Pour ce tuto : http://mondedie.fr/d/5895/2 N'hésitez pas à poser vos questions et à signaler les problèmes rencontrés.

Merci pour le tuto. On peut l'attribué à un serveur NAS ?

Aucune idée, j'ai jamais tenté sur mon NAS. Mais ça doit pouvoir se faire.

Ok je test et je fais un retour Merci

De même, j'essaierai peut-être ce soir.

Super tuto, il est clair et bien expliqué. Juste une petite suggestion par rapport au certificat root (ca.pem) de StartSSL, au lieu de le concaténer avec les autres certificats, je recommande plutôt de le spécifier grâce à l'attribut " ssl_trusted_certificate " dans la configuration du vhost : ssl on; ssl_certificate /etc/nginx/keys/votre-domaine.fr.crt-unified; ssl_certificate_key /etc/nginx/keys/votre-domaine.fr.key; ssl_trusted_certificate /etc/nginx/keys/ca.pem; L'intérêt est de vérifier les certificats clients et les réponses OCSP si le stapling est activé. ssl_stapling on; ssl_stapling_verify on; C'est vraiment un petit détail mais au moins comme ça la chaîne de certification est parfaitement respectée, pour plus d'info : http://tools.ietf.org/html/rfc4366#section-3.6 NB : il est impossible d’utiliser Chrome pour ces étapes, je vous recommande donc l’utilisation de Firefox. Pourquoi ça ne marcherait pas avec chrome ? A l'époque j'avais essayé avec chromium et je n'ai pas eu de soucis particulier. C'est au niveau de l'AUTH par certificat ?

Hardware wrote: Pourquoi ça ne marcherait pas avec chrome ? A l'époque j'avais essayé avec chromium et je n'ai pas eu de soucis particulier. C'est un niveau de l'AUTH par certificat ? Absolument.

Je viens de réessayer avec ma clé privée sur chromium ça marche bien pourtant.

[Discussion] Certificat SSL signé et gratuit avec StartSSL {nginx} : Page 7

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] Certificat SSL signé et gratuit avec StartSSL {nginx}

jeyy

re
je refais la manip, pour eviter mon soucis mais maintenant j'en ai un autre.

lorsque je fais un "nginx -t" j'ai cett erreur:

nginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/nginx/conf.d/ssl.key")  failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)

c'est quoi ce soucis?
(EDIT >> pour ce problème c'est que mon ssl.key ne correspond pas, je me suis mélangé les pinceaux et vu que j'ai supprimer
le ssl.key, bin je suis coincé pour certans sous-domaine pff le boulet, je pensais que la clef était la même pour tout le domaine)

sinon pour le soucis plus haut j'ai ça comme info dans firefox (il manque "organisation" et "unité d'org.")

>>

mirtouf

Cela n'est pas un souci de ne pas avoir renseigné O et OU, tu peux aussi avoir des informations détaillées à cette adresse :
https://www.ssllabs.com/ssltest/

jeyy

ok merci pour l'info mais du coup je ne vois plus l'intérêt de passer par un tel service vu qu'il déclenche un gros avertissement dans les navigateurs internet, a avoir un avertissement à la rigueur je préfère "ce cert est autosigné" que "ce cert est signé par un organisme inconnu".

mirtouf

Ce n'est pas le service, c'est lors de l'émission du CSR ou dans la compilation des certificats intermédiaires que le problème se pose.
Seul moyen d'avoir les idées claires : https://www.ssllabs.com/ssltest/

spectre

Salut,

je viens de mettre en place un ssl sur le sous domaine www. mais je n'ai pas d'info dans ma barre d'adresse de mon navigateur.
Pas d'erreur de nginx lors du reboot.

