• Applications

  • [Discussion] Certificat SSL signé et gratuit avec Let's Encrypt

yo a tous
question (idiote ?) je suis obligé d'avoir mon propre domaine ?
je ne peux pas utiliser celui appartenant a OVH de mon kimsufi ?
Salut vic, si j'ai bien compris il faut juste qu'un domaine soit attribué à ton serveur. Si tu as pris un kimsufi avec un ndd fournit, c'est surement le cas. Et au pire, rien ne t'empêche d'essayer, il n'y a pas ou peu de risque de casser quelquechose sur ton serveur en faisant le tuto. (Je viens de le faire sur 2 serveurs.)
merci pour ta réponse, si je ne m'abuse tous les kimsufi on une adresse dns par défaut du genre nsxxxxxxx.ip-x.x.x.x.eu
c'est de celle-ci dont je parle.
Personne ne t'oblige à avoir ton propre domaine, mais l'utilité d'avoir son domaine, c'est les sous domaines, qui permettent par exemple de faire des vhosts
vic wrote:merci pour ta réponse, si je ne m'abuse tous les kimsufi on une adresse dns par défaut du genre nsxxxxxxx.ip-x.x.x.x.eu
c'est de celle-ci dont je parle.
Ce n'est pas un domaine c'est ton hostname par défaut + ton ip, il te faut donc un nom de domaine attribué à ton serveur si tu veux suivre ce tuto.

Pour le domaine je dirais aussi que je prefere xxxx.ovh ou .fr que XXX.XXX.XXX.XXX/truc, plus simple à taper'

Au passage, un domaine en .ovh coûte 1€20/an TTC si ça n'a pas changé.
c'est bien un nom de domaine aussi, en .eu et ça pointe bien vers mon serveur,
mais je n'en suis pas le proprio (c'est ovh qui l'est) et je ne peux pas intervenir dessus.
est ce que c’est incompatible avec l'installation du certificat ?
je suis pas sur que ca passe, après comme dit j'en sais rien
vic wrote:c'est bien un nom de domaine aussi, en .eu et ça pointe bien vers mon serveur,
mais je n'en suis pas le proprio (c'est ovh qui l'est) et je ne peux pas intervenir dessus.
est ce que c’est incompatible avec l'installation du certificat ?
Tu as parlé de quelquechose du style "nsxxxxxxx.ip-x.x.x.x.eu" qui n'est pas un nom de domaine.
Si tu as un .eu sur ton kimsufi, c'est autre chose et tu devrais pouvoir suivre ce tuto sans problème. Il n'y a pas de besoin d'accéder aux réglages du domaine.
c'est bien un nom de domaine pourtant, je ne vais pas te donner les valeurs , mais si tu as un kimsufi tu peux le vérifier par toi même.
c'est dans le mail de création et si ça n'est pas un nom de domaine je ne sais pas ce que c'est,
surtout si je peux me connecter par ce biais et si le whois est correct
vic wrote:c'est bien un nom de domaine pourtant, je ne vais pas te donner les valeurs , mais si tu as un kimsufi tu peux le vérifier par toi même.
c'est dans le mail de création et si ça n'est pas un nom de domaine je ne sais pas ce que c'est,
surtout si je peux me connecter par ce biais et si le whois est correct
Tu as peut-être un truc du style hostname."domaine".eu que tu peux écrire à la place de hostname.ip.eu et qui ressemble à un nom de domaine mais "à mon avis" c'est plus un alias qu'autre chose pour t'éviter d'écrire ton adresse ip pour accéder à ton serveur. Il y a ce style de "domaine" dans toutes les locations de serveurs que j'ai essayé. Je doute que tu aies accès à les mêmes options qu'un "vrai" nom de domaine. Après pour savoir si ça marche pour le tuto, faut essayer. 😛
c'est bien un hostame.ip.eu et le ip.eu est bien un domaine et non pas un alias (whois le confirme comme je le dis dés le départ)
et c'est bien la ma question d'origine, il y a un nom domaine qui pointe vers mon dedié, mais je n'en suis pas propriétaire ...
je ferais le test et verrais bien si ca marche
Salut,
C'est un sous-domaine fourni par défaut mais rien ne t'empêche de créer un certificat, même si tu n'as pas complètement la main dessus il pointe quand même vers ton serveur
bonjour, j'ai eu une erreur:
./certbot-auto certonly --standalone -d domaine.ovh  -d www.domaine.ovh --rsa-key-size 4096
Failed authorization procedure. www.domaine.ovh (tls-sni-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: DNS problem: NXDOMAIN looking up A for www.domaine.ovh

