Pour ce tuto : http://mondedie.fr/d/5895/2 N'hésitez pas à poser vos questions et à signaler les problèmes rencontrés.

Merci pour le tuto. On peut l'attribué à un serveur NAS ?

Aucune idée, j'ai jamais tenté sur mon NAS. Mais ça doit pouvoir se faire.

Ok je test et je fais un retour Merci

De même, j'essaierai peut-être ce soir.

Super tuto, il est clair et bien expliqué. Juste une petite suggestion par rapport au certificat root (ca.pem) de StartSSL, au lieu de le concaténer avec les autres certificats, je recommande plutôt de le spécifier grâce à l'attribut " ssl_trusted_certificate " dans la configuration du vhost : ssl on; ssl_certificate /etc/nginx/keys/votre-domaine.fr.crt-unified; ssl_certificate_key /etc/nginx/keys/votre-domaine.fr.key; ssl_trusted_certificate /etc/nginx/keys/ca.pem; L'intérêt est de vérifier les certificats clients et les réponses OCSP si le stapling est activé. ssl_stapling on; ssl_stapling_verify on; C'est vraiment un petit détail mais au moins comme ça la chaîne de certification est parfaitement respectée, pour plus d'info : http://tools.ietf.org/html/rfc4366#section-3.6 NB : il est impossible d’utiliser Chrome pour ces étapes, je vous recommande donc l’utilisation de Firefox. Pourquoi ça ne marcherait pas avec chrome ? A l'époque j'avais essayé avec chromium et je n'ai pas eu de soucis particulier. C'est au niveau de l'AUTH par certificat ?

Hardware wrote: Pourquoi ça ne marcherait pas avec chrome ? A l'époque j'avais essayé avec chromium et je n'ai pas eu de soucis particulier. C'est un niveau de l'AUTH par certificat ? Absolument.

Je viens de réessayer avec ma clé privée sur chromium ça marche bien pourtant.

[Discussion] Certificat SSL signé et gratuit avec StartSSL {nginx} : Page 13

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] Certificat SSL signé et gratuit avec StartSSL {nginx}

Fuzo

Aerya wrote: Salut,
Il faut en effet modifier les protocoles dans le fichier de configuration SSL de ton serveur Web. Es-tu certain que c'est le bon fichier que tu as édité ?
De mémoire, par défaut, avec LE c'est dans /etc/letsencrypt/options-ssl-apache.conf

J'ai édité le fichier [HOME_TOMCAT]/server.xml.

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"
               keystoreFile="/etc/tomcat7/bin/monkeystore"
               KeystorePass="motdepasse"/>

Je ne trouve pas de fichier de conf dans /etc/letsencrypt/options-ssl-apache.conf.
J'ai également cherché du côté de /etc/httpd/conf.d/ssl.conf. Je n'ai apparemment ni dossier httpd, ni letsencrypt sur mon serveur. Est-ce que je dois les créer ou font ils parti de l'installation par défaut ?

J'imagine que je doit trouver le fichier où je peux trouver le genre de configuration suivante:

LoadModule ssl_module modules/mod_ssl.so

Listen 443
<VirtualHost *:443>
    ServerName www.example.com
    SSLEngine on
    SSLCertificateFile "/path/to/www.example.com.cert"
    SSLCertificateKeyFile "/path/to/www.example.com.key"
</VirtualHost>

Aerya

Oups pardon... j'avais mal lu le sujet, ça ne concerne pas LE mais StartSSL. Je m'excuse. Ceci dit... c'est peut-être l'occasion de tester Lets Encrypt

Encore navré !

Fuzo

Aerya wrote: Oups pardon... j'avais mal lu le sujet, ça ne concerne pas LE mais StartSSL. Je m'excuse. Ceci dit... c'est peut-être l'occasion de tester Lets Encrypt wink
Encore navré !

Mouarf... merci quand même

Sinon j'ai été tester sur SSL Checker mon nom de domaine. Voici le résultat:

Mon port SSL fonctionnait très bien avec un certificat auto-signé donc je pense que le problème doit venir du fait qu'il ne trouve pas mes certificats. Quelqu'un aurait une idée d'où je devrais renseigner le chemin de mon certificat pour tomcat7 ?

NenyA

Salut

Si je lis ton premier post :

/etc/tomcat7/bin/monkeystore

Apres voir si tu as bien générer ton certif avec ta clef dedans et tu met le .cert et la pub key dans tes param de ton serveur web.

Tu te souviens d'avoir fait un keytool -import ou -genkey ?

++

Fuzo

Bon j'ai résolu mon problème qui était du à l'absence des certificats au niveau du serveur web apache2.

/etc/apache2/sites-available/my-site.conf:

[...]
<VirtualHost my-sit.com:443>
        ServerName my-site.com

        SSLEngine on
        SSLCertificateFile /etc/ssl/apacheserver/my-site.com.crt
        SSLCertificateKeyFile /etc/ssl/apacheserver/server.key
        SSLCertificateChainFile /etc/ssl/apacheserver/1_root_bundle.crt
</VirtualHost>

Ne pas oublier de créer le lien dans /etc/apache2/sites-enabled/my-site.conf pointant sur /etc/apache2/sites-available/my-site.conf.

root@server:/etc/apache2/sites-enabled$ ll
lrwxrwxrwx 1 root root   44 Aug  1 17:43 my-site.com.conf -> ../sites-available/my-site.com.conf

Et enfin reboot d'apache:

sudo /etc/init.d/apache2 reload

lilivier

Salut,

Entre StartSSL et Let's Encrypt, lequel il vaut mieux prendre ?

Aerya

Perso je penche pour LE. Même s'il faut le refaire tous les 3 mois, ce qui se scripte, ça reste plus simple que par StartSSL.

Superbananor

Dès fois problèmes à cause de la passkey pour la supprimer :

openssl rsa -in privateKey.pem -out newPrivateKey.pem
ou
openssl rsa -in privateKey.key -out newPrivateKey.key

« Page précédente