• Applications

  • [Discussion] Certificat SSL signé et gratuit avec Let's Encrypt

@winz Merci je vais essayer de faire de même si je réussie a trouver comment faire lol

13 jours plus tard

j'ai un nom de domaine : www.exemple.fr
j'ai essayé de rajouté des sous domaines mais j'ai une erreur, je ne comprend pas ce que je dois faire ...
il me semblait qu'on pouvait valider autant de sous domaines que l'on voulait avec un seul certificat...
idéalement, je voudrais ajouter à mon certificat : headphones.exemple.fr, cloud.exemple.fr, sickrage.exemple.fr, couchpotato.exemple.fr

j'ai fait :

certbot certonly

ensuite, j'ai suivi la procédure pour ajouter mes sous domaines, les anciens sous domaines ont été détectés ( cakebox.elysius.fr par exemple ) et certbot propose de les ajouter
et j'ai l'erreur suivante :

sur tous les nouveaux sous domaines :

IMPORTANT NOTES:
- The following errors were reported by the server:

Domain: sickrage.elysius.fr
Type: connection
Detail: DNS problem: NXDOMAIN looking up A for sickrage.elysius.fr

je dois louper une étape, je manque un truc, est ce que quelqu'un a une idée ?

    Nik064 Cette URL ne pointe sur rien (si tu ne l'as pas changée) et c'est donc le problème de LE. Pour chaque (sous-)domaine il faut un enregistrement DNS valide.

        bonjour a tous

        j'ai changé de serveurs et j'ai voulu réinstaller des certificats letsencrypt. J'ai suivi le tuto et l'installation s'est bien passé. mais quand je relance nginx j'ai ça

        service nginx start
Job for nginx.service failed. See 'systemctl status nginx.service' and 'journalctl -xn' for details.

        systemctl status nginx.service
 nginx.service - LSB: Stop/start nginx
   Loaded: loaded (/etc/init.d/nginx)
   Active: failed (Result: exit-code) since Wed 2017-05-24 10:51:42 CEST; 1min 12s ago
  Process: 22680 ExecStop=/etc/init.d/nginx stop (code=exited, status=0/SUCCESS)
  Process: 22062 ExecReload=/etc/init.d/nginx reload (code=exited, status=0/SUCCESS)
  Process: 7176 ExecStart=/etc/init.d/nginx start (code=exited, status=1/FAILURE)

May 24 10:51:42 sd-74270 nginx[7176]: nginx: [emerg] SSL_CTX_load_verify_locations("/etc/letsencrypt/live/domain.tld/fullchain.pem") failed ...
May 24 10:51:42 sd-74270 systemd[1]: nginx.service: control process exited, code=exited status=1
May 24 10:51:42 sd-74270 systemd[1]: Failed to start LSB: Stop/start nginx.
May 24 10:51:42 sd-74270 systemd[1]: Unit nginx.service entered failed state.
Hint: Some lines were ellipsized, use -l to show in full.

        nginx -t
nginx: [emerg] SSL_CTX_load_verify_locations("/etc/letsencrypt/live/domain.tld/fullchain.pem") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/letsencrypt/live/domain.tld/fullchain.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file error:0B084002:x509 certificate routines:X509_load_cert_crl_file:system lib)
nginx: configuration file /etc/nginx/nginx.conf test failed

        Malgré mes recherches sur google, j'ai rien trouvé 😟

        @Killerfun

        Regarde ce que t'indique le log nginx. C'est clair :

        SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/letsencrypt/live/domain.tld/fullchain.pem'

        Il ne trouve pas l'emplacement de ce fichier. Vérifie que letsencrypt a bien généré un certificat, au bon endroit, avec la bonne dénomination. Le problème est à corrigé dans ton vhost.

          NOnoS

          a priori, les certificats sont bien générés

          /etc/letsencrypt/live# ls -l
total 8
drwxr-xr-x 2 root root 4096 May 24 09:00 domaine.fr
drwxr-xr-x 2 root root 4096 May 24 09:36 phpmyadmin.domaine.fr

          et mon vhost

          server {
        listen 80;
            server_name phpmyadmin.domaine.fr;
        return 301 https://$server_name$request_uri;
}
server {
    listen 443 ssl;
    server_name phpmyadmin.domaine.fr;

index index.html index.php;
charset utf-8;
client_max_body_size 10M;
 
ssl_certificate /etc/letsencrypt/live/phpmyadmin.domaine.fr/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/phpmyadmin.domaine.fr/privkey.pem;

          est ce que cela pourrait venir d'un problème de permissions ?