IMPORTANT NOTES:
 - If you lose your account credentials, you can recover through
   e-mails sent to xxxxxxxxx@protonmail.ch.
 - The following errors were reported by the server:

   Domain: www.domaine.ovh
   Type:   connection
   Detail: DNS problem: NXDOMAIN looking up A for
   www.domaine.ovh

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A record(s) for that domain
   contain(s) the right IP address. Additionally, please check that
   your computer has a publicly routable IP address and that no
   firewalls are preventing the server from communicating with the
   client. If you're using the webroot plugin, you should also verify
   that you are serving files from the webroot path you provided.
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
j'ai vérifier j'ai 3 fichiers dans le dossier: 
/etc/letsencrypt/accounts/acme-v01.api.letsencrypt.org/directory/3a7aa271f2539a9c38119e555fdb492f


Comment faut t'il procéder un peu paumé sur ce truc ?
Salut,

Comme indiqué ici : 
   Domain: www.domaine.ovh
   Type:   connection
   Detail: DNS problem: NXDOMAIN looking up A for
   www.domaine.ovh
Il semble que le nom de domaine www.domaine.ovh ne sois pas redirigé (répliqué) vers ton serveur. domaine.ovh semble lui par contre l'être.
4 jours plus tard
Bonjour,

Histoire d'éviter de faire le boulet et étant donné que mes certificats expirent mardi, je me tourne vers vous pour le renouvellement. En effet, j'ai parcouru sommairement quelques posts mais je n'ai pas trouvé vraiment ce que je cherchais.

J'ai plusieurs sous-domaines (seedbox.xxx.xxx, manager.xxx.xxx, etc) mais dans /etc/letsencrypt/live je n'ai au final que 2 certificats sauf erreur, à savoir : seedbox.xxx.xxx et welcome.xxx.xxx (le dernier que j'ai créé, un ceritifcat dédié à cet unique url).

J'aimerai savoir quelle commande passer pour pouvoir renouveler les certificats car lorsque j'ai tenté, de mémoire via un letsencrypt auto --renew, il ne m'a mis à jour aucun certificat.

Merci d'avance pour votre aide
A priori, un simple service nginx stop et letsencrypt-auto certonly en indiquant les noms des sous domaine suffit à mettre à jour les certificats. Les chemins d'accès vers les certificats restent inchangés.
Il me renvoi :
letsencrypt: error: unrecognized arguments: seedbox.xxx.xxx
J'ai essayé avec :
./letsencrypt-auto renew seedbox.xxx.xxx
et pareil

Edit : Je n'avais pas mis le -d avant le nom de domaine.

Par contre trou de mémoire, j'ai ce fameux menu, je met quoi ?

http://prntscr.com/bcbd6q
Pour le menu, tu fais un 
service nginx stop
puis standalone dans le menu
Vu, apparemment je suis tranquille jusqu'en septembre ! 🙂. Merci beaucoup à vous deux
UPDATE du tuto (notamment la partie renouvellement tout en bas)
14 jours plus tard
Hello,

Petit retour d'expérience, j'ai viré durant mon installation :
- les TLS 1 et 1.1
- les 3 premiers cipher pour ne garder que les 3 en ECDHE-RSA-AES256

Et tout fonctionne très bien.

Merci.

++
Je viens de tester mes certificats avec CryptCheck et SSL Labs mais j'ai des scores bien différents :
A+ avec SSL Labs et B avec CryptCheck. (J#ai une clé RSA de 2048 bits ce qui fait baisser mon score sur CryptCheck je pense ...)
C'est pareil pour vous ?
Un petit rajout pour ceux qui ne comprenne pas leur résultat et ainsi améliorer les scores de sécurité sur le ssl :
- tout le pb vient du cipher.conf non modifié que certain garde dans leur install
- J'en profites pour retirer les TLS 1 et 1.1 qui ne sont plus utile en compatibilité avec toutes les failles, la majorité à fini par se rendre compatible.

