxxxxxx systemd[1]: Failed to start LSB: Stop/start nginx.
-- Subject: L'unité (unit) nginx.service a échoué
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- L'unité (unit) nginx.service a échoué, avec le résultat failed.
mai 29 23:25:42 xxxxxxxxxxx systemd[1]: Unit nginx.service entered failed state.
les 4 fichier sont correctement en place dans 
 /etc/nginx/ssl
.crt / .csr / .key / .pem

j'ai même recrée un 2 ème certificats en 4096 bits j'ai exactement le même soucis.
bon j'ai corrigé cette erreur 
openssl rsa -in fichier.key -out fichier.key
et ensuite le mdp de la clé pour la validation de l'écriture
encore des soucis 

L'unité (unit) nginx.service a commencé à démarrer.
mai 30 00:57:07 xxxxxxxxxx nginx[17425]: nginx: [emerg] PEM_read_bio_DHparams("/etc/nginx/ssl/xxxxxxxxxx.ovh.pem") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: DH PARAMETERS)
mai 30 00:57:07 xxxxxxxxxxxxsystemd[1]: nginx.service: control process exited, code=exited status=1
mai 30 00:57:07xxxxxxxxxxxx systemd[1]: Failed to start LSB: Stop/start nginx.
-- Subject: L'unité (unit) nginx.service a échoué
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- L'unité (unit) nginx.service a échoué, avec le résultat failed.
mai 30 00:57:07 xxxxxxxxxxx systemd[1]: Unit nginx.service entered failed state.
c'est plus dure que le tuto ou alors j'ai raté un épisode.
un mois plus tard
Salut,

vhost
 nginx -V
nginx version: nginx/1.10.1
built by gcc 4.9.2 (Debian 4.9.2-10)
built with OpenSSL 1.0.1k 8 Jan 2015 (running with OpenSSL 1.0.1t 3 May 2016)
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path= /etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/v ar/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy -temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/v ar/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_m odule --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_f lv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_modu le --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-http_xslt_modul e=dynamic --with-http_image_filter_module=dynamic --with-http_geoip_module=dynamic --with-http_perl_module=dynamic --ad d-dynamic-module=debian/extra/njs-1c50334fbea6/nginx --with-threads --with-stream --with-stream_ssl_module --with-http_ slice_module --with-mail --with-mail_ssl_module --with-file-aio --with-ipv6 --with-http_v2_module --with-cc-opt='-g -O2 -fstack-protector-strong -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro -Wl,--a s-needed' 
nginx -t
nginx: [emerg] BIO_new_file("/etc/nginx/ssl/dhparams.pem") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/nginx/ssl/dhparams.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed
log nginx:
2016/06/30 02:52:59 [emerg] 23920#23920: BIO_new_file("/etc/nginx/ssl/dhparams.pem") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/nginx/ssl/dhparams.pem','r')
Yop,
Tu peux ls -l /etc/nginx/ssl et nous donner le résultat ?
J'étais trop KO pour éditer, en recherchant, dans ciphers.conf, il y a /etc/nginx/ssl/dhparams.pem et en regardant sur google, j'avais créé dhparam.pem et ne trouvant pas directement... c'est en recherchant en approfondie dans les fichiers de configuration que j'ai vu mon erreur ^^

Ceci dit, ça m'étonne que le script bonobox ne le génère pas ? :x
C'est étrange t'as dû avoir un bug à l'install' parce le script le fait bien normalement le dhparams.pem 
root@ksxxx:/etc/nginx/ssl# ls
dhparams.pem  server.crt  server.key
Ex.
un mois plus tard
Bonjour,

Tout d'abord merci pour ce super tuto !

Mon problème surviens lorsque j'essaye de charger ma page j'ai une erreur sur Firefox:
uses security technology that is outdated and vulnerable to attack. An attacker could easily reveal information which you thought to be safe.
Advanced info: SSL_ERROR_NO_CYPHER_OVERLAP
et sur chrome:
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Protocole incompatible
Le client et le serveur ne sont pas compatibles avec une version de protocole ou une méthode de chiffrement SSL courante. Le problème se produit généralement lorsque le serveur nécessite un chiffrement RC4, qui n'est plus considéré comme sécurisé.
Utilisant Tomcat7 j'ai essayé d'ajouter sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1" à mon fichier server.xml. Mais cela ne change rien j'ai toujours le même message.

