Bonjour à tous, j'ai un souci avec mon certificat SSL. J'utilise Nginx. Lorsque je fais curl -v -I https://monadresse/ pour tester j'ai une erreur et quand je vais directement dans le navigateur connexion échoué. curl -v -I https://monadresse/ * About to connect() to monadresse port 443 (#0) * Trying ip mon serveur * connected * Connected to monadresse (ipmonserveur) port 443 (#0) * successfully set certificate verify locations: * CAfile: none CApath: /etc/ssl/certs * SSLv3, TLS handshake, Client hello (1): * SSLv3, TLS handshake, Server hello (2): * SSLv3, TLS handshake, CERT (11): * SSLv3, TLS alert, Server hello (2): * SSL certificate problem: unable to get local issuer certificate * Closing connection #0 curl: (60) SSL certificate problem: unable to get local issuer certificate More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bundle" of Certificate Authority (CA) public keys (CA certs). If the default bundle file isn't adequate, you can specify an alternate file using the --cacert option. If this HTTPS server uses a certificate signed by a CA represented in the bundle, the certificate verification probably failed due to a problem with the certificate (it might be expired, or the name might not match the domain name in the URL). If you'd like to turn off curl's verification of the certificate, use the -k (or --insecure) option. le vhost de mon site server { listen 443; server_name monadresse; root /var/www/rainloop; index index.php; charset utf-8; ssl on; ssl_certificate /etc/nginx/ssl/certificate.monadresse.pem; ssl_certificate_key /etc/nginx/ssl/monadresse.deprotected.key; location ^~ /data { deny all; } location / { try_files $uri $uri/ index.php; } location ~* \.php$ { include /etc/nginx/fastcgi_params; fastcgi_pass unix:/var/run/php5-fpm.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; } } Je tiens à préciser que en http je n'ai pas de problème. Des idées pour m'aiguiller ? Le tuto que j'ai suivi pour le ssl: https://admin-serv.net/blog/670/creer-et-installer-un-certificat-ssl-sous-nginx/ Merci

Salut, Tu as encore plus simple : http://mondedie.fr/d/5895

Merci mais je possède un ssl chez namecheap. De plus, les manipulations sont les mêmes, je vais donc retomber sur le même problème.

Curl n'arrive pas vérifier ton certificat, il faut pas oublier de concaténer le certificat racine (CA root) + certificat intermédiaire (CA intermediate) + ton certificat publique. Tu peux retrouver les deux premiers certificats sur le site de namecheap.

Merci, c'est bizzar dans le tuto que j'ai suivi il n'en parle pas donc effectivement je n'ai que la concaténation de deux certif. Ou puis-je trouver le CA root ? Merci bien.

https://www.namecheap.com/support/knowledgebase/article.aspx/9393/69/where-do-i-find-ssl-ca-bundle

