• Serveurs

  • [Discussion] Certificat SSL signé et gratuit avec StartSSL {nginx}

C'est le tutoriel que je suis actuellement.
J'ai validé ma clé privée avec le mot de passe de création.

Cela demande lontemps pour obtenir leur mail de retour concernant ma vérification ?
Car j'ai fait cette demande mercredi 22 Avril 2015 et à ce jour rien reçu...
Tu es à quelle partie du tuto exactement ?
à la partie III - Génération d’un certificat pour votre domaine

et j'attends le mail pour passer à la partie

IV - Mise en place du certificat sur votre serveur
Tu as validé ton nom de domaine donc ?
j'ai été obligé d'en prendre un autres chez gandi afin d'avoir une adresse mails et de le faire valider ce que j'ai fait hier.
Et maintenant je suis à la fin de la partie III et j'attends leurs mail pour passer à la partie IV - Mise en place du certificat sur votre serveur
Ben si tu as suivi le tuto et que tu as eu le message de disant d'attendre leur mail, c'est plutôt avec eux qu'il faut voir du coup.
ok je vais leur adresse un mail avec mon mauvais anglais lol
Bonjour !!

Je tente depuis hier de finir ce tuto mais je suis confronté à un problème de clé !!! En effet je suis le tuto à la lettre, mais au moment de redémarrer nginx (fin du tuto) j'ai ce message : 
 Restarting nginx: nginxnginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/nginx/keys/mondomaine.com.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)
Je ne comprend pas trop car la clé est bien crée, décryptée et placée là ou il faut !
J'ai du certainement faire une mauvaise manip mais là je sèche !!!!
Tu n'as pas fait d'erreur de copié/collé ?
Jedediah wrote:Tu n'as pas fait d'erreur de copié/collé ?

Je ne pense pas car j'ai recommencé le tuto ( en effaçant le répertoire tmp) pour écarter entre autre le soucis de copier/coller justement mais je retombe sur cette erreur

Edit: Par contre en refaisant le tuto aujourd'hui j'ai recréé une clé sur starSSL ça pourrait être lié ?
plop moi j'aimerais savoir comment rediriger le postmaster@mon_ndd.fr sur genre ma boite gmail, sans installer trop de truc ^^' genre un machin light quoi

Merci
Bonjour,

J'ai eu mon certificat est je l'ai installer mais quand j'ai voulu relancez nginx avec la dernière ligne de commande, j'ai eu l'erreur suivante :
[....] Restarting nginx: nginxnginx: [emerg] "ssl_certificate" directive is duplicate in /
etc/nginx/sites-enabled/rutorrent.conf:15
nginx: configuration file /etc/nginx/nginx.conf test failed
Dans le fichier nano votre-domaine.fr.crt-unified j'ai 3 certificats -----BEGIN CERTIFICATE-----

Est-ce bon ?

Galère ! Et biensur cela ne fonctionne pas quand je suis dans mon navigateur en https://monNomDeDomaine.com ☹:/
En attendant que quelqu'un de plus compétant que moi te réponde, il faut essayer d'interpréter cette erreur. Ce que je fais souvent, parfois de travers

Il dit qu'une directive est dupliquée à la ligne 15.

Peux-tu afficher le ruttorent.conf?

Par exemple le mien ressemble à ça niveau certificat:
server {
	listen 80 default_server;
	listen 443 default_server ssl;
	server_name _;

	index index.html index.php;
	charset utf-8;
	client_max_body_size 10M;

        ssl on;
        ssl_certificate /etc/nginx/keys/zarev.ovh.crt-unified;
        ssl_certificate_key /etc/nginx/keys/zarev.ovh.key;
moi nom fichier rutorrent.conf le début c'est cela 
server {
	listen 80 default_server;
	listen 443 default_server ssl;
	server_name _;

	index index.html index.php;
	charset utf-8;

	ssl on;
	ssl_certificate /etc/nginx/keys/monDomaine.com.crt-unified;
	ssl_certificate_key /etc/nginx/keys/monDomaine.com.key;

	client_max_body_size 10M;

	ssl_certificate /etc/nginx/ssl/server.crt;
	ssl_certificate_key /etc/nginx/ssl/server.key;

	access_log /var/log/nginx/rutorrent-access.log combined;
	error_log /var/log/nginx/rutorrent-error.log error;

	error_page 500 502 503 504 /50x.html;
	location = /50x.html { root /usr/share/nginx/html; }

	auth_basic "seedbox";
	auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd";

	location = /favicon.ico {
		access_log off;
		log_not_found off;
	}
la ligne 15 est celle là :
ssl_certificate /etc/nginx/ssl/server.crt;
Il me dit aussi que le test configuration du dossier /etc/nginx/nginx.conf à échoué

