• Serveurs

  • [Discussion] Certificat SSL signé et gratuit avec StartSSL {nginx}

re
je refais la manip, pour eviter mon soucis mais maintenant j'en ai un autre.

lorsque je fais un "nginx -t" j'ai cett erreur:
nginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/nginx/conf.d/ssl.key")  failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)
c'est quoi ce soucis?
(EDIT >> pour ce problème c'est que mon ssl.key ne correspond pas, je me suis mélangé les pinceaux et vu que j'ai supprimer
le ssl.key, bin je suis coincé pour certans sous-domaine pff le boulet, je pensais que la clef était la même pour tout le domaine)

sinon pour le soucis plus haut j'ai ça comme info dans firefox (il manque "organisation" et "unité d'org.")


>> img
ok merci pour l'info mais du coup je ne vois plus l'intérêt de passer par un tel service vu qu'il déclenche un gros avertissement dans les navigateurs internet, a avoir un avertissement à la rigueur je préfère "ce cert est autosigné" que "ce cert est signé par un organisme inconnu".
Ce n'est pas le service, c'est lors de l'émission du CSR ou dans la compilation des certificats intermédiaires que le problème se pose.
Seul moyen d'avoir les idées claires : https://www.ssllabs.com/ssltest/
Salut,

je viens de mettre en place un ssl sur le sous domaine www. mais je n'ai pas d'info dans ma barre d'adresse de mon navigateur.
Pas d'erreur de nginx lors du reboot.

Une idée ?
18 jours plus tard
Est ce que c'est possible de récupérer les deux fichiers depuis starSSL. J'ai fais un reset du serveur en oubliant de copier les clés.
Je sais que l'on peut récupérer un fichier mais le deuxième, je ne pense pas.
Normalement, c'est ce fichier que je ne sais pas comment ravoir?
votre-domaine.fr.key.enc
6 jours plus tard
Personne ne sait?
Sinon est ce que c'est possible de refaire toute la validation avec une clé de 4096 au lieu du 2048?
Car je crois qu'il faut faire la révocation mais 25$ par certificat, je préfère changer de site.
Je pense que tu peux récupérer le .crt mais pas la clé. Autrement, il faut révoquer les certificats et payer.
Ok. J'avais pourtant fais un fichier word avec mes clés mais il est vide.
Révoquer non trop chère.
Faut que j'aille ailleurs sinon.

edit: je vais attendre 4 mois plutôt et aller sur cacert par exemple en attendant.
Bonjour

Comment adapter ce tuto avec le script de Ex_rat ?

J'ai pour le moment :
server {
    listen 80 default_server;
    server_name _;

    rewrite ^ https://XXXXX$request_uri? permanent;
}

server {
        listen 443 ssl;
        server_name _;
        index index.html index.php;
        charset utf-8;
        client_max_body_size 10M;

        ssl_certificate /etc/nginx/ssl/server.crt;
        ssl_certificate_key /etc/nginx/ssl/server.key;

    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE

    ssl_prefer_server_ciphers on;
    ssl_dhparam /etc/nginx/ssl/dhparams.pem
 access_log /var/log/nginx/rutorrent-access.log combined;
        error_log /var/log/nginx/rutorrent-error.log error;

        error_page 500 502 503 504 /50x.html;
        location = /50x.html { root /usr/share/nginx/html; }

        auth_basic "seedbox";
        auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd";

        location = /favicon.ico {
                access_log off;
                log_not_found off;
        }

        ## début config accueil serveur ##

        location ^~ / {
            root /var/www/base;
            include /etc/nginx/conf.d/php.conf;
            include /etc/nginx/conf.d/cache.conf;
            satisfy any;
            allow all;
        }

        ## fin config accueil serveur ##

        ## début config rutorrent ##

        location ^~ /rutorrent {
            root /var/www;
            include /etc/nginx/conf.d/php.conf;
            include /etc/nginx/conf.d/cache.conf;

            location ~ /\.svn {
                    deny all;
            }

            location ~ /\.ht {
                    deny all;
            }
        }

location ^~ /partage {
        root /var/www/base;
        include /etc/nginx/conf.d/php.conf;
        include /etc/nginx/conf.d/cache.conf;
        #On appelle h5ai
        index index.html index.php /_h5ai/server/php/index.php;
        #On autorise le listing des fichiers
        autoindex on;
        #Facultatif on utilise l'auth de rutorrent
        auth_basic "Vous devez vous authentifier";
        auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd";
}

location /sickbeard {
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $remote_addr;
                proxy_set_header Host $host;
                proxy_redirect off;
                rewrite ^/sickbeard(/.*)$ $1;
                if ($remote_user = "bibou") {
                        proxy_pass http://127.0.0.1:20001;
                        break;
                }
                if ($remote_user = "test") {
                        proxy_pass http://127.0.0.1:20002;
                        break;
                }
        }