On stop nginx 
service nginx stop
On modifie params.conf
# nano /etc/nginx/ssl/params.conf

ssl_protocols TLSv1.2;
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-GCM-SHA384";
ssl_prefer_server_ciphers on;
ssl_ecdh_curve secp384r1;

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_session_tickets off;

add_header Strict-Transport-Security "max-age=31536000";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
Dans rutorrent.conf 
# nano /etc/nginx/sites-enabled/rutorrent.conf
On supprime la ligne 
include /etc/nginx/conf.d/ciphers.conf
On redémarre nginx 
service nginx restart
et on a un beau 100 %.de kikitoutdur sans partir sur des trucs inutile (conserver le curve384 par exemple)

++
Salut tout le monde

g un soucis avec le renouvellement d'un certificat sur mon sous domaine correspondant à mon owncloud
2016-06-06 02:02:56,247:WARNING:certbot.renewal:Attempting to renew cert from /etc/letsencrypt/renewal/cloud.vortesque.me.conf produced an unexpected error: Failed authorization procedure. cloud.vortesque.me (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://cloud.vortesque.me/.well-known/acme-challenge/5JtmFa01I2cTAiiC7jVFFjWA4EnZJBJB2BXOnOlea-g: "<!DOCTYPE html>
<!--[if lte IE 8]><html class="ng-csp ie ie8 lte9 lte8" data-placeholder-focus="false" lang="en" ><![endif]-->
<". Skipping.
1 renew failure(s), 0 parse failure(s)
une idée du chose ??
11 jours plus tard
Bonjour à vous tous !

J'utilise aussi ces certificats let's encrypt, (merci à eux), et je confirme également pour les autres demandes des pages précédentes qu'il n'est pas obligatoire de posséder un nom de domaine.

On peut très bien utiliser le nom FQDN de son serveur, soit le nom d’hôte + dns : (5 certificats maximum par semaine pour le même FQDN) 
./certbot-auto certonly --rsa-key-size 4096 --non-interactive --standalone --email admin@$(hostname --fqdn) -d $(hostname --fqdn) --agree-tos
Par contre si vous le faites avec votre nom FQDN vous pouvez êtes également sous la limite du nom de domaine de votre hébergeur (20 certificats maximum par semaine le domaine)

Par exemple avec mes VPS chez OVH j'ai ce retour d'erreur : "Too many certificates already issued for: ovh.net"
donc obligation d'acheter un nom de domaine (ou gratuit ici http://www.dot.tk) et de le faire pointer sur mon VPS


@lapinkifum
A priori soit tu as modifié ton token dans .well-known/acme-challenge/ soit tu n'as pas les droits dessus, soit il n’existe pas, ce qui t’empêche de le transmettre au serveur ACME et d'automatiser ton renouvellement.
Si tu ne peux pas renouveler tu devrais toujours pouvoir en demander un nouveau ou bien faire des tests en utilisant l'option --staging
merci je vais regarder de ce coté ...

mais ce n'est pas moi qui ai installé le truc et je suis pas sur de réussir a réparer ça
Tabernak !!

j'y arrive pas et maintenant le truc est arrivé a expiration !

finalcut wrote:.... @lapinkifum
A priori soit tu as modifié ton token dans .well-known/acme-challenge/ soit tu n'as pas les droits dessus, soit il n’existe pas, ce qui t’empêche de le transmettre au serveur ACME et d'automatiser ton renouvellement.
Si tu ne peux pas renouveler tu devrais toujours pouvoir en demander un nouveau ou bien faire des tests en utilisant l'option --staging
le soucis c'est que sous putty je n'arrive même pas à localiser .well-known/acme-challenge/

et la commande donnée dans le tuto 
service nginx stop
./certbot-auto renew
service nginx start
me retourne une erreur 
bash: ./certbot-auto: Aucun fichier ou dossier de ce type
je suis perdu
Après avoir installé tout apparaît cette erreur:

quelqu'un sait comment résoudre? Je l'ai fait tout correctement comme dans le tutoriel, et ai installé sur un autre serveur ici et ne pas avoir d'erreur.

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/seedbox08-100mbps.seedboxbr.com/fullchain.pem.
   Your cert will expire on 2016-09-30. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

root@seedbox08-100mbps:/tmp# service nginx start
Job for nginx.service failed. See 'systemctl status nginx.service' and 'journalctl -xn' for details.
root@seedbox08-100mbps:/tmp# nginx -t
nginx: [emerg] BIO_new_file("/etc/letsencrypt/live/seedbox08-100mbps.seeedboxbr.com/fullchain.pem") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/letsencrypt/live/seedbox08-100mbps.seeedboxbr.com/fullchain.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed
Allan wrote:Après avoir installé tout apparaît cette erreur:

quelqu'un sait comment résoudre? Je l'ai fait tout correctement comme dans le tutoriel, et ai installé sur un autre serveur ici et ne pas avoir d'erreur.