Bon j'ai résolu les problèmes mais dans mon navigateur cela ne marche toujours pas alors que avec curl ça marche. curl -v -l https://monadresse/index.html * About to connect() to monadresse port 443 (#0) * Trying my ip * connected * Connected to monadresse (my ip) port 443 (#0) * successfully set certificate verify locations: * CAfile: none CApath: /etc/ssl/certs * SSLv3, TLS handshake, Client hello (1): * SSLv3, TLS handshake, Server hello (2): * SSLv3, TLS handshake, CERT (11): * SSLv3, TLS handshake, Server key exchange (12): * SSLv3, TLS handshake, Server finished (14): * SSLv3, TLS handshake, Client key exchange (16): * SSLv3, TLS change cipher, Client hello (1): * SSLv3, TLS handshake, Finished (20): * SSLv3, TLS change cipher, Client hello (1): * SSLv3, TLS handshake, Finished (20): * SSL connection using ECDHE-RSA-AES256-GCM-SHA384 * Server certificate: * subject: OU=GT88055294; OU=See www.rapidssl.com/resources/cps (c)15; OU=Domain Control Validated - RapidSSL(R); CN=monadresse * start date: 2015-06-27 16:26:03 GMT * expire date: 2016-06-28 19:40:51 GMT * subjectAltName: monadresse matched * issuer: C=US; O=GeoTrust Inc.; CN=RapidSSL SHA256 CA - G3 * SSL certificate verify ok. > GET /index.html HTTP/1.1 > User-Agent: curl/7.26.0 > Host: monadresse > Accept: */* > * additional stuff not fine transfer.c:1037: 0 0 * HTTP 1.1 or later with persistent connection, pipelining supported < HTTP/1.1 200 OK < Server: nginx/1.8.0 < Date: Fri, 03 Jul 2015 17:04:19 GMT < Content-Type: text/html; charset=utf-8 < Content-Length: 867 < Last-Modified: Tue, 23 Jun 2015 13:26:28 GMT < Connection: keep-alive < ETag: "55895e84-363" < Accept-Ranges: bytes < <!DOCTYPE html> <html> <head> <title>Welcome to nginx on Debian!</title> <style> body { width: 35em; margin: 0 auto; font-family: Tahoma, Verdana, Arial, sans-serif; } </style> </head> <body> <h1>Welcome to nginx on Debian!</h1> <p>If you see this page, the nginx web server is successfully installed and working on Debian. Further configuration is required.</p> <p>For online documentation and support please refer to <a href="http://nginx.org/">nginx.org</a></p> <p> Please use the <tt>reportbug</tt> tool to report bugs in the nginx package with Debian. However, check <a href="http://bugs.debian.org/cgi-bin/pkgreport.cgi?ordering=normal;archive=0;src=nginx;repeatmerged=0">existing bug reports</a> before reporting a new bug. </p> <p><em>Thank you for using debian and nginx.</em></p> </body> </html> * Connection #0 to host monadresse left intact * Closing connection #0 * SSLv3, TLS alert, Client hello (1):

Tu as quoi comme erreur dans ton navigateur ? (donne l'erreur détaillée)

Quand je me connecte j'ai directement: Échec de la connexion sécurisée La connexion avec xxxxx a été interrompue pendant le chargement de la page. La page que vous essayez de consulter ne peut pas être affichée car l'authenticité des données reçues ne peut être vérifiée. Veuillez contacter les propriétaires du site web pour les informer de ce problème.

Problème SSL nginx : Page 2

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Problème SSL nginx

konova

Bon j'ai tout refait nikel mais j'ai le même problème à chaque fois quand je vais dans le navigateur ça veut pas alors que avec un curl ça marche je comprend pas ça.

curl -v -I https://corde.info
* About to connect() to corde.info port 443 (#0)
*   Trying 91.121.209.169...
* connected
* Connected to corde.info (91.121.209.169) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using ECDHE-RSA-AES128-GCM-SHA256
* Server certificate:
* 	 subject: OU=GT88055294; OU=See www.rapidssl.com/resources/cps (c)15; OU=Domain Control Validated - RapidSSL(R); CN=corde.info
* 	 start date: 2015-07-02 18:32:34 GMT
* 	 expire date: 2016-06-28 03:11:53 GMT
* 	 subjectAltName: corde.info matched
* 	 issuer: C=US; O=GeoTrust Inc.; CN=RapidSSL SHA256 CA - G3
* 	 SSL certificate verify ok.
> HEAD / HTTP/1.1
> User-Agent: curl/7.26.0
> Host: corde.info
> Accept: */*
> 
* additional stuff not fine transfer.c:1037: 0 0
* HTTP 1.1 or later with persistent connection, pipelining supported
< HTTP/1.1 200 OK
HTTP/1.1 200 OK
< Server: nginx/1.8.0
Server: nginx/1.8.0
< Date: Fri, 03 Jul 2015 21:30:49 GMT
Date: Fri, 03 Jul 2015 21:30:49 GMT
< Content-Type: text/html; charset=utf-8
Content-Type: text/html; charset=utf-8
< Content-Length: 867
Content-Length: 867
< Last-Modified: Tue, 23 Jun 2015 13:26:28 GMT
Last-Modified: Tue, 23 Jun 2015 13:26:28 GMT
< Connection: keep-alive
Connection: keep-alive
< ETag: "55895e84-363"
ETag: "55895e84-363"
< Accept-Ranges: bytes
Accept-Ranges: bytes