Mon fichier: nginx.conf
user www-data;
worker_processes auto;

pid /var/run/nginx.pid;
events { worker_connections 1024; }

http {
	include /etc/nginx/mime.types;
	default_type  application/octet-stream;

	access_log /var/log/nginx/access.log combined;
	error_log /var/log/nginx/error.log error;

	sendfile on;
	keepalive_timeout 20;
	keepalive_disable msie6;
	keepalive_requests 100;
	tcp_nopush on;
	tcp_nodelay off;
	server_tokens off;

	gzip on;
	gzip_buffers 16 8k;
	gzip_comp_level 5;
	gzip_disable "msie6";
	gzip_min_length 20;
	gzip_proxied any;
	gzip_types text/plain text/css application/json  application/x-javascript text/xml application/xml application/xml+rss  text/javascript;
	gzip_vary on;

	include /etc/nginx/sites-enabled/*.conf;
}
Fais bien une copie de ton fichier au cas ou. Il vaut mieux toujours prendre ses précautions mais je vois un truc pas net, à mon idée.

Pour cette partie je pense que c'est bien correcte. 
ssl on;
ssl_certificate /etc/nginx/keys/monDomaine.com.crt-unified;
ssl_certificate_key /etc/nginx/keys/monDomaine.com.key;
Par contre pour celle-ci je me demande ce que ça fait là. 
ssl_certificate /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;

Tu avais, j'imagine, fait un certificat auto-signé avant de te diriger vers un certifié pour pas que tes visiteurs prennent peur de l'avertissement?

J'essayerais de supprimer ces lignes et de reload Nginx par un:
service nginx restart
Je viens de voir aussi une autre chose, mais peut-être est-ce normal:
ssl on;
ssl_certificate /etc/nginx/keys/monDomaine.com.crt-unified;
ssl_certificate_key /etc/nginx/keys/monDomaine.com.key;
C'est normal la majuscule dans monDomaine.com?
Nickel ça marche impeccable maintenant,
un Grand Merci
Tu es certain?

Sur mon explorateur, ton site https://monnomdedomaine.com/ est toujours en auto-signé.

Oublie pas de changer d'explorateur ou de virer les certificats pour ton site que tu avais accepté (sous Mozilla?).

Que te retourne la commande:
service nginx restart
Et dernière chose, ton site est https://monnomdedomaine.com et dans ton fichier il est indiqué mondomaine.

Là aussi il y a un petit problème je pense?
oui car j'ai le cadenas dans le champs url de mon navigateur et plus de message d'erreur dans le navigateur et fonctionne aussi dans la fenêtre de navigaation privé de chrome.

cela me retourne ça :
[ ok ] Restarting nginx: nginx.
Le certificat est reconnu par startSSL et il est valide aussi bien dans 3 navigateurs différents dont un jamais ouvert avant cette essai de test.
Franchement chez moi cela ne fonctionne pas, sauf si bien sûr je valide ton certificat auto-signé.

Vérifie quand même sur un autre explorateur.

Et pour la différence entre le nom de domaine du site et celui affiché dans ton fichier? C'est pas normal.
j'ai renommé mon nom de domaine en nomdedomaine.com quand je met les scripts ici
On est bien d'accord que le nom de domaine certifié par startssl est monnomdedomaine.com et que dans ton fichier conf c'est bien indiqué comme ça:
ssl on;
ssl_certificate /etc/nginx/keys/monnomdedomaine.com.crt-unified;
ssl_certificate_key /etc/nginx/keys/monnomdedomaine.com.key;
Je ne suis pas certain d'avoir bien interprété ta dernière phrase.