        location ^~ /rutorrent/conf/ {
                deny all;
        }

        location ^~ /rutorrent/share/ {
                deny all;
        }

        ## fin config rutorrent ##
      ## début config munin ##

        location ^~ /graph {
            root /var/www;
            include /etc/nginx/conf.d/php.conf;
            include /etc/nginx/conf.d/cache.conf;
        }

        location ^~ /graph/img {
            root /var/www;
            include /etc/nginx/conf.d/php.conf;
            include /etc/nginx/conf.d/cache.conf;
            error_log /dev/null crit;
        }

        location ^~ /monitoring {
            root /var/www;
            include /etc/nginx/conf.d/php.conf;
            include /etc/nginx/conf.d/cache.conf;
        }

        ## fin config munin ##

        ## début config seedbox-manager ##

        location ^~ /seedbox-manager {
        alias /var/www/seedbox-manager/public;
            include /etc/nginx/conf.d/php-manager.conf;
            include /etc/nginx/conf.d/cache.conf;
        }

        ## fin config seedbox-manager ##

        ## config utilisateurs  ##

        location /BIBOU {
            include scgi_params;
            scgi_pass 127.0.0.1:5001; #ou socket : unix:/home/username/.session/username.socket
            auth_basic "seedbox";
            auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd_bibou";
        }
}



;

Je peux remplacer :
        ssl_certificate /etc/nginx/ssl/server.crt;
        ssl_certificate_key /etc/nginx/ssl/server.key;
Par :
ssl_certificate /etc/nginx/keys/nomdedomaine.crt-unified;
ssl_certificate_key /etc/nginx/keys/nomdedomaine.key;
De plus est-ce que ma redirection https est bonne ? Car lorsque je tente d'accéder via le nom de domaine je n'ai pas de redirection faites sur le port 443 j'ai cette erreur :
Message d'erreur Nginx
12 jours plus tard
juste pour etre sur de bien comprendre, il faut créer un certificat gratuit pour chaque sous domaine, donc si j'ai mondomaine.td/seedbox-manager et mondomaine.tld/rutorrent, il me faut deux certificats distincts crées sur startssl?
Non.
Un domaine c'est : domaine.tld
Un sous domaine c'est : webmail.domaine.tld
19 jours plus tard
Testé et ça marche nickel Merci.
5 jours plus tard
Quand je veux me connecteur au site : auth.startssl.com la connection échoue..
ça le fait que pour moi ?
joyel2104 wrote:Quand je veux me connecteur au site : auth.startssl.com la connection échoue..
ça le fait que pour moi ?
Je n'ai pas de soucis. Il faut faire très attention, le site utilise le certificat installé dans ton navigateur web pour t'authentifier. Vérifie bien si tu l'as.
Ah non je l'ai pas .. Il l'envoient pas mail ?
Ah non j'ai rien dit : "we could not validate the personal information you provided during the registration process"
J'aurai du lire avant d'essayer.. evidement j'ai mis des infos bidon
joyel2104 wrote:Ah non j'ai rien dit : "we could not validate the personal information you provided during the registration process"
J'aurai du lire avant d'essayer.. evidement j'ai mis des infos bidon
Ça m'est arrivé aussi la première fois. Des infos un peu grossières.
25 jours plus tard
Hello,

Merci pour ce tuto bien expliqué

Pour la fin de la première partie du tuto il ne faut plus aller boire un café car j'ai reçu directement mon certificat, le dernier message " You sucessfully finished etc...." n'apparait pas comme dans le tuto mais plutôt :
Thank you for choosing StartSSL™!
Thousands of subscribers already validated their identity and benefit today from the advanced capabilities of the Class 2 and EV level certificates. For features like wild cards (*.domain.com) and multiple domain names (UCC/SAN/SNI) please validate your identity and benefit even more from StartSSL™. Click on "Validations Wizard" -> "Identity Validation" -> "Class 2".
Et dans le toolbox on retrouve bien son certificat directement.

les WGET ne pas fonctionner non plus directement depuis le monde console sur le serveur (Accès refusée)
mais bon il fonctionnait bien directement sur le browser donc je les téléchargé et copié vers le bon répertoire.

le reste c'est bien déroulé

Un grand merci à vous et à ZAREV ( l'ami belge ) qui ma conseillé et également aidé dans ce tuto.

@++
5 jours plus tard
Bonsoir à tous,

Perso, j'ai fait la manip jusqu'au bout et c'est tout à la fin que j'ai un problème.

Lorsque je lance la commande 
service nginx restart
J'ai la réponse suivante :
Job for nginx.service failed. See 'systemctl status nginx.service' and 'journalctl -xn' for details.
Une idée du problème ???

Merci d'avance