< 
* Connection #0 to host corde.info left intact
* Closing connection #0
* SSLv3, TLS alert, Client hello (1):

je te met mon firewall au cas ou mais j'ouvre bien les ports qu'il faut donc bon

#!/bin/sh
### BEGIN INIT INFO
# Provides:          myfirewall
# Required-Start:    $remote_fs $syslog $network
# Required-Stop:     $remote_fs $syslog $network
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: firewall initscript
# Description:       Custom Firewall
### END INIT INFO

###############################################################################
# FIREWALL
###############################################################################


###############################################################################
### Initialisation des tables
###############################################################################
# Initialise la table Filter (par defaut tout les echanges sont refuses)
echo "  + Initialisation de la table Filter"
iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT   DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT  ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

###############################################################################
### Creation des regles de filtrages
###############################################################################
# Autorise l'interface loopback à dialoguer avec elle-meme
echo "  + Regles du localhost"
iptables -t filter -A INPUT  -i lo -p all -j ACCEPT

#On accepte les paquets provenant de connexions existantes.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

# On accepte les ping
echo "  + Regles du ping"
iptables -A INPUT -p icmp -j ACCEPT 

###############################################################################
### Sécurité
###############################################################################
# Limiter le SYN FLOOD
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT

# Boquer le scan de port
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

###############################################################################
# Services
###############################################################################
# Autorisation du HTTP/HTTPS entrant et sortant
# HTTP + HTTPS Out
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 4443 -j ACCEPT

# HTTP + HTTPS In
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 4443 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 4433 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 4433 -m state --state ESTABLISHED -j ACCEPT

# Autorise l'acces au serveur SSH local 
echo "  + Ouverture serveur SSH"
iptables -A INPUT -p tcp --dport 1024  -j ACCEPT

# Autorise l'acces au serveur Shellinabox
echo "  + Ouverture serveur SSH"
iptables -A INPUT -p tcp --dport 1200  -j ACCEPT

#Autorisation acces webmin
iptables -A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT

# Autorise l'acces au VPN 
echo "  + Ouverture serveur VPN"
    # règles obligatoires pour ouvrir déverrouiller l’accès :
iptables -A INPUT -p tcp --dport 22  -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT

    # autres règles : Translation d'adresses
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.2/24 -o eth0 -j MASQUERADE

#Samba
iptables -A INPUT -p udp --dport 137  -j ACCEPT
iptables -A INPUT -p udp --dport 138  -j ACCEPT
iptables -A INPUT -p tcp --dport 139  -j ACCEPT
iptables -A INPUT -p tcp --dport 445  -j ACCEPT

#T411
iptables -t filter -A INPUT -p tcp --dport 56969 -j ACCEPT

# Autorise l'acces au serveur PLEX 
#  Plex
iptables -A INPUT -p tcp -m multiport --dports 32400,32469 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dports 1900,32410,32412,32413,32414 -j ACCEPT

# Autorise l'acces a transmission 
echo "  + Ouverture transmission"
iptables -A INPUT -p tcp --dport 9091  -j ACCEPT

#AVAHI
iptables -A INPUT -p udp -m udp --dport 5353 -j ACCEPT
iptables -A INPUT -p tcp --dport 548  -j ACCEPT
iptables -A INPUT -p tcp --dport 0  -j ACCEPT
iptables -A INPUT -p tcp --dport 9  -j ACCEPT

#Bonjour/Zeroconf
iptables -I INPUT -p udp --dport mdns -d 224.0.0.251 -j ACCEPT
iptables -I OUTPUT -p udp --dport mdns -d 224.0.0.251 -j ACCEPT

#SLP
iptables -I INPUT -p tcp --dport slp -j ACCEPT
iptables -I OUTPUT -p tcp --dport slp -j ACCEPT
iptables -I INPUT -p udp --dport slp -j ACCEPT
iptables -I OUTPUT -p udp --dport slp -j ACCEPT
# Serveur web
echo "  + Ouverture serveur HTTP"
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT 
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 943 -j ACCEPT