Une idée ?

cocolabombe0

Est ce que c'est possible de récupérer les deux fichiers depuis starSSL. J'ai fais un reset du serveur en oubliant de copier les clés.
Je sais que l'on peut récupérer un fichier mais le deuxième, je ne pense pas.
Normalement, c'est ce fichier que je ne sais pas comment ravoir?
votre-domaine.fr.key.enc

cocolabombe0

Personne ne sait?
Sinon est ce que c'est possible de refaire toute la validation avec une clé de 4096 au lieu du 2048?
Car je crois qu'il faut faire la révocation mais 25$ par certificat, je préfère changer de site.

Solinvictus

Je pense que tu peux récupérer le .crt mais pas la clé. Autrement, il faut révoquer les certificats et payer.

cocolabombe0

Ok. J'avais pourtant fais un fichier word avec mes clés mais il est vide.
Révoquer non trop chère.
Faut que j'aille ailleurs sinon.

edit: je vais attendre 4 mois plutôt et aller sur cacert par exemple en attendant.

achris

Bonjour

Comment adapter ce tuto avec le script de Ex_rat ?

J'ai pour le moment :

server {
    listen 80 default_server;
    server_name _;

    rewrite ^ https://XXXXX$request_uri? permanent;
}

server {
        listen 443 ssl;
        server_name _;
        index index.html index.php;
        charset utf-8;
        client_max_body_size 10M;

        ssl_certificate /etc/nginx/ssl/server.crt;
        ssl_certificate_key /etc/nginx/ssl/server.key;

    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE

    ssl_prefer_server_ciphers on;
    ssl_dhparam /etc/nginx/ssl/dhparams.pem
 access_log /var/log/nginx/rutorrent-access.log combined;
        error_log /var/log/nginx/rutorrent-error.log error;

        error_page 500 502 503 504 /50x.html;
        location = /50x.html { root /usr/share/nginx/html; }

        auth_basic "seedbox";
        auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd";

        location = /favicon.ico {
                access_log off;
                log_not_found off;
        }

        ## début config accueil serveur ##

        location ^~ / {
            root /var/www/base;
            include /etc/nginx/conf.d/php.conf;
            include /etc/nginx/conf.d/cache.conf;
            satisfy any;
            allow all;
        }

        ## fin config accueil serveur ##

        ## début config rutorrent ##

        location ^~ /rutorrent {
            root /var/www;
            include /etc/nginx/conf.d/php.conf;
            include /etc/nginx/conf.d/cache.conf;

            location ~ /\.svn {
                    deny all;
            }

            location ~ /\.ht {
                    deny all;
            }
        }

location ^~ /partage {
        root /var/www/base;
        include /etc/nginx/conf.d/php.conf;
        include /etc/nginx/conf.d/cache.conf;
        #On appelle h5ai
        index index.html index.php /_h5ai/server/php/index.php;
        #On autorise le listing des fichiers
        autoindex on;
        #Facultatif on utilise l'auth de rutorrent
        auth_basic "Vous devez vous authentifier";
        auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd";
}

location /sickbeard {
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $remote_addr;
                proxy_set_header Host $host;
                proxy_redirect off;
                rewrite ^/sickbeard(/.*)$ $1;
                if ($remote_user = "bibou") {
                        proxy_pass http://127.0.0.1:20001;
                        break;
                }
                if ($remote_user = "test") {
                        proxy_pass http://127.0.0.1:20002;
                        break;
                }
        }


        location ^~ /rutorrent/conf/ {
                deny all;
        }

        location ^~ /rutorrent/share/ {
                deny all;
        }

        ## fin config rutorrent ##
      ## début config munin ##

        location ^~ /graph {
            root /var/www;
            include /etc/nginx/conf.d/php.conf;
            include /etc/nginx/conf.d/cache.conf;
        }

        location ^~ /graph/img {
            root /var/www;
            include /etc/nginx/conf.d/php.conf;
            include /etc/nginx/conf.d/cache.conf;
            error_log /dev/null crit;
        }

        location ^~ /monitoring {
            root /var/www;
            include /etc/nginx/conf.d/php.conf;
            include /etc/nginx/conf.d/cache.conf;
        }