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/seedbox08-100mbps.seedboxbr.com/fullchain.pem.
   Your cert will expire on 2016-09-30. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

root@seedbox08-100mbps:/tmp# service nginx start
Job for nginx.service failed. See 'systemctl status nginx.service' and 'journalctl -xn' for details.
root@seedbox08-100mbps:/tmp# nginx -t
nginx: [emerg] BIO_new_file("/etc/letsencrypt/live/seedbox08-100mbps.seeedboxbr.com/fullchain.pem") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/letsencrypt/live/seedbox08-100mbps.seeedboxbr.com/fullchain.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed
T'as du ajouter un e a seedboxbr.com dans le chemin de la clé dans nginx.

t'a mis : /etc/letsencrypt/live/seedbox08-100mbps.seeedboxbr.com/fullchain.pem
alors qu'il fallait : /etc/letsencrypt/live/seedbox08-100mbps.seedboxbr.com/fullchain.pem
aktarus69 wrote:
Allan wrote:Après avoir installé tout apparaît cette erreur:

quelqu'un sait comment résoudre? Je l'ai fait tout correctement comme dans le tutoriel, et ai installé sur un autre serveur ici et ne pas avoir d'erreur.

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/seedbox08-100mbps.seedboxbr.com/fullchain.pem.
   Your cert will expire on 2016-09-30. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

root@seedbox08-100mbps:/tmp# service nginx start
Job for nginx.service failed. See 'systemctl status nginx.service' and 'journalctl -xn' for details.
root@seedbox08-100mbps:/tmp# nginx -t
nginx: [emerg] BIO_new_file("/etc/letsencrypt/live/seedbox08-100mbps.seeedboxbr.com/fullchain.pem") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/letsencrypt/live/seedbox08-100mbps.seeedboxbr.com/fullchain.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed
T'as du ajouter un e a seedboxbr.com dans le chemin de la clé dans nginx.

t'a mis : /etc/letsencrypt/live/seedbox08-100mbps.seeedboxbr.com/fullchain.pem
alors qu'il fallait : /etc/letsencrypt/live/seedbox08-100mbps.seedboxbr.com/fullchain.pem
le répertoire et les fichiers .pem existe déjà, je viens d'essayer de le faire à nouveau non sans succès.

root@seedbox08-100mbps:~# cat /etc/letsencrypt/live/seedbox08-100mbps.seedboxbr.com/
cert.pem chain.pem fullchain.pem privkey.pem
Le message est plutôt explicite. Il s'agit d'un problème de chemin d'accès. Regarde dans ton fichier de conf (nginx.conf) et les autres vhost créés.
Ou le chemin est incorrect, ou les certificats n'ont pas été générés au bon endroit.

Check aussi ton journal d'erreur qui t'indique précisément ou se situe le problème.
NOnoS wrote:Le message est plutôt explicite. Il s'agit d'un problème de chemin d'accès. Regarde dans ton fichier de conf (nginx.conf) et les autres vhost créés.
Ou le chemin est incorrect, ou les certificats n'ont pas été générés au bon endroit.

Check aussi ton journal d'erreur qui t'indique précisément ou se situe le problème.

résolu!

Il était une lettre incorrecte!

Merci pour l'aide
Hello,

Certains on deja eu le message d erreur pour le TLS sur un renouvellement ?

(tls-sni-01): urn:acme:error:connection
Bonjour
Comment utiliser ce genre de certificat avec Emby ? Ce dernier demande un .pfx
Merci pour ce tuto, au top !
Nestor wrote:Bonjour
Comment utiliser ce genre de certificat avec Emby ? Ce dernier demande un .pfx
Merci pour ce tuto, au top !
Hello,
Sous nginx, ça ne sert à rien, il te suffit de déclarer tes certifs ssl dans ton location /emby, et tu seras en https
Pas besoin de se prendre la tête
lokiii wrote: Hello,
Sous nginx, ça ne sert à rien, il te suffit de déclarer tes certifs ssl dans ton location /emby, et tu seras en https
Pas besoin de se prendre la tête 😉
Merci je n'y avais pas pensé. Pourrais tu me donner la partie concernant emby dans ton fichier .conf nginx ?
Je n'ai plus emby, je préfère largement plex perso, mais y'en a pleins partout sur le net.

Test ça (non vérifié) : 
        location / {  #change en /emby si besoin)
                # Send traffic to the backend
                proxy_pass http://domain.com:8096;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-for $proxy_add_x_forwarded_for;
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-Proto $remote_addr;
                proxy_set_header X-Forwarded-Protocol $scheme;
                proxy_redirect off;
 
                # Send websocket data to the backend aswell
                proxy_http_version 1.1;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection "upgrade";
        }
re!

probleme reglé sur le tchat avec wonderfall et lokii ... merci beaucoup