[Discussion] Certificat SSL signé et gratuit avec Let's Encrypt

kris06800 · 14 déc. 2016

@xavier je veux bien faire un bureau distant ce soir car là je trouve pas ...

Nebukad · 14 déc. 2016

Si vous avez fait une mise à jour de nginx, il se peut que le module scgi soit désactivé ou supprimé.
Postez le résultat d'un nginx -V pour vérifier la présence d'un --without-http_scgi_module

kris06800 · 14 déc. 2016

@Nebukad voici le resultat de nginx -V
https://paste.mondedie.fr/?736194e73b708e89#LgGCZyqdjAyPgVyXph6143ez9oxyx3CvBjLI+CmkLX0=

Nebukad · 14 déc. 2016

Ca confirme bien ce que je pensais. Il y a du y avoir une mise à jour de Nginx qui désactive le module scgi. Tu as ça dans ta conf vers la fin :

--without-http_scgi_module

J'avais eu le même soucis quand j'avais compiler Nginx avec la dernière version et surtout openssl 1.10

J'avais résolu le soucis en enlevant la ligne lors de la compil

kris06800 · 14 déc. 2016

@Nebukad et je fais comment pour faire sa STP ?

arckosfr · 14 déc. 2016

Deja il faut savoir la version de nginx que tu as d'installé

Nebukad · 14 déc. 2016

Oui, et ce que tu as fais, car par défaut le module est présent.

Moi j'avais recompilé nginx en enlevant la ligne qui désactivait le module

arckosfr · 14 déc. 2016

Nebukad a moins que maintenant nginx distribue la version stable avec le module désactivé...
perso la mainline la toujours

Nebukad · 14 déc. 2016

arckosfr Oui exactement. J'utilise le script d' @Angristan que j'ai ré-adapté à mes besoins et lui désactivait le module.

ex_rat · 14 déc. 2016

Je viens de faire une install du script qui est sur stable et pas de soucis.
Ça vaudrait peut-être le coup de virer nginx et de le réinstaller tout bêtement pour voir ?
Au pire ça changera rien (sauf si tout par en couille bien sur ^^ )

Ca peut être fait rapide comme ça:

# backup
cp -R /etc/nginx /tmp/nginx
# remove
apt-get purge nginx
# réinstall
apt-get install nginx
# on vire les dossiers d'origine
rm -R /etc/nginx/conf.d
rm -R /etc/nginx/sites-enabled
rm -R /etc/nginx/passwd
rm -R /etc/nginx/ssl
rm /etc/nginx/nginx.conf
# on remet les conf et le reste
cp -R /tmp/nginx/conf.d /etc/nginx/conf.d
cp -R /tmp/nginx/sites-enabled/ /etc/nginx/sites-enabled
cp -R /tmp/nginx/passwd/ /etc/nginx/passwd
cp -R /tmp/nginx/ssl /etc/nginx/ssl
cp /tmp/nginx/nginx.conf /etc/nginx/nginx.conf
#les droits sur passwd
chmod 640 /etc/nginx/passwd/*
chown --changes www-data:www-data /etc/nginx/passwd/*
# et on sert les fesses !
service nginx restart

Moi je tenterais mais bon c'est pas mon serveur...
Ex.

kris06800 · 14 déc. 2016

@ex_rat je viens de faire tes manip et malheureusement j'ai toujours le meme soucis ...

Nebukad · 14 déc. 2016

Tu l'as installé comment ton nginx ? Depuis dotdeb ?

Je viens de faire le test sur une VM : en installant depuis le dépot dotdeb un nginx -V me donne ça :

Paste nginx -V

Aucun module de désactivé

kris06800 · 14 déc. 2016

Je l'ai installé via le script de ex il y a plusieurs mois...

ex_rat · 14 déc. 2016

Y'a eu pas mal de tripatouillage sur les dépôts du script avec ça, mais ça vient de chez nginx direct depuis un bon moment

 # dépôt nginx
deb http://nginx.org/packages/debian/ jessie nginx
deb-src http://nginx.org/packages/debian/ jessie nginx

edit: pour savoir

cd /etc/apt/sources.list.d
ls

si t'as un nginx.list, c'est bien ça

Et ça fait longtemps que c'est repassé sur la version stable maintenant, c'était au moment de la mode du http2 sur mondedie !

kris06800 · 14 déc. 2016

ex_rat oui j'ai bien sa le nginx.list et j'ai les même dépot que ceux que tu indiques

xavier · 14 déc. 2016

Lol
La vache tu n'asas pas de chance. @kris06800
Envoi moi un mail (mon mail sur mon profile)

kris06800 · 14 déc. 2016

xavier je viens de t'envoyer un mail ...

xavier · 14 déc. 2016

peux être dans spam

kris06800 · 14 déc. 2016

problème résolu grace à Xavier et merci à lui...
le soucis venait de nginx (light) après avoir tout supprimé avec remove et purge et réinstallé nginx la version normale et remis les fichier de param comme il faut tout refonctionne comme avant ...

