• Applications

  • [Discussion] Certificat SSL signé et gratuit avec Let's Encrypt

Bonjour,

Je me retrouve bien embêté sans comprendre pourquoi :

J'utilise Let's Encrypt depuis quelques temps et pas de soucis à l'horizon.
Il y a un mois, en prévision de la fin de période de 90j, j'ai renouvellé le certif avec succès (en apparence)
Aujourd'hui, mes sites m'envoient chier en me disant que le certificat n'est pas valide.

J'ai regardé en page 4 et comme dit Ex_Rat, j'ai effectivement un xxx.domaine.tlk-000x
J'ai modifié le vhost d'un de mes sous domaines pour pointer vers cette adresse mais même après un nginx restart, le sous domaine en question m'envoi toujours bouler.

Je dois refaire une procédure de renouvellement ?

Edit : En refaisant un renew c'est passé, mais je suis surpris
25 jours plus tard
lapinkifum wrote:re!

probleme reglé sur le tchat avec wonderfall et lokii ... merci beaucoup
Salut

et tu as fais comment?

ça aurait été sympa de nous mettre la marche à suivre.

Bonne journée
superritou wrote:
lapinkifum wrote:re!

probleme reglé sur le tchat avec wonderfall et lokii ... merci beaucoup
Salut

et tu as fais comment?

ça aurait été sympa de nous mettre la marche à suivre.

Bonne journée
Ben en fait j'ai pas mis la marche à suivre car pas très élégante et un peu frontale !!

j'ai tout simplement refait le tuto depuis le début par dessus l'install existante !! .... un peu frontal quoi !! ^^
Salut

je viens d'essayé ce tuto et ça fonctionne, à partir du paragraphe 3.

Sinon une autre technique beaucoup plus simple à mettre en place, c'est de mettre ceci dans rutorrent.conf
	
#nano /etc/nginx/sites-enabled/rutorrent.conf

##debut config emby##
	   
	   	location ^~ /emby {

        proxy_set_header Origin https://$host;
        proxy_pass https://localhost:8920;
        proxy_redirect off;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_read_timeout 36000s; ## Timeout after 10 hours
       }

	##fin config emby##
puis un petit redémarrage de nginx
service nginx restart
Ensuite il faut passer par cette url https://NDD/emby pour accéder à Emby

Bonne soirée
5 jours plus tard
Le script du tuto, c'est cerbot mais pas installé non ?
7 jours plus tard
Pour info pour créé un certificat en standalone impossible de faire ca en 443 avec utilisé par défaut (ou --standalone-supported-challenges tls-sni-0)

j'ai du faire le challenge en 80 avec cette méthode :
./certbot-auto certonly --standalone-supported-challenges http-01 --rsa-key-size 4096
12 jours plus tard
Tu fais la même manip que pour les autres, LE ne gérant pas le wild-card
oki merci

Edit 17:01 : Tuto refait depuis le début: LE m'a dit que j'avais déjà un certificat en cours et m'a demandé si je voulais y rajouter quelque chose ..... j'ai dit oui ^^
9 jours plus tard
Petit soucis en voulant redémarrer nginx

nano /etc/nginx/conf.d/cache.conf
location ~* \.(jpg|jpeg|gif|css|png|js|woff|ttf|svg|eot)$ {
        expires 30d;
        access_log off;
                                        }

location ~* \.(eot|ttf|woff|svg)$ {
        add_header Acccess-Control-Allow-Origin *;
                                        }

root@Cyprius:/etc/letsencrypt/live/cyprius.fr# nginx -t
nginx: [emerg] "location" directive is not allowed here in /etc/nginx/conf.d/cache.conf:1
nginx: configuration file /etc/nginx/nginx.conf test failed
Une idée? Mille merci !!
19 jours plus tard
Marche po la derniere version du tuto au niveau du params.conf
Bonjour à tous,

J'ai aussi un souci avec le params.conf.

j'ai 
● nginx.service - LSB: Stop/start nginx
   Loaded: loaded (/etc/init.d/nginx)
   Active: failed (Result: exit-code) since Thu 2016-09-22 13:14:27 CEST; 5s ago
  Process: 23006 ExecStart=/etc/init.d/nginx start (code=exited, status=1/FAILURE)