Moi, par exemple, j'ai certifié zarev.ovh et mon conf est de ce type:
ssl on;
ssl_certificate /etc/nginx/keys/zarev.ovh.crt-unified;
ssl_certificate_key /etc/nginx/keys/zarev.ovh.key;
Voilà ce que j'ai quand je vais sur ton site:

non ! on est pas d'accord ... j'ai remplacer mon Vrai NomDeDomaine.com par monNomDeDomaine.com afin de le préserver
Ahh ok. Car en fait https://monnomdedomaine.com existe vraiment avec un auto-signé. Cela m'a induit en erreur.

Donc tout fonctionne de ton côté. Tant mieux

Bonne soirée.
tu as ue erreur entre le premier nom de domaine et le second il manque le .com au 1er

zarev.ovh.crt-unified;
zarev.ovh.com.key;

Merci et bonne soirée à toi aussi
Pour ma part tout va bien. J'ai juste copié/collé ton message et j'ai oublié de virer le .com. Mon domaine est un .ovh, seulement 0,90 cents/€. Voilà pourquoi j'ai pris ça, c'est pas très cher.

Le principal est que ton problème soit réglé. Il n'était pas compliqué à résoudre non plus.

Tu lui demandais en quelque sort de se débrouiller avec deux certificats. Nginx n'avait forcément pas très envie de faire le boulot à ta place
bonjour.

j'ai un tit soucis moi aussi.

c'est pas la première fois que j'utilise startssl , et je suis persuadé qu'avant le problème n'existait pas:
je n'ai aucun nom d'organisation dans la vue du certificat , dans firefox ou autre, du coup il est considéré comme invalide.

dans vôtre panel startssl , vous avez quelques chose d'écrit a droite dans "organization" ??
Salut,

Voila ce que j'ai avec un SSL



Une idée ?
J'ai le même message sur mes pages utilisant les certificats StartSSL.
Rien de bien méchant, il me semble juste que google va augmenter les pré-requis de sécurité sur Chrome. Le fait que les certificats soient gratuits joue également, forcément ils sont moins "costauds" que des certificats payants (pas de souci sur mon autre domaine avec certificat GeoTrust).
Je viens de refaire la validation du domaine. on verra bien

Merci Jede,
Nope, un coup de https://testssl.sh permettra d'y voir plus clair.
Je penche pour un problème de SNI ou la présentation de ciphers moisis.

Pour info Firefox ne gueule pas à propos des certificats. Il me semble d'ailleurs que le message n'est pas toujours présent sous Chrome...
Je suis sur de l'avoir déjà eu mais qu'il était parti pendant un moment...

A suivre...
spectre wrote:Tu fais ça comment ?
De ?
Si c'est pour nginx c'est :

cat /etc/nginx/conf.d/xxx.conf 
# To deal with segfaults
ssl_session_cache shared:SSL:30m;
ssl_session_timeout 1h;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

#enables all versions of TLS, but not SSLv2 or 3 which are weak and now deprecated.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

#Disables all weak ciphers + DH 4096 bits
ssl_ciphers "ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL";
ssl_dhparam /etc/ssl/dh/dhparam.pem;
ssl_prefer_server_ciphers on;
Cela s'insère dans le sous-répertoire conf.d de /etc/nginx (valable pour les systèmes basés sur Debian) ou à défaut dans la section http { } de /etc/nginx.conf.
Et c'est censé corrigé le souci de nos certificats qui remontent pas bien sous Chrome ?
j'ai fais la méthode qu'expliquer hardware ou faut mettre le certificat ca.pem tout seul
ça a bien fonctionner pour moi chrome pc/mobile Mozilla ...
Peut-être ou alors pas, de façon à y voir plus clair, il faut :
1. vérifier la chaîne de certificats installés dans vos navigateurs, cf https://forum.startcom.org/viewtopic.php?f=15&t=15794
2. vérifier la chaîne de certificats installés sur le serveur, pas de SHA-1 pour les signatures, jamais !
3. vérifier les protocoles et ciphers utilisés pour les corriger si nécessaire (cf mon post là-dessus).
4. un petit coup de https://testssl.sh pour valider tout ça et trouver les éventuels avertissements.