Pour ce tuto : http://mondedie.fr/d/7414/1

Jedediah wrote: • Les domaines pour lesquels vous souhaitez générer le certificat (en général www.votresite.fr et votresite.fr On ne peut pas mettre n'importe quoi il me semble. Il est indiquer dans le mail les domaines possibles. Sinon merci

Merci pour le tuto, J'ai pas du tous suivis l'affaire, mais y'a t'il une date de sortie de prévu ?

Arthur_ wrote: Jedediah wrote: • Les domaines pour lesquels vous souhaitez générer le certificat (en général www.votresite.fr et votresite.fr On ne peut pas mettre n'importe quoi il me semble. Il est indiquer dans le mail les domaines possibles. Sinon merci 🙂 Je cite le tuto : Attention : Let's Encrypt est pour le moment en phase de beta fermée. Il faut au préalable s'inscrire à cette beta avant de voir son nom de domaine white-listé pour la génération de certificat.

Si m'es souvenir sont bon lors de "l'inscription" a la beta tu rentre juste ton nom de domaine. ex : domaine.fr Dans le mail qu'il t'envoie il est écrit : "your whitelisted domaines are: www.domaine.fr / domaine.fr" Donc pour moi tu n'a pas le choix. Tu ne peut donc pas faire webmail.domaine.fr

Oui c'est exactement ce que je veux dire par la phrase extraite du tuto.

Hello a la sortie de la version stable/finale de Let's Encrypt on aura le droit de demander un certificat wildcard genre : *.domaine.tld Ou il faudra un certificat différent pour chaque sous domaine ?

En tout cas vivement ça sortie officielle qu'on puisse tous en profiter

Oxynux wrote: Hello a la sortie de la version stable/finale de Let's Encrypt on aura le droit de demander un certificat wildcard genre : *.domaine.tld Ou il faudra un certificat différent pour chaque sous domaine ? Il n'y a pas de wilcard de prévu pour l'instant et je crois que c'est pas au programme donc génération de certif pour chaque sous domaine. Ex.

Pas forcément, il est prévu que les certificats soient valables pour du multi-domaines, ce qui reste intéressant.

[Discussion] Certificat SSL signé et gratuit avec Let's Encrypt : Page 11

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] Certificat SSL signé et gratuit avec Let's Encrypt

Oppenheimer

Bonjour,

Je me retrouve bien embêté sans comprendre pourquoi :

J'utilise Let's Encrypt depuis quelques temps et pas de soucis à l'horizon.
Il y a un mois, en prévision de la fin de période de 90j, j'ai renouvellé le certif avec succès (en apparence)
Aujourd'hui, mes sites m'envoient chier en me disant que le certificat n'est pas valide.

J'ai regardé en page 4 et comme dit Ex_Rat, j'ai effectivement un xxx.domaine.tlk-000x
J'ai modifié le vhost d'un de mes sous domaines pour pointer vers cette adresse mais même après un nginx restart, le sous domaine en question m'envoi toujours bouler.

Je dois refaire une procédure de renouvellement ?

Edit : En refaisant un renew c'est passé, mais je suis surpris

superritou

lapinkifum wrote:re!

probleme reglé sur le tchat avec wonderfall et lokii ... merci beaucoup

Salut

et tu as fais comment?

ça aurait été sympa de nous mettre la marche à suivre.

Bonne journée

lapinkifum

superritou wrote:
lapinkifum wrote:re!

probleme reglé sur le tchat avec wonderfall et lokii ... merci beaucoup
Salut

et tu as fais comment?

ça aurait été sympa de nous mettre la marche à suivre.

Bonne journée

Ben en fait j'ai pas mis la marche à suivre car pas très élégante et un peu frontale !!

j'ai tout simplement refait le tuto depuis le début par dessus l'install existante !! .... un peu frontal quoi !! ^^

superritou

Salut

je viens d'essayé ce tuto et ça fonctionne, à partir du paragraphe 3.

Sinon une autre technique beaucoup plus simple à mettre en place, c'est de mettre ceci dans rutorrent.conf

	
#nano /etc/nginx/sites-enabled/rutorrent.conf

##debut config emby##
	   
	   	location ^~ /emby {

        proxy_set_header Origin https://$host;
        proxy_pass https://localhost:8920;
        proxy_redirect off;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_read_timeout 36000s; ## Timeout after 10 hours
       }

	##fin config emby##

puis un petit redémarrage de nginx

service nginx restart

Ensuite il faut passer par cette url https://NDD/emby pour accéder à Emby

Bonne soirée

lilivier

Salut,

Quelqu'un a déjà essayé la génération des certificats Let's Encrypt via certbot ?
Ca a l'air ultra simple et ça inclut le renouvellement automatique

: https://certbot.eff.org/#debianjessie-nginx

Taguy

Le script du tuto, c'est cerbot mais pas installé non ?

Baptbapt0

Pour info pour créé un certificat en standalone impossible de faire ca en 443 avec utilisé par défaut (ou --standalone-supported-challenges tls-sni-0)

j'ai du faire le challenge en 80 avec cette méthode :

./certbot-auto certonly --standalone-supported-challenges http-01 --rsa-key-size 4096

lapinkifum

petite question ... comment rajouter un sous domaine au certificat ssl en cours ???

j'ai déjà https://mondomaine.tld , https://owncloud.mondomaine.tld

je voudrais rajouter https://phpmyadmin.mondomaine.tld

c'est possible ou faut il refaire le truc depuis le début ?

