spider1163 Merci pour l'aide, mais j'ai tout réinstallé proprement ce week-end. Je dois faire attention de ne pas laissé expirer le certif la prochaine fois. Ça m'évitera des soucis.
[Discussion] Certificat SSL signé et gratuit avec Let's Encrypt
normalement tu peux faire un cron pou éviter ça
6 jours plus tard
Hello, comment faire pour que l'accès à mon dédié via son IP (peut importe ce qu'il y a derrière) soit protégé également ? C'est possible ?
winz salut,
le certificat SSL est lié à un nom de domaine, pas à une adresse IP, donc ce n'est pas possible
Salut,
Je fais appel à vous communauté de mondedie ! J'ai envie de franchir le pas avec les certificats lets encrypt mais j'ai une question !
A priori je suis parti pour une wildcard étant donner que je dispose de plusieurs sous-domaines, ma question est la suivant, lors de l'installation de lets encrypt je dois renseigner ".ndd.tld", mon "dashbord" est en ndd.tld est-ce que je dois faire le boulot deux fois ou le .ndd.tld passera pour les deux ?
Merci bien 
Steven Salut,
Tu fais le boulot 1 seule fois mais tu précises les 2 lors de l'enregistrement :
*.example.com et example.comsource : https://community.letsencrypt.org/t/acme-v2-production-environment-wildcards/55578
6 jours plus tard
Hello,
J'ai encore une petite question avant de sauter le pas, je peux suivre le tuto de Jedediah ou il n'est pas à jour ?
Merci bien 
- Modifié
- https://mondedie.fr/d/7414-Tuto-Certificat-SSL-signe-gratuit-avec-Let-s-Encrypt-et-nginx
- https://github.com/certbot/certbot
- https://packages.debian.org/search?keywords=certbot
- https://github.com/certbot/certbot/blob/master/CHANGELOG.md
- https://github.com/certbot/certbot/releases
- https://certbot.eff.org/docs/
- https://certbot.eff.org/docs/install.html#system-requirements
The certbot-auto command updates to the latest client release [...]
Hello,
oui je le présume @Steven. D'après ce court extrait (qui provient du dernier lien) normalement tout devrait bien se dérouler.
NB : Par contre, je te déconseil de l'installer (directement depuis (le(s) dépot(s) de) Debian). En outre, actuellement la dernière version c'est certbot-v0.23.0 (tandis que Debian (oui Stretch) à des trains de retard certbot-v0.10.2). Disons que cela t'évitera des problèmes.
Et bhé en effet, merci en tout cas pour l'info et les sources 
Wagner Il faut activer les backports repo sinon tu as des trains de retard en effet
https://certbot.eff.org/lets-encrypt/debianstretch-nginx
https://backports.debian.org/Instructions/
- Modifié
De rien @Steven 
et tu as raison @spider1163 car je viens de regardé. Par contre, je note(rais) qu'il reste un léger retard car cela nous donne(ra) certbot-v0.21.1 et le changelog (entre ces 2 versions) ne me semble pas anodin (plusieurs corrections etc).
https://packages.debian.org/stretch-backports/certbot
Et puis, grosso modo je voulais surtout que ma réponse soit assez simple. Je me disais qu'ensuite s'il le fallait je donnerais de plus ample détail.
- Modifié
Salut c'est le relou de service 
Je me suis lancer dans l'aventure let's encrypt, quand je lance l'install il me laisse pas le choix de wildcard mais me propose bien les sous-domaines que j'ai (via nginx), du coup j'ai peur que sa soit un certificat par sous-domaines du coup le jour où j'en crée un nouveau rebelote puis vu que la wildcard existe maintenant autant l'utiliser.
J'ai eu une erreur ASCII qui est lier à certains commentaires qui on des accents etc ... 
Du coup je suis en version "certbot 0.23.0" Debian 9 et Nginx, Merci bien 
- Modifié
https://mondedie.fr/d/7415-Discussion-Certificat-SSL-signe-et-gratuit-avec-Let-s-Encrypt/473
Certbot has ACME v2 support since Version 0.22.0. This version may not yet [...]
