Pour ce tuto : http://mondedie.fr/d/5895/2 N'hésitez pas à poser vos questions et à signaler les problèmes rencontrés.

Merci pour le tuto. On peut l'attribué à un serveur NAS ?

Aucune idée, j'ai jamais tenté sur mon NAS. Mais ça doit pouvoir se faire.

Ok je test et je fais un retour Merci

De même, j'essaierai peut-être ce soir.

Super tuto, il est clair et bien expliqué. Juste une petite suggestion par rapport au certificat root (ca.pem) de StartSSL, au lieu de le concaténer avec les autres certificats, je recommande plutôt de le spécifier grâce à l'attribut " ssl_trusted_certificate " dans la configuration du vhost : ssl on; ssl_certificate /etc/nginx/keys/votre-domaine.fr.crt-unified; ssl_certificate_key /etc/nginx/keys/votre-domaine.fr.key; ssl_trusted_certificate /etc/nginx/keys/ca.pem; L'intérêt est de vérifier les certificats clients et les réponses OCSP si le stapling est activé. ssl_stapling on; ssl_stapling_verify on; C'est vraiment un petit détail mais au moins comme ça la chaîne de certification est parfaitement respectée, pour plus d'info : http://tools.ietf.org/html/rfc4366#section-3.6 NB : il est impossible d’utiliser Chrome pour ces étapes, je vous recommande donc l’utilisation de Firefox. Pourquoi ça ne marcherait pas avec chrome ? A l'époque j'avais essayé avec chromium et je n'ai pas eu de soucis particulier. C'est au niveau de l'AUTH par certificat ?

Hardware wrote: Pourquoi ça ne marcherait pas avec chrome ? A l'époque j'avais essayé avec chromium et je n'ai pas eu de soucis particulier. C'est un niveau de l'AUTH par certificat ? Absolument.

Je viens de réessayer avec ma clé privée sur chromium ça marche bien pourtant.

[Discussion] Certificat SSL signé et gratuit avec StartSSL {nginx} : Page 9

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] Certificat SSL signé et gratuit avec StartSSL {nginx}

gormson

Bonjour,

je parle de l'adresse mail qui est demandé en partie 3 du tuto (III - Génération d’un certificat pour votre domaine).
Quand je commance le “Validations Wizard” les adresses proposées sont du type postmaster@votre-domaine.fr...

Mais moi yen a pas savoir comment qu'on fait pour récupérer un mail à mon adresse 😀... je n'ai jamais paramétré de boite postmaster ou autre

Solinvictus

Ces adresses sont généralement fournies par ton registrar (Gandi,OVH, etc.) et liées à ton nom de domaine, par exemple : postmaster@mondomain.tld. Elles sont consultables par leur webmail.

gormson

Ben justement le soucis c'est que de par mon offre je n'ai pas de webmail... c'est assez étonnant je sais.
Comme j'ai dis plus haut, j'ai un serveur dédié et un nom de domaine que j'ai pris par la suite. Je suis chez Online au passage.
Et je n'ai aucun webmail du coup je ne sais pas comment récupérer les mails.

En demandant à l'assistance technique, il m'annonce que je doit mettre en place un serveur mail sur mon propre serveur...

Dans ma configuration j'ai suivi les tutoriel de ce forum dont celui de sécurisation et log. J'ai donc postfix d'installé... est ce que je peux faire quelque chose avec ça?

Sachant que la deuxième question sera de fait... comment kon fait monsieur?

Jedediah

Chez OVH tu as la possibilité (hébergement ou non) de faire des redirections mail. Ca doit être possible chez Online aussi.

Jedediah

Tuto à jour :

Changement de la méthode de génération de la clé.
Modification de la méthode de concaténation du certificat unifié.
Ajout de nouvelles règles de sécu pour nginx (thanks to Hardware !).

cocolabombe0

Salut, je viens d'essayer vu que mes sous domaines sont fini. Mais j'ai un problème.
J'ai remplacé tous les server en rutorrent et quand je fais mon service nginx restart, j'ai un problème.