Nebukad · 15 déc. 2016

Super !! Comme quoi, ça se joue à pas grand chose.

jgalode · 31 déc. 2016

Wonderfall Sous Apache 2.4 avec Quickbox cela serait conforme pour le module Strict Transport Security (HSTS) compatible nextcloud v11 ?:

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains; preload"
Header set X-Content-Type-Options nosniff
Header set X-XSS-Protection: 1; mode=block
Header set X-Robots-Tag: none
Header set X-Frame-Options: SAMEORIGIN
</IfModule>

j'ai mis ceci en plus pour la redirection en http vers https :
Dans ce fichier

nano /etc/apache2/sites-enabled/000-default-le-ssl.conf

<VirtualHost *:80>
   ServerName votredomaine.fr
   Redirect permanent / https://votredomaine.fr/
</VirtualHost>

<IfModule mod_ssl.c>
<VirtualHost *:443>
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains; preload"
Header set X-Content-Type-Options nosniff
Header set X-XSS-Protection: 1; mode=block
Header set X-Robots-Tag: none
Header set X-Frame-Options: SAMEORIGIN
</IfModule>
	# The ServerName directive sets the request scheme, hostname and port that
	# the server uses to identify itself. This is used when creating
	# redirection URLs. In the context of virtual hosts, the ServerName
	# specifies what hostname must appear in the request's Host: header to
	# match this virtual host. For the default virtual host (this file) this
	# value is not decisive as it is used as a last resort host regardless.
	# However, you must set it for any further virtual host explicitly.
	#ServerName www.example.com

ServerAdmin webmaster@localhost
DocumentRoot /srv/rutorrent/home/

# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
# error, crit, alert, emerg.
# It is also possible to configure the loglevel for particular
# modules, e.g.
#LogLevel info ssl:warn

ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined

# For most configuration files from conf-available/, which are
# enabled or disabled at a global level, it is possible to
# include a line for only one particular virtual host. For example the
# following line enables the CGI configuration for this host only
# after it has been globally disabled with "a2disconf".
#Include conf-available/serve-cgi-bin.conf
SSLCertificateFile /etc/letsencrypt/live/votredomaine.fr/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/votredomaine.fr/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
ServerName votredomaine.fr
</VirtualHost>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet
</IfModule>

Voici le fichier (include):

nano /etc/letsencrypt/options-ssl-apache.conf

# Baseline setting to Include for SSL sites

SSLEngine on

# Intermediate configuration, tweak to your needs
SSLProtocol             TLSv1.2
SSLCipherSuite          EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder     on
SSLCompression          off

SSLOptions +StrictRequire

# Add vhost name to log entries:
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" vhost_combined
LogFormat "%v %h %l %u %t \"%r\" %>s %b" vhost_common

#CustomLog /var/log/apache2/access.log vhost_combined
#LogLevel warn
#ErrorLog /var/log/apache2/error.log

# Always ensure Cookies have "Secure" set (JAH 2012/1)
#Header edit Set-Cookie (?i)^(.*)(;\s*secure)??((\s*;)?(.*)) "$1; Secure$3$4"

Pourtant j'ai toujours l'erreur sur Nextcloud v11: "L'en-tête HTTP "Strict-Transport-Security" n'est pas configurée à "15552000" secondes. Pour renforcer la sécurité nous recommandons d'activer HSTS comme décrit dans notre Guide pour le renforcement et la sécurité.", Apache 2.4 semble bien fonctionné en redémarrage et j'ai que le "A" en évaluation.

Sous nginx avec bonobox cela marchait "A+" et HSTS avec cette configuration.

Quelqu'un serait-il d'où vient le soucis ?

Aerya · 31 déc. 2016

Pour HSTS tu n'as qu'à mettre ceci dans ton vhost

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Tu peux aussi changer la durée.