Aerya

Tu fais la même manip que pour les autres, LE ne gérant pas le wild-card

lapinkifum

oki merci

Edit 17:01 : Tuto refait depuis le début: LE m'a dit que j'avais déjà un certificat en cours et m'a demandé si je voulais y rajouter quelque chose ..... j'ai dit oui ^^

setsuneh

Petit soucis en voulant redémarrer nginx

nano /etc/nginx/conf.d/cache.conf

location ~* \.(jpg|jpeg|gif|css|png|js|woff|ttf|svg|eot)$ {
        expires 30d;
        access_log off;
                                        }

location ~* \.(eot|ttf|woff|svg)$ {
        add_header Acccess-Control-Allow-Origin *;
                                        }

root@Cyprius:/etc/letsencrypt/live/cyprius.fr# nginx -t
nginx: [emerg] "location" directive is not allowed here in /etc/nginx/conf.d/cache.conf:1
nginx: configuration file /etc/nginx/nginx.conf test failed

Une idée? Mille merci !!

kolgate

Marche po la derniere version du tuto au niveau du params.conf

arcenik

Bonjour à tous,

J'ai aussi un souci avec le params.conf.

j'ai

● nginx.service - LSB: Stop/start nginx
   Loaded: loaded (/etc/init.d/nginx)
   Active: failed (Result: exit-code) since Thu 2016-09-22 13:14:27 CEST; 5s ago
  Process: 23006 ExecStart=/etc/init.d/nginx start (code=exited, status=1/FAILURE)

Sep 22 13:14:27 monserveur nginx[23006]: nginx: [emerg] unexpected end of file, expecting ";" or "}" in /etc/nginx/ssl/params.conf:23
Sep 22 13:14:27 monserveur systemd[1]: nginx.service: control process exited, code=exited status=1
Sep 22 13:14:27 monserveur systemd[1]: Failed to start LSB: Stop/start nginx.
Sep 22 13:14:27 monserveur systemd[1]: Unit nginx.service entered failed state.

et mon fichier de params c'est

ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;

    ssl_ecdh_curve secp384r1;

    ssl_protocols TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:EC$
    ssl_prefer_server_ciphers on;

    add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
    add_header X-Content-Type-Options nosniff;
    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-XSS-Protection "1; mode=block";
    add_header X-Robots-Tag none;

    ssl_stapling on;
    ssl_stapling_verify on;

    ssl_trusted_certificate /etc/letsencrypt/live/domain.tld/fullchain.pem;

    resolver 8.8.8.8;

www.monserveur.com etant mon nom de domaine bien sur.

Je ne vois pas du tout d'où le problème peut venir.
est-ce que quelqu'un pourrait m'aider ?
Parce que là, mon dédié est bloqué puisque Nginx n'est pas content.

Je vous remercies d'avance,
Arcenik

xavier

Salut.

On dirait qu'il te manque une partie du fichier.
Par exemple le ssl_ciphers est pas pareil que le tuto https://mondedie.fr/d/7414

Cordialement

arcenik

J'ai vérifié, le ssl_ciphers c'est le même, c'était un problème de copier/coller que j'ai corrigé dans mon post initial. Et le premier bout de code n'était pas complet non plus, c'est aussi corrigé.

une autre idée ?

kolgate

Il me semble que Jede a modifié le tuto récemment notamment params.conf et qu'il a loupé le copier coller.

arcenik

Arf zut,

Je vais attendre une correction alors.

merci.

Jedediah

C'est corrigé

arcenik

Whooot super Jede, merci bien.

flux60600

Bonjour,

Je suis en train de migrer mon serveur de Kimsufi à Online.

J'ai voulu refaire un certificat avec un domaine différent du kimsufi sur mon nouveau serveur Online.

J'ai une erreur que je n'arrive pas à résoudre lors de la commande :

./certbot-auto certonly --standalone --rsa-key-size 4096

L'erreur est :

Requirement already satisfied (use --upgrade to upgrade): setuptools>=1.0 in /root/.local/share/letsencrypt/lib/python2.7/site-packages (from cryptography==1.2.3->-r /tmp/tmp.XVFQomipQT/letsencrypt-auto-requirements.txt (line 35))
THESE PACKAGES DO NOT MATCH THE HASHES FROM THE REQUIREMENTS FILE. If you have updated the package versions, please update the hashes. Otherwise, examine the package contents carefully; someone may have tampered with them.
    pycparser==2.14 from https://pypi.python.org/packages/74/0e/111a4349e81e2a9846129e0357e154b496559799ec34a6b27bc677247bfa/pycparser-2.14-py2.py3-none-any.whl#md5=130e8dc5b640d9339ee4056da0cdc73a (from -r /tmp/tmp.XVFQomipQT/letsencrypt-auto-requirements.txt (line 11)):
        Expected sha256 7959b4a74abdc27b312fed1c21e6caf9309ce0b29ea86b591fd2e99ecdf27f73
             Got        52bcedd9180999fc7f3128b4b89ce638ffc0ffcbd136873379d5a37e4f9e7932

You are using pip version 8.0.3, however version 8.1.2 is available.
You should consider upgrading via the 'pip install --upgrade pip' command.

J'ai tenté la commande pip install --upgrade pip et j'ai ce résultat :

Requirement already up-to-date: pip in /usr/local/lib/python2.7/dist-packages

Je suis sur installe fresh Debian jessie avec le script seedbox bonobo et plex d'installé.

Si avez des idées pour débloquer cela svp.

Merci

« Page précédente Page suivante »