# Mail SMTP:25
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT

# Mail POP3:110
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT

# Mail IMAP:143
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

# Mail POP3S:995
iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT

iptables -t filter -A INPUT -p tcp --dport 587 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 587 -j ACCEPT

iptables -t filter -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT
# Mumble
echo "  + Ouverture serveur Mumble"
#iptables -t filter -A INPUT -p tcp --dport 64738 -j ACCEPT
#iptables -t filter -A INPUT -p udp --dport 64738 -j ACCEPT

#AFP 
iptables -I INPUT -p tcp --dport afpovertcp -j ACCEPT

#AppleTalk
iptables -I INPUT -p tcp -m multiport --dport at-rtmp,at-nbp,at-echo,at-zis -j ACCEPT
iptables -I OUTPUT -p tcp -m multiport --dport at-rtmp,at-nbp,at-echo,at-zis -j ACCEPT

#DNS
iptables -A INPUT  -p udp -m udp --dport 53 -j ACCEPT
iptables -A INPUT  -p tcp -m tcp --dport 53 -j ACCEPT

iptables -A INPUT -i lo -s localhost -d localhost -j ACCEPT 
iptables -A OUTPUT -o lo -s localhost -d localhost -j ACCEPT 
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 

# proxy squid echo " + Ouverture du proxy squid"
iptables -I INPUT -p tcp -s 82.240.101.94 --dport 8844 -j ACCEPT
iptables -A INPUT  -p tcp --dport http -j ACCEPT 
echo "  + ======================== SCRIPT TERMINE! ========================="
echo "  + Afficher la configuration de la table filter : 'iptables -L -n -v'"
echo "  + =================================================================="

Mon vhost du site test

server {
    listen          80;
    listen 443 ssl;
    server_name     corde.info;
    root            /var/www/html;
    index           index.php index.html;
    charset         utf-8;

    ssl on;
    ssl_certificate /etc/nginx/ssl/corde.info.chained.crt;
    ssl_certificate_key     /etc/nginx/ssl/corde.info.key;
    
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers    "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES256-GCM-SHA256:AES256-GCM-SHA384:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4";

    ssl_prefer_server_ciphers on;
    ssl_session_cache   shared:SSL:10m;
    ssl_session_timeout 10m;

	location / {
        try_files $uri $uri/ index.php;
    }

    location ~* \.php$ {
        include       /etc/nginx/fastcgi_params;
        fastcgi_pass  unix:/var/run/php5-fpm.sock;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    }
}

et aussi nginx.conf peut être

user www-data;
worker_processes auto;
pid /run/nginx.pid;

events {
	worker_connections 768;
	# multi_accept on;
}

http {

	##
	# Basic Settings
	##

	sendfile on;
	tcp_nopush on;
	tcp_nodelay on;
	keepalive_timeout 65;
	types_hash_max_size 2048;
	# server_tokens off;

	# server_names_hash_bucket_size 64;
	# server_name_in_redirect off;

	include /etc/nginx/mime.types;
	default_type application/octet-stream;

	##
	# SSL Settings
	##

	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
	ssl_prefer_server_ciphers on;

	##
	# Logging Settings
	##

	access_log /var/log/nginx/access.log;
	error_log /var/log/nginx/error.log;

	##
	# Gzip Settings
	##

	gzip on;
	gzip_disable "msie6";

	# gzip_vary on;
	# gzip_proxied any;
	# gzip_comp_level 6;
	# gzip_buffers 16 8k;
	# gzip_http_version 1.1;
	# gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

	##
	# nginx-naxsi config
	##
	# Uncomment it if you installed nginx-naxsi
	##

	#include /etc/nginx/naxsi_core.rules;