        ## fin config munin ##

        ## début config seedbox-manager ##

        location ^~ /seedbox-manager {
        alias /var/www/seedbox-manager/public;
            include /etc/nginx/conf.d/php-manager.conf;
            include /etc/nginx/conf.d/cache.conf;
        }

        ## fin config seedbox-manager ##

        ## config utilisateurs  ##

        location /BIBOU {
            include scgi_params;
            scgi_pass 127.0.0.1:5001; #ou socket : unix:/home/username/.session/username.socket
            auth_basic "seedbox";
            auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd_bibou";
        }
}



;

Je peux remplacer :

        ssl_certificate /etc/nginx/ssl/server.crt;
        ssl_certificate_key /etc/nginx/ssl/server.key;

Par :

ssl_certificate /etc/nginx/keys/nomdedomaine.crt-unified;
ssl_certificate_key /etc/nginx/keys/nomdedomaine.key;

De plus est-ce que ma redirection https est bonne ? Car lorsque je tente d'accéder via le nom de domaine je n'ai pas de redirection faites sur le port 443 j'ai cette erreur :

flipper

juste pour etre sur de bien comprendre, il faut créer un certificat gratuit pour chaque sous domaine, donc si j'ai mondomaine.td/seedbox-manager et mondomaine.tld/rutorrent, il me faut deux certificats distincts crées sur startssl?

Arthur_

Non.
Un domaine c'est : domaine.tld
Un sous domaine c'est : webmail.domaine.tld

nami007

Testé et ça marche nickel

Merci.

md380

Quand je veux me connecteur au site : auth.startssl.com la connection échoue..
ça le fait que pour moi ?

Wonderfall

joyel2104 wrote:Quand je veux me connecteur au site : auth.startssl.com la connection échoue..
ça le fait que pour moi ?

Je n'ai pas de soucis. Il faut faire très attention, le site utilise le certificat installé dans ton navigateur web pour t'authentifier. Vérifie bien si tu l'as.

md380

Ah non je l'ai pas .. Il l'envoient pas mail ?

md380

Ah non j'ai rien dit : "we could not validate the personal information you provided during the registration process"
J'aurai du lire avant d'essayer.. evidement j'ai mis des infos bidon

Wonderfall

joyel2104 wrote:Ah non j'ai rien dit : "we could not validate the personal information you provided during the registration process"
J'aurai du lire avant d'essayer.. evidement j'ai mis des infos bidon

Ça m'est arrivé aussi la première fois. Des infos un peu grossières.

Kali1030

Hello,

Merci pour ce tuto bien expliqué

Pour la fin de la première partie du tuto il ne faut plus aller boire un café car j'ai reçu directement mon certificat, le dernier message " You sucessfully finished etc...." n'apparait pas comme dans le tuto mais plutôt :

Thank you for choosing StartSSL™!
Thousands of subscribers already validated their identity and benefit today from the advanced capabilities of the Class 2 and EV level certificates. For features like wild cards (*.domain.com) and multiple domain names (UCC/SAN/SNI) please validate your identity and benefit even more from StartSSL™. Click on "Validations Wizard" -> "Identity Validation" -> "Class 2".

Et dans le toolbox on retrouve bien son certificat directement.

les WGET ne pas fonctionner non plus directement depuis le monde console sur le serveur (Accès refusée)
mais bon il fonctionnait bien directement sur le browser donc je les téléchargé et copié vers le bon répertoire.

le reste c'est bien déroulé

Un grand merci à vous et à ZAREV ( l'ami belge

) qui ma conseillé et également aidé dans ce tuto.

@++

Gaume

Bonsoir à tous,

Perso, j'ai fait la manip jusqu'au bout et c'est tout à la fin que j'ai un problème.

Lorsque je lance la commande

service nginx restart

J'ai la réponse suivante :

Job for nginx.service failed. See 'systemctl status nginx.service' and 'journalctl -xn' for details.

Une idée du problème ???

Merci d'avance

« Page précédente Page suivante »