2015/09/25 14:10:10 [emerg] 10467#10467: SSL_CTX_use_PrivateKey_file("/etc/ssl/nginx/rutorrent.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)

Comment est ce que c'est possible?

dans le tuto, il y a une faute de frappe pour allier tous les codes

openssl genrsa -out serveur.key 4096

c'est plutôt server.

arckosfr

server ou serveur peu importe c'est juste le nom du fichier de sortie
et d'ailleur je vois même pas cette commande dans le tuto Oo

cocolabombe0

Oui je sais mais c'est pour les personnes qui font beaucoup de copier coller.
En faite, je viens de voir qu'il faut que j'attend 2 jours encore pour la fin du SSL. La fin du certificat est demain. Peut être est ce pour cela que j'ai un bug?

edit: il n'y ai plus.

arckosfr

donc vérifie que tu as vraiment bien fait la démarche du tuto dans l'ordre et completement

jbnitro

je viens de faire le tuto aussi et j'ai la meme erreur que cocolabombe0

Jedediah

Je suis en train de re-tester pour voir si quelque-chose coince...

jbnitro

moi j'avais fait le tuto mail avant de remettre les certificats a jour pourtant je viens de refaire de la bonne façon, j'avais mal fait au début mais j'ai la meme erreur

Jedediah

J'attends que StartSSL génère mes certificats et je reviens vers vous les gars.

Jedediah

Bon ben y'a quelque-chose que vous devez mal faire car ça fonctionne très bien chez moi.

jbnitro

je viens de refaire c'est bon pour moi la mais avec le tuto d'hardware pour le mail il faut supprimer des ligne pour la conf ssl

Edit: plus d'erreur de nginx mais une note de T sur ssllabs

Jedediah

T ?

cocolabombe0

Je viens de le faire sur un nouveau serveur et un nouveau nom de domaine et il fonctionne.

Sur chrome, je vois que c'est un protocole faible.

Google Chrome a accès au certificat du site, mais ce dernier utilise une configuration de sécurité faible (signatures SHA-1). Il est donc possible que votre connexion ne soit pas privée.

J'ai juste fait sur rutorrent.ndd.fr et j'ai bien le A sur CryptCheck (sinon par défaut c'est M)

Protocole	60 / 100
Échange de clef	100 / 100
Chiffrement	100 / 100
Total	88.0 / 100

ssllabs: A
Mais dans les certification paths, j'ai sur le 1er OCSP ERROR: OCSP response: Certificate unknow

Donc plus de problème avec les lignes pour le logjam

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/nginx/ssl/dhparams.pem;

Je vois que le texte est plus court et que ssl_dhparam /etc/nginx/ssl/dhparams.pem n'est plus présent

jbnitro

oui j'ai un beau T sur ssllab premiere fois il me dit que le certificat is not trusted

gormson

Jedediah wrote:Chez OVH tu as la possibilité (hébergement ou non) de faire des redirections mail. Ca doit être possible chez Online aussi.

Bonjour,

Bon ça ne semble pas possible directement à moi que j'ai loupé un épisode.
Du coup j'ai pris un compte gratuit chez alwaysdata qui a l'avantage de proposer une redirection mail... mais bon je ne suis pas sur du tout de mon coup.

Donc ce que j'ai tenté :

Chez Alwaysdata j'ai donc un compte avec dans l'interface une section email proposant de renseigner l'adresse de redirection.
Leur serveur mail pour les enregistrement MX sont les suivants :

MX	
Primaire : mx1.alwaysdata.com
Secondaire : mx2.alwaysdata.com

du coup bête et méchant chez Online.net j'ai ajouté 2 entrées DNS de ce type

domaine.tld	MX	mx1.alwaysdata.com	10	
domaine.tld	MX	mx2.alwaysdata.com	50

Chez Alwaysdata j'ai ajouté mon domaine en Gestion
et ajouté une adresse mail de type essais@domaine.tld

avant même de tenter un envoie de mail, quand je fait un tour sur whatsmydns, aucune propagation... bon ça fait pas longtemps mais je prends les devants...

un avis?

jbnitro

je pense que le cetificat fait lors de l'install de rutorrent en auto passe en priorité et ignore tous les autres certificat que j'ai crée apres

« Page précédente Page suivante »