• Applications

  • [Discussion] Certificat SSL signé et gratuit avec Let's Encrypt

Bonjour,

Je me retrouve bien embêté sans comprendre pourquoi :

J'utilise Let's Encrypt depuis quelques temps et pas de soucis à l'horizon.
Il y a un mois, en prévision de la fin de période de 90j, j'ai renouvellé le certif avec succès (en apparence)
Aujourd'hui, mes sites m'envoient chier en me disant que le certificat n'est pas valide.

J'ai regardé en page 4 et comme dit Ex_Rat, j'ai effectivement un xxx.domaine.tlk-000x
J'ai modifié le vhost d'un de mes sous domaines pour pointer vers cette adresse mais même après un nginx restart, le sous domaine en question m'envoi toujours bouler.

Je dois refaire une procédure de renouvellement ?

Edit : En refaisant un renew c'est passé, mais je suis surpris
25 jours plus tard
lapinkifum wrote:re!

probleme reglé sur le tchat avec wonderfall et lokii ... merci beaucoup
Salut

et tu as fais comment?

ça aurait été sympa de nous mettre la marche à suivre.

Bonne journée
superritou wrote:
lapinkifum wrote:re!

probleme reglé sur le tchat avec wonderfall et lokii ... merci beaucoup
Salut

et tu as fais comment?

ça aurait été sympa de nous mettre la marche à suivre.

Bonne journée
Ben en fait j'ai pas mis la marche à suivre car pas très élégante et un peu frontale !!

j'ai tout simplement refait le tuto depuis le début par dessus l'install existante !! .... un peu frontal quoi !! ^^
Salut

je viens d'essayé ce tuto et ça fonctionne, à partir du paragraphe 3.

Sinon une autre technique beaucoup plus simple à mettre en place, c'est de mettre ceci dans rutorrent.conf
	
#nano /etc/nginx/sites-enabled/rutorrent.conf

##debut config emby##
	   
	   	location ^~ /emby {

        proxy_set_header Origin https://$host;
        proxy_pass https://localhost:8920;
        proxy_redirect off;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_read_timeout 36000s; ## Timeout after 10 hours
       }

	##fin config emby##
puis un petit redémarrage de nginx
service nginx restart
Ensuite il faut passer par cette url https://NDD/emby pour accéder à Emby

Bonne soirée
5 jours plus tard
Le script du tuto, c'est cerbot mais pas installé non ?
7 jours plus tard
Pour info pour créé un certificat en standalone impossible de faire ca en 443 avec utilisé par défaut (ou --standalone-supported-challenges tls-sni-0)

j'ai du faire le challenge en 80 avec cette méthode :
./certbot-auto certonly --standalone-supported-challenges http-01 --rsa-key-size 4096
12 jours plus tard
Tu fais la même manip que pour les autres, LE ne gérant pas le wild-card
oki merci

Edit 17:01 : Tuto refait depuis le début: LE m'a dit que j'avais déjà un certificat en cours et m'a demandé si je voulais y rajouter quelque chose ..... j'ai dit oui ^^
9 jours plus tard
Petit soucis en voulant redémarrer nginx

nano /etc/nginx/conf.d/cache.conf
location ~* \.(jpg|jpeg|gif|css|png|js|woff|ttf|svg|eot)$ {
        expires 30d;
        access_log off;
                                        }

location ~* \.(eot|ttf|woff|svg)$ {
        add_header Acccess-Control-Allow-Origin *;
                                        }

root@Cyprius:/etc/letsencrypt/live/cyprius.fr# nginx -t
nginx: [emerg] "location" directive is not allowed here in /etc/nginx/conf.d/cache.conf:1
nginx: configuration file /etc/nginx/nginx.conf test failed
Une idée? Mille merci !!
19 jours plus tard
Marche po la derniere version du tuto au niveau du params.conf
Bonjour à tous,

J'ai aussi un souci avec le params.conf.