            Je ne pense pas. Le message est plutôt limpide, c'est un problème de chemin d'accès. A moins que des éléments soient manquant dans ton vhost. On sait toujours pas ce qu'il y a dans tes 2 dossiers. Si les certificats sont bien présents dans les dossiers, c'est que tu indiques mal dans ton vhost.

            D'ailleurs, tu as fait un copier/coller mais il manque une parenthèse fermante à la fin de ton vhost. Peut etre ça ??

            non les parentheses sont ok. J'ai juste fait un copier/coller partiel.

            voila qu'il y a dans le dossier

            /etc/letsencrypt/live/phpmyadmin.domaine.fr# ls -l
total 4
lrwxrwxrwx 1 root root  50 May 24 09:36 cert.pem -> ../../archive/phpmyadmin.domaine.fr/cert1.pem
lrwxrwxrwx 1 root root  51 May 24 09:36 chain.pem -> ../../archive/phpmyadmin.domaine.fr/chain1.pem
lrwxrwxrwx 1 root root  55 May 24 09:36 fullchain.pem -> ../../archive/phpmyadmin.domaine.fr/fullchain1.pem
lrwxrwxrwx 1 root root  53 May 24 09:36 privkey.pem -> ../../archive/phpmyadmin.domaine.fr/privkey1.pem
-rw-r--r-- 1 root root 543 May 24 09:36 README

            du coup je ne sais pas pkoi j'ai des liens symboliques vers le dossier archive

            Pour les liens symboliques, j'ai pareil de mon côté. Je pense que c'est quand tu renouvelles/changes le certificat. Le lien est toujours actif sur la version de ton certificat la plus récente. Cela t'évite de changer le lien du certificat dans ton vhost.
            A priori, les fichiers sont au bon endroit. Donc ça doit être les infos que tu as renseignés dans ton vhost.

            pour le vhost de phpmyadmin je ne me suis pas cassé la tete, j'ai copié-collé celui qui est sur le tuto d'installation de mysql + phpmyadmin.
            J'ai remplacé le ndd par mon nom de domaine et les chemins des certificats par ceux générés par nginx.
            Enfin, j'avais préalablement configuré la zone DNS sur online.net

            Aerya
            Merci, j'avais complètement oublié qu'il fallait rajouter les sous domaines sur ovh, et en même temps ,c'est logique ! Merci !

              5 jours plus tard

              j'ai aussi eu l'erreur suivante:
              DNS problem: NXDOMAIN looking up A for mon.domaine.com. Skipping.

              alors que mes entrées DNS sont bien créées et répondent bien.

              J'ai donc relancé une deuxième fois la MAJ via un ./certbot-auto renew
              et c'est passé OK. Petit timeout peut-être 🙂

              6 jours plus tard

              Bonsoir,

              je suis en train de paramètre mon firewall Sophos XG et je souhaiterais intégrer le certificat généré par let's encerypt et pour cela j'ai besoin de la CA passphrase mais je n'ai jamais donnée de mot de passe lors de la génération ....

              Comment faire alors ??? révoquer tout les certificats et les refaire ???

              Merci pour vos lumières.

              23 jours plus tard

              Salut,
              lors de mon renew j'ai eu un bug qui empeche le renew...

              Attempting to renew cert from /etc/letsencrypt/renewal/ndd.tld.conf produced an unexpected error: Problem binding to port 443: Could not bind to IPv4 or IPv6.. Skipping.

              une idee?
              parce que quand j'édit ce conf j'ai pas de référence à de l'ip... c'est que des references à mes clef..*.pem

                On dirait que ton nginx/apache tourne toujours.. Faut l'arréter avant de faire tes renew

                Lorsque certbot coince (ou bug), il faut parfois réessayer à plusieurs reprises. Alors j'espère que ceci pourra aider :

                ## Pour vérifier si nginx s'est réellement et correctement arrêter.
ps -ef | grep nginx
## Pour tuer la totalité des processus de nginx.
kill -9 `pgrep nginx`;
## Au final, puisqu'il s'avère que celle-ci refuse de fonctionner (ou alors très mal)...
/etc/init.d/nginx restart;

                ouaip ba finalement ce matin je recommence et ça fonctionne
                sinon oui je stoppais le service nginx...
                bref la magie informatique...
                merci

                un mois plus tard

                bonjour🙂
                bon ben pour moi le renouvellement coinçait aussi avec

                ./certbot-auto renew

                par contre c'est passé en virant le -auto

                ./certbot renew

                je ne sais ni pourquoi ni comment mais bon ca marche c'est le principal🙂

                16 jours plus tard

                Il serait possible de retirer la partie dans le tuto sur l'ajout de : include /etc/nginx/ssl/params.conf; dans nginx.conf ? Ça cause une erreur et j'ai cherché un moment avant de voir que ça venait de là.