The V2 API supports issuing wildcard certificates [...]
Salut c'est encore moi 
À force cela va finir comme avec la team Rocket
Navré @Steven je doute de pouvoir t'aidé cette fois-ci (je m'en sers rarement)... D'après mes souvenirs, c'est hyper récent et l'article donné par @spider1163 semble le confirmer (depuis que certbot-v0.22.0 est sortie, il ne devrait y avoir aucun souci avec les wildcards).
- Modifié
Wagner Ne t'envole pas vers d'autres cieux 
Steven Je crois que le wildcard est implicite. Lors de mes derniers tests sans avoir demander *.ndd.tld avec le certbot et en passant par https://medusa.ndd.tld mon site était bien certifié avec le petit cadenas vert... Je dis peut être une grosse connerie.
- Modifié
pour ma part je n'arrive pas utiliser les wildcards sur mon server
j'obtient l'erreur : "The currently selected ACME CA endpoint does not support issuing wildcard certificates."
je me demande s'il ne faut pas que je paramètre un truc au niveau de mon gestion de domaine pour avoir accés au wildcards.
- Modifié
@Wagner Pas mal
Du coup je vais essayer de le mettre en place je verrais bien comment sa réagit, mais j'avais vu sur le site de certbot que ACME v2 n'était pas encore supporter mais en regardant d'autre version ce message y était aussi ! Enfin bref je verrais bien ce que sa fait 
@palouf34 Je pense que tu as à peut prêt le même soucis que moi, regarde un peu la version de ton certbot pour voir, il me semble que la commande c'est : ./certbot-auto --version
Salut
si jai un petit moment je vous fait un tuto wildcard letsencrypt
par exemple : https://ratxabox.ovh/
- Modifié
Wildcard avec la dernière version :
./certbot-auto certonly --manual -d *.example.com -d example.com --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory
Il faut avoir accès à la zone DNS car la validation passe par un enregistrement DNS TXT.
Sauf cas particuliers, il est déconseillé d'utiliser un wildcard sur un serveur de prod.
spider1163
tu entends quoi par enregistrement DNS TXT ?
il faut allez sur le gestionnaire du domaine pour rajouter une zone particulière?
Il faut ajouter un nouvel enregistrement de type TXT, exemple chez Gandi :
https://wiki.gandi.net/fr/dns/zone/txt-record
- Modifié
Sinon vous pouvez utiliser le script acme.sh qui permet de faire une validation dns de manière automatique via l'API de votre fournisseur dns (pas besoin d'être root et ne demande pas de dépendances particulière):
https://github.com/Neilpang/acme.sh/blob/master/README.md#7-automatic-dns-api-integration
- Modifié
en regardant le script mon provider n'est pas dans la liste... sniff
j'ai bien créer l'enregistrement auprés de mon porvider mais j'obtient le message suivant::
Failed authorization procedure. tld.fr (dns-01): urn:ietf:params:acme:error:unauthorized :: The client lacks
sufficient authorization :: Incorrect TXT record "I-----clef" found at _acme-challenge.lcrprod.fr
IMPORTANT NOTES:
- The following errors were reported by the server:
Domain: tld.fr
Type: unauthorized
Detail: Incorrect TXT record
"I-----clef" found at
_acme-challenge.tld.fr
To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.mon provider est online.net.
La vérification TXT ne se fait pas correctement, la propagation DNS n'était peut-être pas terminé.
Tu peux toujours vérifier via dig -t txt _acme-challenge.example.com +short ou des outils en ligne.
Note : si tu demandes *.example.com ET example.com, tu as 2 enregistrements TXT de contrôle à mettre en place
ok je comprends mieux la procédure.
il faut donc lancer l'opération, lorsqu'il demande les enregistrements, il faut les créer, et ensuite attendre que cela se propage (mais cela doit prendre pas mal de temps) et ensuite finir l'opération du script.
Oui il faut patienter quelques minutes à quelques heures.
https://www.whatsmydns.net/ est ton ami 
et bien je doigt avoir les dois crochus car j'ai toujours le meme erreur, meme avec juste le domaine tld.fr
pfuiiii, il se mérite ce certificat wildcard....