	##
	# Virtual Host Configs
	##

	include /etc/nginx/conf.d/*.conf;
	include /etc/nginx/sites-enabled/*;

	server {
        listen 80 default_server;
        listen [::]:80 default_server ipv6only=on;

        listen 443 ssl;

        root /usr/share/nginx/html;
        index index.html index.htm;

        server_name corde.info;
        ssl_certificate /etc/nginx/ssl/corde.info.chained.crt;
        ssl_certificate_key /etc/nginx/ssl/corde.info.key;

        location / {
                try_files $uri $uri/ =404;
        	}
	}



}


#mail {
#	# See sample authentication script at:
#	# http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript
# 
#	# auth_http localhost/auth.php;
#	# pop3_capabilities "TOP" "USER";
#	# imap_capabilities "IMAP4rev1" "UIDPLUS";
# 
#	server {
#		listen     localhost:110;
#		protocol   pop3;
#		proxy      on;
#	}
# 
#	server {
#		listen     localhost:143;
#		protocol   imap;
#		proxy      on;
#	}
#}

konova

Je viens de voir dans les logs de nginx ça en warning:

2015/07/03 23:29:57 [warn] 19585#19585: conflicting server name "corde.info" on 0.0.0.0:80, ignored
2015/07/03 23:29:57 [warn] 19585#19585: conflicting server name "corde.info" on 0.0.0.0:443, ignored
2015/07/03 23:29:58 [warn] 19589#19589: conflicting server name "corde.info" on 0.0.0.0:80, ignored
2015/07/03 23:29:58 [warn] 19589#19589: conflicting server name "corde.info" on 0.0.0.0:443, ignored

konova

Mise à jour du vhost avec les server{} séparés:

server {
    listen          80;
    server_name corde.info;
     ## Redirige le HTTP vers le HTTPS ##
     return 301 https://$server_name$request_uri;
}

server{
    listen 443 ssl;
    server_name     corde.info;
    root            /var/www/html;
    index           index.php index.html;
    charset         utf-8;

    ssl on;
    ssl_certificate /etc/nginx/ssl/corde.info.chained.crt;
    ssl_certificate_key     /etc/nginx/ssl/corde.info.key;
    
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers    "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES256-GCM-SHA256:AES256-GCM-SHA384:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4";

    ssl_prefer_server_ciphers on;
    ssl_session_cache   shared:SSL:10m;
    ssl_session_timeout 10m;

	location / {
        try_files $uri $uri/ index.php;
    }

    location ~* \.php$ {
        include       /etc/nginx/fastcgi_params;
        fastcgi_pass  unix:/var/run/php5-fpm.sock;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    }
}

j'ai n'ai plus les problèmes des warnings. Mes certificats sont bon, je ne vois toujours pas d’où vient le problème. Curl Ok mais navigateur toujours pas.

Hardware

J'ai toujours les mêmes erreurs, tu dois faire une mauvaise manip pendant la concaténation. Tu fais quoi exactement ?

konova

Oui pardon j'avais pas supprimé l'ancien fichier de concaténation enfin bref.

