• Applications

  • [Discussion] Certificat SSL signé et gratuit avec Let's Encrypt

Si tu as demandé ndd.tld et *.ndd.tld il doit te fournir 2 TXT (après avoir appuyé sur Entrer il me semble).
Il faut que les 2 soient saisis et propagés avant de valider.

Pourtant j'ai bien fait la commande :

./certbot-auto certonly --manual -d *.example.com -d example.com --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory

Avec mon domaine.tld et *.domaine.tld, le retour me donne bien deux ligne dns-01 challenge for domaine.tld (d'ailleurs deux fois la même ligne)

Et me demande seulement un seul enregistrement, bon je vais essayer comme sa on verra bien 🙂

Edit : En effet, j'avais pas osez appuyer sur suivant ne voyant pas les deux demande mais il faut faire le premier enregistrement et dans un second temps il remet un message demandant le second 👍

Edit2 : Super sa fonctionne nickel ! Du coup maintenant pour le renouvellement j'ai vu qu'il y avait plusieurs manière, vous utilisez laquelle personnellement moi je pense sur un cron mais il faut que je regarde comment sa fonctionne et si je demande l’exécution du script tout les jours ou toute les semaine à une certaine heure etc...

Tu fais bien de soulever ce point :
Le souci du certificat wildcard c'est qu'il passe forcément par la vérification via DNS, et donc pour un renouvellement tu aura de nouveaux enregistrements TXT à re-faire à la main ...

L'intérêt des certificats wildcards (même en dehors de Let's encrypt) sur un serveur de prod est limité (sécurité/gestion/compatibilité), et étant donné la facilité d'ajouter des sous-domaines en ligne de commande (avec vérification HTTP), je continuerai à procéder comme cela personnellement.

    Ah ! C'est bon à savoir sa ! Bon c'est pas sorcier à faire sa ce fera donc à la main 🙃

    spider1163 comme dit plus haut ( BarbeRousse ) tu peux utiliser acme.sh pour automatiser le renouvellement du wildcard.
    Ce script permet d'utiliser plusieurs api de nombreux providers. 😉

        Pour renouveler un certificat, j'ai remarqué que
        ./certbot-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start"
        évite des downtime inutiles en n'arrêtant le serveur web qu'en cas de renouvellement de certificats

          2 mois plus tard

          Bonjour,
          Quand je veux faire un renouvellement de mon certifat avec:
          service nginx stop
          ./certbot-auto renew
          service nginx start
          Après "./certbot-auto renew" j'ai un message d'erreur (-bash: ./certbot-auto: Aucun fichier ou dossier de ce type)

          Je précise que je suis à la racine quand je lance la commande.

          C'est du à quoi ?
          Merci
          Arcenik

          fait ceci :

          service nginx stop

          apt-get update && apt-get upgrade

          cd /tmp
          wget https://dl.eff.org/certbot-auto
          chmod a+x ./certbot-auto
          ./certbot-auto --help all

          ./certbot-auto renew
          service nginx start

          J'ai un souci.

          Processing /etc/letsencrypt/renewal/myhost.me.conf

          Cert is due for renewal, auto-renewing...
          Plugins selected: Authenticator standalone, Installer None
          Renewing an existing certificate
          Performing the following challenges:
          tls-sni-01 challenge for myhost.me
          tls-sni-01 challenge for www.myhost.me
          Cleaning up challenges
          Attempting to renew cert (myhost.me) from /etc/letsencrypt/renewal/myhost.me.conf produced an unexpected error: Problem binding to port 443: Could no t bind to IPv4 or IPv6.. Skipping.
          All renewal attempts failed. The following certs could not be renewed:
          /etc/letsencrypt/live/myhost.me/fullchain.pem (failure)

          All renewal attempts failed. The following certs could not be renewed:

          /etc/letsencrypt/live/myhost.me/fullchain.pem (failure)

          1 renew failure(s), 0 parse failure(s)

          C'est un problème avec le port 443 si je comprends bien ?

          spider1163 je viens de le refaire en vérifiant bien que le serveur était coupé et ça à fonctionné.
          J'ai du faire le couillon.

          Merci pour votre aide.
          Arcenik

            4 mois plus tard

            Bonjour,

            Sur un serveur vierge, je fais la commande suivante :

            certbot certonly -d toto1515.fr

            Et j'ai le message d'erreur suivant :

            UnicodeEncodeError: 'ascii' codec can't encode character u'\xe9' in position 266: ordinal not in range(128)

            J'ai déjà passé tout le système en UTF-8 et aucun changement, avez vous une idée?
            Merci

            spider1163 Oui c'est bien ce que j'ai vu. J'ai donc fait un raz de mon serveur, j'ai installé nginx, et directement testé la commande. Donc mon fichier nginx est le fichier par défaut, et aucun changement.

                xavier
                J'ai essayé ton script, cela ne fonctionnait pas, puis après une enième changement UTF-8; c'est passé !

                Merci à toi 😃

                  6 mois plus tard

                  Salut
                  Je viens d'avoir une galère pour renouveler mes certifs sur le vps en debian 7 (ouais je sais, debian 7.....)
                  Le dernier Cerbot ne passe plus, et histoire d'avoir 3 mois de rab pour attendre debian 10 pour mettre à jour, y'a une soluce.

                  Donc ça servira peut-être à quelqu’un d'aussi à la bourre que moi:

                  service nginx stop
cd /tmp
git clone --branch 0.30.x https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto renew --no-self-upgrade --no-bootstrap
service nginx start

                  Ex.

                  8 mois plus tard

                  Je ne comprends pas, lorsque je vais sur HTTP://IP/rutorrent/, ça fonctionne et sur HTTPS://IP/rutorrent/ j'ai une 404, des idées d'où ça pourrai venir ?