Sep 22 13:14:27 monserveur nginx[23006]: nginx: [emerg] unexpected end of file, expecting ";" or "}" in /etc/nginx/ssl/params.conf:23
Sep 22 13:14:27 monserveur systemd[1]: nginx.service: control process exited, code=exited status=1
Sep 22 13:14:27 monserveur systemd[1]: Failed to start LSB: Stop/start nginx.
Sep 22 13:14:27 monserveur systemd[1]: Unit nginx.service entered failed state.
et mon fichier de params c'est 
ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;

    ssl_ecdh_curve secp384r1;

    ssl_protocols TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:EC$
    ssl_prefer_server_ciphers on;

    add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
    add_header X-Content-Type-Options nosniff;
    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-XSS-Protection "1; mode=block";
    add_header X-Robots-Tag none;

    ssl_stapling on;
    ssl_stapling_verify on;

    ssl_trusted_certificate /etc/letsencrypt/live/domain.tld/fullchain.pem;

    resolver 8.8.8.8;
www.monserveur.com etant mon nom de domaine bien sur.

Je ne vois pas du tout d'où le problème peut venir.
est-ce que quelqu'un pourrait m'aider ?
Parce que là, mon dédié est bloqué puisque Nginx n'est pas content.

Je vous remercies d'avance,
Arcenik
J'ai vérifié, le ssl_ciphers c'est le même, c'était un problème de copier/coller que j'ai corrigé dans mon post initial. Et le premier bout de code n'était pas complet non plus, c'est aussi corrigé.

une autre idée ?
Il me semble que Jede a modifié le tuto récemment notamment params.conf et qu'il a loupé le copier coller.
Arf zut,

Je vais attendre une correction alors.

merci.
11 jours plus tard
Bonjour,

Je suis en train de migrer mon serveur de Kimsufi à Online.

J'ai voulu refaire un certificat avec un domaine différent du kimsufi sur mon nouveau serveur Online.

J'ai une erreur que je n'arrive pas à résoudre lors de la commande : 
./certbot-auto certonly --standalone --rsa-key-size 4096
L'erreur est : 
Requirement already satisfied (use --upgrade to upgrade): setuptools>=1.0 in /root/.local/share/letsencrypt/lib/python2.7/site-packages (from cryptography==1.2.3->-r /tmp/tmp.XVFQomipQT/letsencrypt-auto-requirements.txt (line 35))
THESE PACKAGES DO NOT MATCH THE HASHES FROM THE REQUIREMENTS FILE. If you have updated the package versions, please update the hashes. Otherwise, examine the package contents carefully; someone may have tampered with them.
    pycparser==2.14 from https://pypi.python.org/packages/74/0e/111a4349e81e2a9846129e0357e154b496559799ec34a6b27bc677247bfa/pycparser-2.14-py2.py3-none-any.whl#md5=130e8dc5b640d9339ee4056da0cdc73a (from -r /tmp/tmp.XVFQomipQT/letsencrypt-auto-requirements.txt (line 11)):
        Expected sha256 7959b4a74abdc27b312fed1c21e6caf9309ce0b29ea86b591fd2e99ecdf27f73
             Got        52bcedd9180999fc7f3128b4b89ce638ffc0ffcbd136873379d5a37e4f9e7932

You are using pip version 8.0.3, however version 8.1.2 is available.
You should consider upgrading via the 'pip install --upgrade pip' command.
J'ai tenté la commande pip install --upgrade pip et j'ai ce résultat : 
Requirement already up-to-date: pip in /usr/local/lib/python2.7/dist-packages
Je suis sur installe fresh Debian jessie avec le script seedbox bonobo et plex d'installé.

Si avez des idées pour débloquer cela svp.

Merci
Il y a un problème avec la dépendance pycparser .
Les dev sont au courant, un fix devrait arriver rapidement.

Edit: apparemment ça vient tout juste d'être corrigé.
Tu peux réessayer et me confirmer ?
Re,

Effectivement problème résolu

Merci !
Parfait, j'ai eu le même souci ce matin, je vais pouvoir générer tout ça ce soir
7 jours plus tard
Bonjour à tous,

si j'ai bien compris pour renouveler le certificat il suffit ce lancer ces commandes ? :
service nginx stop
./certbot-auto renew
service nginx start
Merci à vous.
Merci pour ta réponse, mais chez moi bien que let's encrypt est installé et bien fonctionnel grace à ce tuto, la commande me retourne une erreur : 
-bash: ./certbot-auto: Aucun fichier ou dossier de ce type
Merci à vous.