j'ai 
● nginx.service - LSB: Stop/start nginx
   Loaded: loaded (/etc/init.d/nginx)
   Active: failed (Result: exit-code) since Thu 2016-09-22 13:14:27 CEST; 5s ago
  Process: 23006 ExecStart=/etc/init.d/nginx start (code=exited, status=1/FAILURE)

Sep 22 13:14:27 monserveur nginx[23006]: nginx: [emerg] unexpected end of file, expecting ";" or "}" in /etc/nginx/ssl/params.conf:23
Sep 22 13:14:27 monserveur systemd[1]: nginx.service: control process exited, code=exited status=1
Sep 22 13:14:27 monserveur systemd[1]: Failed to start LSB: Stop/start nginx.
Sep 22 13:14:27 monserveur systemd[1]: Unit nginx.service entered failed state.
et mon fichier de params c'est 
ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;

    ssl_ecdh_curve secp384r1;

    ssl_protocols TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:EC$
    ssl_prefer_server_ciphers on;

    add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
    add_header X-Content-Type-Options nosniff;
    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-XSS-Protection "1; mode=block";
    add_header X-Robots-Tag none;

    ssl_stapling on;
    ssl_stapling_verify on;

    ssl_trusted_certificate /etc/letsencrypt/live/domain.tld/fullchain.pem;

    resolver 8.8.8.8;
www.monserveur.com etant mon nom de domaine bien sur.

Je ne vois pas du tout d'où le problème peut venir.
est-ce que quelqu'un pourrait m'aider ?
Parce que là, mon dédié est bloqué puisque Nginx n'est pas content.

Je vous remercies d'avance,
Arcenik
J'ai vérifié, le ssl_ciphers c'est le même, c'était un problème de copier/coller que j'ai corrigé dans mon post initial. Et le premier bout de code n'était pas complet non plus, c'est aussi corrigé.

une autre idée ?
Il me semble que Jede a modifié le tuto récemment notamment params.conf et qu'il a loupé le copier coller.
Arf zut,

Je vais attendre une correction alors.

merci.
11 jours plus tard
Bonjour,

Je suis en train de migrer mon serveur de Kimsufi à Online.

J'ai voulu refaire un certificat avec un domaine différent du kimsufi sur mon nouveau serveur Online.

J'ai une erreur que je n'arrive pas à résoudre lors de la commande : 
./certbot-auto certonly --standalone --rsa-key-size 4096
L'erreur est : 
Requirement already satisfied (use --upgrade to upgrade): setuptools>=1.0 in /root/.local/share/letsencrypt/lib/python2.7/site-packages (from cryptography==1.2.3->-r /tmp/tmp.XVFQomipQT/letsencrypt-auto-requirements.txt (line 35))
THESE PACKAGES DO NOT MATCH THE HASHES FROM THE REQUIREMENTS FILE. If you have updated the package versions, please update the hashes. Otherwise, examine the package contents carefully; someone may have tampered with them.
    pycparser==2.14 from https://pypi.python.org/packages/74/0e/111a4349e81e2a9846129e0357e154b496559799ec34a6b27bc677247bfa/pycparser-2.14-py2.py3-none-any.whl#md5=130e8dc5b640d9339ee4056da0cdc73a (from -r /tmp/tmp.XVFQomipQT/letsencrypt-auto-requirements.txt (line 11)):
        Expected sha256 7959b4a74abdc27b312fed1c21e6caf9309ce0b29ea86b591fd2e99ecdf27f73
             Got        52bcedd9180999fc7f3128b4b89ce638ffc0ffcbd136873379d5a37e4f9e7932

You are using pip version 8.0.3, however version 8.1.2 is available.
You should consider upgrading via the 'pip install --upgrade pip' command.
J'ai tenté la commande pip install --upgrade pip et j'ai ce résultat : 
Requirement already up-to-date: pip in /usr/local/lib/python2.7/dist-packages
Je suis sur installe fresh Debian jessie avec le script seedbox bonobo et plex d'installé.

Si avez des idées pour débloquer cela svp.

Merci