• Serveurs

  • [Discussion] Certificat SSL signé et gratuit avec StartSSL {nginx}

Bonjour,

je parle de l'adresse mail qui est demandé en partie 3 du tuto (III - Génération d’un certificat pour votre domaine).
Quand je commance le “Validations Wizard” les adresses proposées sont du type postmaster@votre-domaine.fr...

Mais moi yen a pas savoir comment qu'on fait pour récupérer un mail à mon adresse 😀... je n'ai jamais paramétré de boite postmaster ou autre
Ces adresses sont généralement fournies par ton registrar (Gandi,OVH, etc.) et liées à ton nom de domaine, par exemple : postmaster@mondomain.tld. Elles sont consultables par leur webmail.
Ben justement le soucis c'est que de par mon offre je n'ai pas de webmail... c'est assez étonnant je sais.
Comme j'ai dis plus haut, j'ai un serveur dédié et un nom de domaine que j'ai pris par la suite. Je suis chez Online au passage.
Et je n'ai aucun webmail du coup je ne sais pas comment récupérer les mails.

En demandant à l'assistance technique, il m'annonce que je doit mettre en place un serveur mail sur mon propre serveur...

Dans ma configuration j'ai suivi les tutoriel de ce forum dont celui de sécurisation et log. J'ai donc postfix d'installé... est ce que je peux faire quelque chose avec ça?

Sachant que la deuxième question sera de fait... comment kon fait monsieur?
Chez OVH tu as la possibilité (hébergement ou non) de faire des redirections mail. Ca doit être possible chez Online aussi.
Tuto à jour :
  • Changement de la méthode de génération de la clé.
  • Modification de la méthode de concaténation du certificat unifié.
  • Ajout de nouvelles règles de sécu pour nginx (thanks to Hardware !).
Salut, je viens d'essayer vu que mes sous domaines sont fini. Mais j'ai un problème.
J'ai remplacé tous les server en rutorrent et quand je fais mon service nginx restart, j'ai un problème. 
2015/09/25 14:10:10 [emerg] 10467#10467: SSL_CTX_use_PrivateKey_file("/etc/ssl/nginx/rutorrent.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)
Comment est ce que c'est possible?

dans le tuto, il y a une faute de frappe pour allier tous les codes 
openssl genrsa -out serveur.key 4096
c'est plutôt server.
server ou serveur peu importe c'est juste le nom du fichier de sortie
et d'ailleur je vois même pas cette commande dans le tuto Oo
Oui je sais mais c'est pour les personnes qui font beaucoup de copier coller.
En faite, je viens de voir qu'il faut que j'attend 2 jours encore pour la fin du SSL. La fin du certificat est demain. Peut être est ce pour cela que j'ai un bug?

edit: il n'y ai plus.
donc vérifie que tu as vraiment bien fait la démarche du tuto dans l'ordre et completement
je viens de faire le tuto aussi et j'ai la meme erreur que cocolabombe0
Je suis en train de re-tester pour voir si quelque-chose coince...
moi j'avais fait le tuto mail avant de remettre les certificats a jour pourtant je viens de refaire de la bonne façon, j'avais mal fait au début mais j'ai la meme erreur
J'attends que StartSSL génère mes certificats et je reviens vers vous les gars.
Bon ben y'a quelque-chose que vous devez mal faire car ça fonctionne très bien chez moi.
je viens de refaire c'est bon pour moi la mais avec le tuto d'hardware pour le mail il faut supprimer des ligne pour la conf ssl

Edit: plus d'erreur de nginx mais une note de T sur ssllabs
Je viens de le faire sur un nouveau serveur et un nouveau nom de domaine et il fonctionne.

Sur chrome, je vois que c'est un protocole faible.
Google Chrome a accès au certificat du site, mais ce dernier utilise une configuration de sécurité faible (signatures SHA-1). Il est donc possible que votre connexion ne soit pas privée.
J'ai juste fait sur rutorrent.ndd.fr et j'ai bien le A sur CryptCheck (sinon par défaut c'est M) 
Protocole	60 / 100
Échange de clef	100 / 100
Chiffrement	100 / 100
Total	88.0 / 100
ssllabs: A
Mais dans les certification paths, j'ai sur le 1er OCSP ERROR: OCSP response: Certificate unknow

Donc plus de problème avec les lignes pour le logjam 
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/nginx/ssl/dhparams.pem;
Je vois que le texte est plus court et que ssl_dhparam /etc/nginx/ssl/dhparams.pem n'est plus présent
oui j'ai un beau T sur ssllab premiere fois il me dit que le certificat is not trusted
Jedediah wrote:Chez OVH tu as la possibilité (hébergement ou non) de faire des redirections mail. Ca doit être possible chez Online aussi.
Bonjour,

Bon ça ne semble pas possible directement à moi que j'ai loupé un épisode.
Du coup j'ai pris un compte gratuit chez alwaysdata qui a l'avantage de proposer une redirection mail... mais bon je ne suis pas sur du tout de mon coup.

Donc ce que j'ai tenté :

Chez Alwaysdata j'ai donc un compte avec dans l'interface une section email proposant de renseigner l'adresse de redirection.
Leur serveur mail pour les enregistrement MX sont les suivants : 
MX	
Primaire : mx1.alwaysdata.com
Secondaire : mx2.alwaysdata.com
du coup bête et méchant chez Online.net j'ai ajouté 2 entrées DNS de ce type 
domaine.tld	MX	mx1.alwaysdata.com	10	
domaine.tld	MX	mx2.alwaysdata.com	50
Chez Alwaysdata j'ai ajouté mon domaine en Gestion
et ajouté une adresse mail de type essais@domaine.tld

avant même de tenter un envoie de mail, quand je fait un tour sur whatsmydns, aucune propagation... bon ça fait pas longtemps mais je prends les devants...

un avis?
je pense que le cetificat fait lors de l'install de rutorrent en auto passe en priorité et ignore tous les autres certificat que j'ai crée apres