• Applications

  • [Discussion] Certificat SSL signé et gratuit avec Let's Encrypt

ok, du coup c'est quoi l'erreur ?

18 jours plus tard

Décidément, mon changement de serveur ne se passe pas aussi bien que prévu, je rencontre un problème avec Let's encrypt, en fait je remarque que mon site est inaccessible en HTTPS, et de plus lorsque je teste via un site tel que SSLLABS j'ai en retour une erreur voilà des différents éléments.

La présence du certificat :

root@PAR-179764:/etc/letsencrypt/live/www.mantyplex.ovh# ls -l
total 4
lrwxrwxrwx 1 root root  41 Jan 16 08:56 cert.pem -> ../../archive/www.mantyplex.ovh/cert1.pem
lrwxrwxrwx 1 root root  42 Jan 16 08:56 chain.pem -> ../../archive/www.mantyplex.ovh/chain1.pem
lrwxrwxrwx 1 root root  46 Jan 16 08:56 fullchain.pem -> ../../archive/www.mantyplex.ovh/fullchain1.pem
lrwxrwxrwx 1 root root  44 Jan 16 08:56 privkey.pem -> ../../archive/www.mantyplex.ovh/privkey1.pem
-rw-r--r-- 1 root root 692 Jan 16 08:56 README

Mon fichier params.conf :

ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;

    ssl_ecdh_curve secp384r1;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers "ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA";

    ssl_prefer_server_ciphers on;

    add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
    add_header X-Content-Type-Options nosniff;
    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-XSS-Protection "1; mode=block";
    add_header X-Robots-Tag none;

    ssl_stapling on;
    ssl_stapling_verify on;

    ssl_trusted_certificate /etc/letsencrypt/live/www.mantyplex.ovh/fullchain.pem;

    resolver 8.8.8.8;

Et mon fichier rutorrent.conf (partie nécessaire) :

include /etc/nginx/conf.d/log_rutorrent.conf;

server {
        listen 80 default_server;
        listen 443 default_server ssl http2;
        server_name www.mantyplex.ovh;

        index index.html index.php;
        charset utf-8;
        client_max_body_size 10M;

        ssl_certificate /etc/letsencrypt/live/www.mantyplex.ovh/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/www.mantyplex.ovh/privkey.pem;

        include /etc/nginx/conf.d/ciphers.conf;

        access_log /var/log/nginx/rutorrent-access.log combined if=$loggable;
        error_log /var/log/nginx/rutorrent-error.log error;

        error_page 500 502 503 504 /50x.html;

        auth_basic "seedbox";
        auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd";

        root /var/www;

        location = /favicon.ico {
                access_log off;
                log_not_found off;
        }

        location = /50x.html {
                root /usr/share/nginx/html;
        }

        location ~ \.php$ {
                fastcgi_index index.php;
                include /etc/nginx/fastcgi_params;
                fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
                fastcgi_pass unix:/run/php/php7.3-fpm.sock;

Si vous pouviez m'éclairer ça serait top 😉

Encore merci à vous.

Ps HS: Comment se connecter en root FTP avec OP ?

7 mois plus tard

Bonjour tout le monde.
Je suis embêté pour renouveler mon certificat depuis qques jours.
J'ai pu installer le certificat sans aucun problème il y a 3 mois sur ce même serveur sous Debian 10 en suivant scrupuleusement ce tuto.
En essayant de renouveler, je rencontre cette erreur :

root@shuttle-plex:/usr/local/bin#  ./certbot-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start"

Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/mondomaine.org.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert is due for renewal, auto-renewing...
Plugins selected: Authenticator standalone, Installer None
Running pre-hook command: service nginx stop
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for mondomaine.org
Waiting for verification...
Challenge failed for domain mondomaine.org
http-01 challenge for mondomaine.org
Cleaning up challenges
Attempting to renew cert (mondomaine.org) from /etc/letsencrypt/renewal/mondomaine.org.conf produced an unexpected error: Some challenges have failed.. Skipping.
All renewal attempts failed. The following certs could not be renewed:
  /etc/letsencrypt/live/mondomaine.org/fullchain.pem (failure)

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

All renewal attempts failed. The following certs could not be renewed:
  /etc/letsencrypt/live/mondomaine.org/fullchain.pem (failure)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Running post-hook command: service nginx start
1 renew failure(s), 0 parse failure(s)

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: mondomaine.org
   Type:   connection
   Detail: Fetching
   http://mondomaine.org/.well-known/acme-challenge/J7bxRjwUMA0PAhaIxLrTYP-uiG_U7fmoit2yAeAn-II:
   Timeout during connect (likely firewall problem)

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address. Additionally, please check that
   your computer has a publicly routable IP address and that no
   firewalls are preventing the server from communicating with the
   client. If you're using the webroot plugin, you should also verify
   that you are serving files from the webroot path you provided.