- Modifié
@spider1163 Du coup si on a deux enregistrements TXT (ndd.tld et **.ndd.tld) (<-- j'ai mis deux étoiles parce qu'une seule ne veut pas s'afficher 
) à faire ils sont cessé ressembler à quoi j'ai fais mon premier en tant que : acme-challenge.ndd.tld. avec la valeur indiquer par certbot mais pour le second j'ai un doute, quelque chose du style acme-challenge.*.ndd.tld. (<-- Je sais que c'est pas sa 
) et je vais la chercher où la valeur ?
Du coup j'ai fais la commande que tu as donner un peu plus haut avec mon ndd.tld et *.ndd.tld j'obtiens :
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for ndd.tld
dns-01 challenge for ndd.tld
Please deploy a DNS TXT record under the name
_acme-challenge.ndd.tld with the following value:valeur tadada ! 845+85sqkflmksdfDD4656 etc..
Before continuing, verify the record is deployed.
Press Enter to Continue
- Modifié
Si tu regardes bien, cela concerne le même hôte : _acme-challenge.domain.tld
Tu dois donc créer 2 enregistrements TXT sur cet hôte (de préférence avec le TTL le plus bas possible, 1 sinon 300 en général), possédant chacun une des valeurs fourni par certbot.
Si tu ne peux pas créer 2 enregistrements TXT sur le même hôte, essaie de séparer les 2 valeurs par un espace, ça peut marcher.
Le soucis c'est que certbot me fourni qu'une valeur, du coup j'en crée deux avec la même valeur ?
Je suis chez ovh la TTL est de 60 mini
Si tu as demandé ndd.tld et *.ndd.tld il doit te fournir 2 TXT (après avoir appuyé sur Entrer il me semble).
Il faut que les 2 soient saisis et propagés avant de valider.
- Modifié
Pourtant j'ai bien fait la commande :
./certbot-auto certonly --manual -d *.example.com -d example.com --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory
Avec mon domaine.tld et *.domaine.tld, le retour me donne bien deux ligne dns-01 challenge for domaine.tld (d'ailleurs deux fois la même ligne)
Et me demande seulement un seul enregistrement, bon je vais essayer comme sa on verra bien
Edit : En effet, j'avais pas osez appuyer sur suivant ne voyant pas les deux demande mais il faut faire le premier enregistrement et dans un second temps il remet un message demandant le second 
Edit2 : Super sa fonctionne nickel ! Du coup maintenant pour le renouvellement j'ai vu qu'il y avait plusieurs manière, vous utilisez laquelle personnellement moi je pense sur un cron mais il faut que je regarde comment sa fonctionne et si je demande l’exécution du script tout les jours ou toute les semaine à une certaine heure etc...
Tu fais bien de soulever ce point :
Le souci du certificat wildcard c'est qu'il passe forcément par la vérification via DNS, et donc pour un renouvellement tu aura de nouveaux enregistrements TXT à re-faire à la main ...
L'intérêt des certificats wildcards (même en dehors de Let's encrypt) sur un serveur de prod est limité (sécurité/gestion/compatibilité), et étant donné la facilité d'ajouter des sous-domaines en ligne de commande (avec vérification HTTP), je continuerai à procéder comme cela personnellement.
Ah ! C'est bon à savoir sa ! Bon c'est pas sorcier à faire sa ce fera donc à la main
- Modifié
spider1163 comme dit plus haut ( BarbeRousse ) tu peux utiliser acme.sh pour automatiser le renouvellement du wildcard.
Ce script permet d'utiliser plusieurs api de nombreux providers.
J'ai fait un tuto pour les wildcards, qu'en pensez-vous ?
https://mondedie.fr/d/10204-tuto-lets-encrypt-certificat-ssl-wildcard
Pour renouveler un certificat, j'ai remarqué que
./certbot-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start"
évite des downtime inutiles en n'arrêtant le serveur web qu'en cas de renouvellement de certificats
spider1163 Parfait je prends 