++
Tu as installé certbot ou LetsEncrypt ? Parce que ce n'est pas la même chose, le 1er est une évolution du 2nd.
Tu n'es pas ou plus dans le dossier qui contient certbot-auto (il s'agit du dossier /tmp d'après ce tuto) ou tu l'as supprimé (ou le système a vidé /tmp).

Tente de refaire d'abord les 1ères étapes du tuto : 
service nginx stop

apt-get update && apt-get upgrade

cd /tmp
wget https://dl.eff.org/certbot-auto
chmod a+x ./certbot-auto
./certbot-auto --help all
./certbot-auto renew
service nginx start
Merci à vous, Spider voilà le retour des commandes que tu m'as donné :
Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/www.ndd.com.conf
-------------------------------------------------------------------------------
Cert not yet due for renewal

The following certs are not due for renewal yet:
  /etc/letsencrypt/live/www.ndd.com/fullchain.pem (skipped)
No renewals were attempted.
Est ce bon ?
Autre question comment connaitre le nombre de jours restant ?
14 jours plus tard
Bonjour, j'ai un problème avec les certificats ssl certbot , http://prntscr.com/czcqd2, quand j'ai voulu crée d'autre certificat pour un autre nom de domaine, mon site site principale à complètement planter. J'ai supprimer tous les certificat présent, puis réinstaller nginx + certbot mais rien à faire il veux toujours pas du ssl, j'ai aucune erreur au niveau de nginx. Une personne aurais un idée de ce problème ?

Merci d'avance
Yop,
- Comment as-tu créer tes nouveaux certifs ?
- Tu as fait quoi des anciens ? (ceux dans /etc/letsencrypt/live/<ton_domain>)
- Tu as mis quoi dans tes vhosts ?
- Tu as quoi comme conf SSL appelés par tes vhosts ?
lokiii wrote:Yop,
- Comment as-tu créer tes nouveaux certifs ?
- Tu as fait quoi des anciens ? (ceux dans /etc/letsencrypt/live/<ton_domain>)
- Tu as mis quoi dans tes vhosts ?
- Tu as quoi comme conf SSL appelés par tes vhosts ?
J'ai crée mes certificats via la commande 
./certbot-auto certonly --standalone --rsa-key-size 4096
J'ai supprimer le dossier letsencrypt ( je pense que j'aurais pas du le faire) puis après j'ai recrée mes certificats
Ensuite j'ai mis ces deux ligne dans le bloc serveur 443 
    ssl_certificate /etc/letsencrypt/live/www.votresite.fr/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/www.votresite.fr/privkey.pem;
Tu as évidemment remplacer www.votresite.fr par ton vrai nom de domaine ? (c'est pas du troll, des fois en allant vite, on zap des trucs )

Perso, sur mon serv, j'ai déposé le binaire certbot dans /usr/bin et je me suis mis un alias dans mon .bashrc comme ça :
 alias certbot='cd /usr/bin && ./certbot-auto certonly --standalone --rsa-key-size 4096 --agree-tos --email ton_mail@blabla.Com --domains'
Ensuite, dès que je veux me créé un nouveau certifs, je fais juste :
 certbot nom_du_domaine_ou_subdomain.fr
Et ensuite, y'a plus qu'à déclarer les deux lignes dans le vhost comme tu as fait :
   ssl_certificate /etc/letsencrypt/live/<nom_que_tu_mis_dans_la_commande_certbot>/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/<nom_que_tu_mis_dans_la_commande_certbot>/privkey.pem;
Tu voudrais test comme ça peut être ?
Oui mdr j'ai quand même remplacer le nom ^^ c'est pas la première fois que j'utilise let's encrypt mais la c'est la première fois que je bloque sur l'installation d'un certificat, j'essayerais demain car j'ai utilisé trop de fois la commande je peux plus la lancer
Tu nous tiendras au courant, une bonne nuit de sommeil ça peut aider aussi des fois
Courage 😛

PS: t avais peut être dépassé le quota par semaine, par mois, par NDD ?
Oui pas de soucis, oui par semaine ^^ donc je vais attendre mdr, en plus je peux pas trop couper le site car y'a pas mal de gens qui l'utilise. Oui une bonne nuit sa fera pas de mal

Problème résolu
7 jours plus tard
un mois plus tard

Bonjour,
j'ai suivi le tuto à la lettre mais lorsque je tente de relancer ngnix j'obtiens ce message : "Job for nginx.service failed. See 'systemctl status nginx.service' and 'journalctl -xn' for details.".
Auriez vous une idée de mon erreur ?

Salut

tape ça
systemctl status nginx.service
et colle le résultat