resulat: openssl s_client -connect corde.info:443

CONNECTED(00000003)
depth=1 C = US, O = GeoTrust Inc., CN = RapidSSL SHA256 CA - G3
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/OU=GT88055294/OU=See www.rapidssl.com/resources/cps (c)15/OU=Domain Control Validated - RapidSSL(R)/CN=corde.info
   i:/C=US/O=GeoTrust Inc./CN=RapidSSL SHA256 CA - G3
 1 s:/C=US/O=GeoTrust Inc./CN=RapidSSL SHA256 CA - G3
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/OU=GT88055294/OU=See www.rapidssl.com/resources/cps (c)15/OU=Domain Control Validated - RapidSSL(R)/CN=corde.info
issuer=/C=US/O=GeoTrust Inc./CN=RapidSSL SHA256 CA - G3
---
No client certificate CA names sent
---
SSL handshake has read 2922 bytes and written 424 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 530EE04B7CD2F0B91C4FE51568F08E81D6E02AA3170DF7315429CE6B00DDF9FC
    Session-ID-ctx: 
    Master-Key: 8ABFCE9A994FD3033A81173E277B0AC0C1914F686FC77807E5F3BD4E8C3525CA66BEBF8DEF7D2AAFDF7525FF2CCD25DC
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 600 (seconds)
    TLS session ticket:
    0000 - 9c c7 2f 5a 74 d9 b1 73-0d ee 11 ae 13 f4 f4 fa   ../Zt..s........
    0010 - e9 3a 7e 3b e8 24 65 8e-84 07 ac 1a 0d ee 19 3e   .:~;.$e........>
    0020 - 98 91 e4 ae 43 aa f8 3e-33 87 96 00 ec e7 e1 be   ....C..>3.......
    0030 - 7b 53 1a f9 a0 05 9f 3f-b1 e6 1e 74 4d f6 0e 55   {S.....?...tM..U
    0040 - ad 3f 5a c2 30 48 c2 94-ca 7a f6 e4 bc dc 50 c2   .?Z.0H...z....P.
    0050 - e5 ea c9 ff be 19 0b bd-29 4f d0 ac bf 26 4d cd   ........)O...&M.
    0060 - 34 d2 67 10 ae b9 dd bb-b2 48 8c 24 a4 53 c8 56   4.g......H.$.S.V
    0070 - ce be 42 89 8a 4e 79 22-a8 04 e0 a4 08 59 35 41   ..B..Ny".....Y5A
    0080 - ad 7e 97 11 1b a6 2a bd-d6 f8 da a5 c0 c3 03 90   .~....*.........
    0090 - 98 7f 37 a7 20 d7 0f 69-41 73 ee fb 04 c5 62 64   ..7. ..iAs....bd
    00a0 - cf 4c 13 34 ee 90 91 0e-27 71 97 c7 38 20 06 18   .L.4....'q..8 ..

    Start Time: 1436109544
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---

resulat: curl -v https://corde.info

* About to connect() to corde.info port 443 (#0)
*   Trying 91.121.209.169...
* connected
* Connected to corde.info (91.121.209.169) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using ECDHE-RSA-AES256-GCM-SHA384
* Server certificate:
* 	 subject: OU=GT88055294; OU=See www.rapidssl.com/resources/cps (c)15; OU=Domain Control Validated - RapidSSL(R); CN=corde.info
* 	 start date: 2015-07-02 18:32:34 GMT
* 	 expire date: 2016-06-28 03:11:53 GMT
* 	 subjectAltName: corde.info matched
* 	 issuer: C=US; O=GeoTrust Inc.; CN=RapidSSL SHA256 CA - G3
* 	 SSL certificate verify ok.
> GET / HTTP/1.1
> User-Agent: curl/7.26.0
> Host: corde.info
> Accept: */*
> 
* additional stuff not fine transfer.c:1037: 0 0
* HTTP 1.1 or later with persistent connection, pipelining supported
< HTTP/1.1 200 OK
< Server: nginx/1.8.0
< Date: Sun, 05 Jul 2015 15:19:46 GMT
< Content-Type: text/html; charset=utf-8
< Content-Length: 867
< Last-Modified: Tue, 23 Jun 2015 13:26:28 GMT
< Connection: keep-alive
< ETag: "55895e84-363"
< Accept-Ranges: bytes
< 
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx on Debian!</title>
<style>
    body {
        width: 35em;
        margin: 0 auto;
        font-family: Tahoma, Verdana, Arial, sans-serif;
    }
</style>
</head>
<body>
<h1>Welcome to nginx on Debian!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working on Debian. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a></p>

<p>
      Please use the <tt>reportbug</tt> tool to report bugs in the
      nginx package with Debian. However, check <a
      href="http://bugs.debian.org/cgi-bin/pkgreport.cgi?ordering=normal;archive=0;src=nginx;repeatmerged=0">existing
      bug reports</a> before reporting a new bug.
</p>

<p><em>Thank you for using debian and nginx.</em></p>


</body>
</html>
* Connection #0 to host corde.info left intact
* Closing connection #0
* SSLv3, TLS alert, Client hello (1):

Sur ce niveau je pense que je suis bon maintenant ? Au niveau du navigateur toujours "Échec de la connexion sécurisée"

Hardware

C'est bon j'ai trouvé, en fait c'est ton firewall qui bloque le port 443, je suppose que les commandes "openssl s_client -connect corde.info:443" et "curl -v https://corde.info" tu les exécutes en local sur le serveur ? Si je fais la même chose depuis mon pc, ça ne fonctionne pas. Regarde du côté de iptables.

konova

oui merde effectivement je faisais en local ...