Le problème peut il venir de la génération de la clé server.key ?
Salut,

Il faut en effet modifier les protocoles dans le fichier de configuration SSL de ton serveur Web. Es-tu certain que c'est le bon fichier que tu as édité ?
De mémoire, par défaut, avec LE c'est dans /etc/letsencrypt/options-ssl-apache.conf
Aerya wrote: Salut,
Il faut en effet modifier les protocoles dans le fichier de configuration SSL de ton serveur Web. Es-tu certain que c'est le bon fichier que tu as édité ?
De mémoire, par défaut, avec LE c'est dans /etc/letsencrypt/options-ssl-apache.conf
J'ai édité le fichier [HOME_TOMCAT]/server.xml. 
    <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"
               keystoreFile="/etc/tomcat7/bin/monkeystore"
               KeystorePass="motdepasse"/>
Je ne trouve pas de fichier de conf dans /etc/letsencrypt/options-ssl-apache.conf.
J'ai également cherché du côté de /etc/httpd/conf.d/ssl.conf. Je n'ai apparemment ni dossier httpd, ni letsencrypt sur mon serveur. Est-ce que je dois les créer ou font ils parti de l'installation par défaut ?

J'imagine que je doit trouver le fichier où je peux trouver le genre de configuration suivante: 
LoadModule ssl_module modules/mod_ssl.so

Listen 443
<VirtualHost *:443>
    ServerName www.example.com
    SSLEngine on
    SSLCertificateFile "/path/to/www.example.com.cert"
    SSLCertificateKeyFile "/path/to/www.example.com.key"
</VirtualHost>
Oups pardon... j'avais mal lu le sujet, ça ne concerne pas LE mais StartSSL. Je m'excuse. Ceci dit... c'est peut-être l'occasion de tester Lets Encrypt

Encore navré !
Aerya wrote: Oups pardon... j'avais mal lu le sujet, ça ne concerne pas LE mais StartSSL. Je m'excuse. Ceci dit... c'est peut-être l'occasion de tester Lets Encrypt wink
Encore navré !
Mouarf... merci quand même

Sinon j'ai été tester sur SSL Checker mon nom de domaine. Voici le résultat:
ssl checker
Mon port SSL fonctionnait très bien avec un certificat auto-signé donc je pense que le problème doit venir du fait qu'il ne trouve pas mes certificats. Quelqu'un aurait une idée d'où je devrais renseigner le chemin de mon certificat pour tomcat7 ?
Salut

Si je lis ton premier post : 
/etc/tomcat7/bin/monkeystore
Apres voir si tu as bien générer ton certif avec ta clef dedans et tu met le .cert et la pub key dans tes param de ton serveur web.

Tu te souviens d'avoir fait un keytool -import ou -genkey ?

++
Bon j'ai résolu mon problème qui était du à l'absence des certificats au niveau du serveur web apache2.

/etc/apache2/sites-available/my-site.conf: 
[...]
<VirtualHost my-sit.com:443>
        ServerName my-site.com

        SSLEngine on
        SSLCertificateFile /etc/ssl/apacheserver/my-site.com.crt
        SSLCertificateKeyFile /etc/ssl/apacheserver/server.key
        SSLCertificateChainFile /etc/ssl/apacheserver/1_root_bundle.crt
</VirtualHost>
Ne pas oublier de créer le lien dans /etc/apache2/sites-enabled/my-site.conf pointant sur /etc/apache2/sites-available/my-site.conf. 
root@server:/etc/apache2/sites-enabled$ ll
lrwxrwxrwx 1 root root   44 Aug  1 17:43 my-site.com.conf -> ../sites-available/my-site.com.conf
Et enfin reboot d'apache: 
sudo /etc/init.d/apache2 reload
Salut,

Entre StartSSL et Let's Encrypt, lequel il vaut mieux prendre ?
Perso je penche pour LE. Même s'il faut le refaire tous les 3 mois, ce qui se scripte, ça reste plus simple que par StartSSL.
un mois plus tard
Dès fois problèmes à cause de la passkey pour la supprimer :
openssl rsa -in privateKey.pem -out newPrivateKey.pem
ou
openssl rsa -in privateKey.key -out newPrivateKey.key
Répondre…