Et pour LE :

/opt/letsencrypt/letsencrypt-auto certonly --apache --hsts --rsa-key-size 4096 --uir --renew-by-default -d upandclear.org -d www.upandclear.org

Ou pour Certbot :

./certbot-auto renew --hsts --rsa-key-size 4096 --uir

jgalode · 31 déc. 2016

Aerya j'ai réussi à avoir le "A+" déjà le module n'était pas actif :/ cela promet:

sudo a2enmod headers

j'ai retiré une ligne qui crée un souci "Header set X-XSS-Protection: 1; mode=block":

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains; preload"
Header set X-Content-Type-Options nosniff
Header set X-Robots-Tag: none
Header set X-Frame-Options: SAMEORIGIN
</IfModule>

ma rsa-key-size était déjà en 4096 bits et l'erreur de nextloud à disparu "L'en-tête HTTP "Strict-Transport-Security" n'est pas configurée à "15552000" secondes. Pour renforcer la sécurité nous recommandons d'activer HSTS comme décrit dans notre Guide pour le renforcement et la sécurité." Donc cela semble résolu.

allan84 · 6 janv. 2017

hello, je voudrais renouveler mon certificat qui a expiré , j'arrete donc nginx, mais quand je tape:

./certbot-auto renew

j'ai ceci:

bash: ./certbot-auto: Aucun fichier ou dossier de ce type

je pense que j'ai pas tout compris à coup sur, alors si quelqu'un pouvait m'éclairer, merci

xavier · 6 janv. 2017

Salut

faut être dans le bon répertoire ou ce trouve certbot ,test comme ça

cd /tmp
wget https://dl.eff.org/certbot-auto
chmod a+x ./certbot-auto
./certbot-auto renew

allan84 · 6 janv. 2017

nickel chrome, tout roule! merci xavier

allan84 · 7 janv. 2017

en passant, c'est cette manip qu'il faudra que je fasse à chaque renouvellement de cetificat?

Aerya · 7 janv. 2017

Oui, tu peux mettre certbot en cron.

kolgate · 7 janv. 2017

allan84 Par contre je conseille plutôt de placer certbot dans /opt si tu veux faire un cron.

allan84 · 7 janv. 2017

merci à vous deux mais je le ferai manuellement la prochaine fois ne sachant pas faire ce que vous dites

xavier · 7 janv. 2017

Ce que tu peux faire pour éviter de le télécharger chaque fois (car 90 jours après on sait plus où on a mis le fichier) ou être dans le bon répertoire pour le lancer.

cd /tmp
wget https://dl.eff.org/certbot-auto
cp certbot-auto /usr/sbin/
chmod 770 /usr/sbin/certbot-auto

et le jour que tu dois le renouveler

service nginx stop
certbot-auto renew
service nginx start

allan84 · 8 janv. 2017

ok merci me servira à coup sur

Aerya · 8 janv. 2017

allan84 https://certbot.eff.org/all-instructions/#debian-8-jessie-nginx

Automating renewal
The Certbot packages on your system come with a cron job that will renew your certificates automatically before they expire. Since Let's Encrypt certificates last for 90 days, it's highly advisable to take advantage of this feature. You can test automatic renewal for your certificates by running this command:
certbot renew --dry-run

Sinon => https://certbot.eff.org/docs/using.html#renewal

allan84 · 8 janv. 2017

merci Aerya mais franchement j'y comprends rien. j'ignore absolument ou on doit mettre cette commande que tu donnes au-dessus. je préfère faire le renouvelement manuellement

Aerya · 8 janv. 2017

Oki doki

jean787 · 8 janv. 2017

Personnellement je trouve que c'est un peu galère de renouveler l'opération tous les 3 mois.
Je ne sais pas si on peux juste appuyer sur un bouton ou crontab le truc

jgalode · 8 janv. 2017

jean787 j'avais fait un mini script simple jgalode pour le renouvellement justement.

jean787 · 8 janv. 2017

jgalode
Merci pour le partage. Je testerai prochainement.

Aerya · 8 janv. 2017

Beh... C'est prévu pour tourner en CRON en effet. Après faut savoir un minimum utiliser Linux mais ça fait partie des bases ce genre de job.

Hems45 · 8 janv. 2017

Le mieux étant de mettre Cerbot dans /opt pas /tmp (le tuto indique /tmp, je vois pas trop pourquoi) sinon à chaque reboot ...