J'ai tenté pas mal de choses mais j'en reviens toujours à cette erreur.
Si quelqu'un à une idée, je suis preneur.
Merci !

    Tu as un problème de DNS soit ton domaine.org renvoi pas vers la bonne adresse. Soit les ports 80 et 443 à destination de ton shuttle-plex sont fermés ?
    Peut-être une mise à jour de certbot / letsencrypt à prévoir ?
    Il y a un plugin pour nginx qui évite le prehook posthook...

    fana hello, le domaine en question est bien accessible "publiquement" depuis le port 80 (http) ?

      Effectivement je viens de m'apercevoir que j'avais laissé une DMZ qui me foutait la zone sur le routeur.
      Merci 😉

      un mois plus tard

      Bonjour à tous,
      Je débute tout juste avec mon serveur dédié mais j'ai quand même pu installer le certificat sans aucun problème le 07/07/2020 sur mon serveur (Debian 9) en suivant scrupuleusement ce tutoriel.
      Aujourd'hui je souhaiterais renouveler mon certificat mais je suis perdu 😅
      J'ai essayé le renouvellement en arrêtant nginx, en exécutant la commande ./certbot-auto renew puis en redémarrant nginx mais quand je vérifie mon certificat dans Chrome, ce dernier expire toujours au 05/10/2020.
      Du coup j'aurais grand besoin de votre aide.
      Merci d'avance à ceux qui pourront me dépanner 😃

      Edit : En fait c'est tout bon, c'était le cache de Google Chrome qui n'était pas à jour. Le certificat est bien valable jusqu'au 20/12/2020.

      2 mois plus tard

      Bonjour petite question, j'ai un certificat let' encrypt sur ma seedbox et je souhaiterai savoir si quelqu'un a déjà :

      • tenté de rajouter un sous domaine?
      • utiliser un de ses sous domaine pour renvoyer vers une autre IP (un autre serveur)?

      En gros j'ai une box domotique, une jeedom, et j'ai ajouté un sous domaine à mon domaine existant et je voulais utiliser le certificat de mon domaine principal pour "certifier" aussi mon nouveau sous domaine (si j'arrive à le créer) sur une autre machine.

      Je ne sais même pas si c'est possible

      A+

        gormson ou tu fais un certificat avec un wildcard ( peu recommandé ) ou bien tu fais un nouveau certificat pour ton sous domaine ?!

          8 mois plus tard

          Bonjour à tous,
          Je me permets de déterrer ce topic car je souhaiterais renouveler le certificat de mon serveur mais je n'y arrive pas.
          Jusqu'à présent je me connecté en SSH (root) et je me plaçais dans le répertoire /tmp pour exécuter les 3 lignes de commande suivantes :
          service nginx stop
          ./certbot-auto renew
          service nginx start
          Sauf que quand j'exécute la commande ./certbot-auto renew, j'obtiens le messsage "No such file or Directory" 😔
          J'ai réussi à installé le package certbot via la commande apt-get install certbot mais ensuite je ne sais pas du tout quoi faire.
          Un grand merci d'avance à ceux qui pourront m'éclairer 😊

          Edit : J'ai finalement réussi à renouveler mon certificat après avoir installer le package certbot et exécuter la commande certbot renew.

          2 mois plus tard

          Hello, aujourd'hui j'ai eu une erreur de certificat en voulant me connecter à ma seedbox rutorrent. Je suis encore sous Debian 9, et j'ai vu que certbot-auto était obsolète, j'ai donc voulu installer la nouvelle version certbot en utilisant snapd, seulement en suivant les directives, j'obtiens une erreur exit status 32 lorsque j'essaie d'installer snap core.
          Je ne sais pas si quelqu'un a déjà eu ce problème mais je n'ai pas vraiment trouvé de solution pour le moment. J'ai donc désinstallé snapd pour mettre le script letsencrypt-auto indiqué plus haut par ex_rat (en 2019...).
          J'ai aussi remarqué que je ne recevais plus les emails me demandant de renouveler le certificat depuis février mais je ne sais pas pourquoi.
          Est-ce que vous auriez une solution?

          Bonjour à tous,

          Cela fait un moment que je bloque sur un renouvellement. Je suis sous Debian 10 j'ai installé la nouvelle version de cerbot et depuis j'ai une erreur 'utf-8' bien que mon ngnix démarre sans ssl.

          An unexpected error occurred:
          UnicodeDecodeError: 'utf-8' codec can't decode byte 0xe9 in position 133: invalid continuation          byte`

          Si l'un d'entre vous pouvait m'aider. Merci

          Répondre…