Voici mon firewall je pense bien avoir autorisé correctement.

###############################################################################
# FIREWALL
###############################################################################


###############################################################################
### Initialisation des tables
###############################################################################
# Initialise la table Filter (par defaut tout les echanges sont refuses)
echo "  + Initialisation de la table Filter"
iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT   DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT  ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

###############################################################################
### Creation des regles de filtrages
###############################################################################
# Autorise l'interface loopback à dialoguer avec elle-meme
echo "  + Regles du localhost"
iptables -t filter -A INPUT  -i lo -p all -j ACCEPT

#On accepte les paquets provenant de connexions existantes.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

# On accepte les ping
echo "  + Regles du ping"
iptables -A INPUT -p icmp -j ACCEPT 

###############################################################################
### Sécurité
###############################################################################
# Limiter le SYN FLOOD
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT

# Boquer le scan de port
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

###############################################################################
# Services
###############################################################################
# Autorisation du HTTP/HTTPS entrant et sortant
# HTTP + HTTPS Out
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 4443 -j ACCEPT

# HTTP + HTTPS In
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 4443 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 4433 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 4433 -m state --state ESTABLISHED -j ACCEPT

# Autorise l'acces au serveur SSH local 
echo "  + Ouverture serveur SSH"
iptables -A INPUT -p tcp --dport 1024  -j ACCEPT

# Autorise l'acces au serveur Shellinabox
echo "  + Ouverture serveur SSH"
iptables -A INPUT -p tcp --dport 1200  -j ACCEPT

#Autorisation acces webmin
iptables -A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT

# Autorise l'acces au VPN 
echo "  + Ouverture serveur VPN"
    # règles obligatoires pour ouvrir déverrouiller l’accès :
iptables -A INPUT -p tcp --dport 22  -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT

    # autres règles : Translation d'adresses
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.2/24 -o eth0 -j MASQUERADE

#Samba
iptables -A INPUT -p udp --dport 137  -j ACCEPT
iptables -A INPUT -p udp --dport 138  -j ACCEPT
iptables -A INPUT -p tcp --dport 139  -j ACCEPT
iptables -A INPUT -p tcp --dport 445  -j ACCEPT

#T411
iptables -t filter -A INPUT -p tcp --dport 56969 -j ACCEPT

# Autorise l'acces au serveur PLEX 
#  Plex
iptables -A INPUT -p tcp -m multiport --dports 32400,32469 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dports 1900,32410,32412,32413,32414 -j ACCEPT

# Autorise l'acces a transmission 
echo "  + Ouverture transmission"
iptables -A INPUT -p tcp --dport 9091  -j ACCEPT

#AVAHI
iptables -A INPUT -p udp -m udp --dport 5353 -j ACCEPT
iptables -A INPUT -p tcp --dport 548  -j ACCEPT
iptables -A INPUT -p tcp --dport 0  -j ACCEPT
iptables -A INPUT -p tcp --dport 9  -j ACCEPT

#Bonjour/Zeroconf
iptables -I INPUT -p udp --dport mdns -d 224.0.0.251 -j ACCEPT
iptables -I OUTPUT -p udp --dport mdns -d 224.0.0.251 -j ACCEPT

#SLP
iptables -I INPUT -p tcp --dport slp -j ACCEPT
iptables -I OUTPUT -p tcp --dport slp -j ACCEPT
iptables -I INPUT -p udp --dport slp -j ACCEPT
iptables -I OUTPUT -p udp --dport slp -j ACCEPT
# Serveur web
echo "  + Ouverture serveur HTTP"
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT 
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 943 -j ACCEPT

# Mail SMTP:25
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT

# Mail POP3:110
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT

# Mail IMAP:143
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

# Mail POP3S:995
iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT

iptables -t filter -A INPUT -p tcp --dport 587 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 587 -j ACCEPT

iptables -t filter -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 465 -j ACCEPT
# Mumble
echo "  + Ouverture serveur Mumble"
#iptables -t filter -A INPUT -p tcp --dport 64738 -j ACCEPT
#iptables -t filter -A INPUT -p udp --dport 64738 -j ACCEPT

#AFP 
iptables -I INPUT -p tcp --dport afpovertcp -j ACCEPT

#AppleTalk
iptables -I INPUT -p tcp -m multiport --dport at-rtmp,at-nbp,at-echo,at-zis -j ACCEPT
iptables -I OUTPUT -p tcp -m multiport --dport at-rtmp,at-nbp,at-echo,at-zis -j ACCEPT

#DNS
iptables -A INPUT  -p udp -m udp --dport 53 -j ACCEPT
iptables -A INPUT  -p tcp -m tcp --dport 53 -j ACCEPT

iptables -A INPUT -i lo -s localhost -d localhost -j ACCEPT 
iptables -A OUTPUT -o lo -s localhost -d localhost -j ACCEPT 
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 

# proxy squid echo " + Ouverture du proxy squid"
iptables -I INPUT -p tcp -s 82.240.101.94 --dport 8844 -j ACCEPT
iptables -A INPUT  -p tcp --dport http -j ACCEPT 
echo "  + ======================== SCRIPT TERMINE! ========================="
echo "  + Afficher la configuration de la table filter : 'iptables -L -n -v'"
echo "  + =============================

Hardware

Désactive le complètement et refait le test juste pour voir.

konova

je l'ai désactivé si tu essaies tu verras que ça tourne à l'infini c'est pas encore ça mais du coup mon firewall bloque dejà alors ?

Hardware

Cette commande te retourne quoi :

netstat -ptna | grep nginx

konova

La commande retourne:

tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      26242/nginx     
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      26242/nginx

Hardware

Je pense que ton firewall est toujours actif, je peux pas accéder au port 443, ni faire un ping vers ton serveur :

# nmap -PnA 91.121.209.169/32 -p 443

Starting Nmap 6.47 ( http://nmap.org ) at 2015-07-05 20:09 CEST
Nmap scan report for corde.corde.info (91.121.209.169)
Host is up.
PORT    STATE    SERVICE VERSION
443/tcp filtered https

# telnet 91.121.209.169 443

Trying 91.121.209.169...

# nc -vz 91.121.209.169 443

...

Pour flush les règles iptables, exécute les commandes suivantes :

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

konova

Alors quand je fais iptables -F ça me jete du ssh (je suis sur un port différent de 22 c'est pour ça) et quand je fais /etc/ssh/sshd_config pour remettre le port 22 le ssh marche pas, ça me bloque la connexion (je l'ai bien rajouté dans mes iptables). Je crois que j'ai vraiment un problème du coté firewall

sinon pour iptables -X j'ai too many links

konova

c'est bon effectivement ça vient du firewall, je peux enfin accéder à mon site en https ! Merci !

Du coup j'ai fait :

iptables -F ça ma jeté, j'ai fait un reboot du serveur
iptables -X too many arguments
iptables -t nat -F ok
iptables -t nat -X ok
iptables -t mangle -F ok
iptables -t mangle -X ok
iptables -P INPUT ACCEPT ok
iptables -P FORWARD ACCEPT ok
iptables -P OUTPUT ACCEPT ok

Tu peux m'aiguiller maintenant pour remettre mon firewall au propre.

Hardware

Regarde le wiki d'arch, il y a un article intéressant à ce sujet : https://wiki.archlinux.org/index.php/Simple_stateful_firewall
Tu peux aussi reprendre ton script et tester les règles jusqu'à trouver celle(s) qui pose(nt) soucis.

konova

Ok ça marche, en tout cas merci mille fois ! A bientôt je vais faire ton tuto avec prelude ... plus tard j'aurai surement des problèmes

« Page précédente