Pour ce tuto : http://mondedie.fr/d/7414/1

Jedediah wrote: • Les domaines pour lesquels vous souhaitez générer le certificat (en général www.votresite.fr et votresite.fr On ne peut pas mettre n'importe quoi il me semble. Il est indiquer dans le mail les domaines possibles. Sinon merci

Merci pour le tuto, J'ai pas du tous suivis l'affaire, mais y'a t'il une date de sortie de prévu ?

Arthur_ wrote: Jedediah wrote: • Les domaines pour lesquels vous souhaitez générer le certificat (en général www.votresite.fr et votresite.fr On ne peut pas mettre n'importe quoi il me semble. Il est indiquer dans le mail les domaines possibles. Sinon merci 🙂 Je cite le tuto : Attention : Let's Encrypt est pour le moment en phase de beta fermée. Il faut au préalable s'inscrire à cette beta avant de voir son nom de domaine white-listé pour la génération de certificat.

Si m'es souvenir sont bon lors de "l'inscription" a la beta tu rentre juste ton nom de domaine. ex : domaine.fr Dans le mail qu'il t'envoie il est écrit : "your whitelisted domaines are: www.domaine.fr / domaine.fr" Donc pour moi tu n'a pas le choix. Tu ne peut donc pas faire webmail.domaine.fr

Oui c'est exactement ce que je veux dire par la phrase extraite du tuto.

Hello a la sortie de la version stable/finale de Let's Encrypt on aura le droit de demander un certificat wildcard genre : *.domaine.tld Ou il faudra un certificat différent pour chaque sous domaine ?

En tout cas vivement ça sortie officielle qu'on puisse tous en profiter

Oxynux wrote: Hello a la sortie de la version stable/finale de Let's Encrypt on aura le droit de demander un certificat wildcard genre : *.domaine.tld Ou il faudra un certificat différent pour chaque sous domaine ? Il n'y a pas de wilcard de prévu pour l'instant et je crois que c'est pas au programme donc génération de certif pour chaque sous domaine. Ex.

Pas forcément, il est prévu que les certificats soient valables pour du multi-domaines, ce qui reste intéressant.

[Discussion] Certificat SSL signé et gratuit avec Let's Encrypt : Page 7

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] Certificat SSL signé et gratuit avec Let's Encrypt

attila01

Bonsoir...

Je viens de régler le soucis en suivant ton conseil Theo64, en modifiant les chemins d'accès aux certificats ça marche nickel Merci !!

majaxx wrote:Salut , moi perso j'ai utilisé le tuto la smile
https://www.grafikart.fr/formations/ser … etsencrypt

Je te remercies pour ce tuto mais du coup je vais rester sur celui ci qui fonctionne, par contre le renouvellement auto du certificat via la commande :

/opt/letsencrypt/letsencrypt-auto renew

en l'adaptant pour qu'elle colle au tuto, ça pourrait marcher ?

Salimeche

Bonjour à tous,

J'ai généré un certificat pour mondomaine.com que j'ai inclus sur tous mes sites, par contre quand j'essaye d'accéder à siteX.mondomaine.com mon navigateur me dit que

Le certificat n'est valide que pour mondomaine.com.

.

En gros je voudrais que mes sous domaines puissent utiliser le même certificat. Est-ce que c'est possible? Est-ce que c'est safe? Est-ce que j'aurai dû faire le certificat pour le domaine *.mondomaine.com plutôt que mondomaine.com?

NOnoS

@Salimèche

Un certificat doit être généré pour chaque domaine ET sous domaine. Letsencrypt ne fait pas à l'heure actuelle de wildcard (certificat pour domaine comprenant les sous domaines) Donc il faut que tu en génère un aussi pour par exemple sitex.nomdomaine.com

xataz

@Salimèche:

Letsencrypt ne gère pas les wildcard (certificat pour domaine et tout sous-domaine).

Donc deux solutions, sois tu crée un certificat par sous-domaine (plutôt chiant à maintenir).
Ou alors tu revoke celui ci, et créé un SAN (Subject Alternative Name), qui permets avec un seul certificat de gérer plusieurs sous-domaine (limité à 100, ça laisse de la marge).

Pour ce faire :

$ letsencrypt certonly --standalone --agree-tos -m tonmail@bidule.machin -d mondomain.tld -d www.mondomain.tld -d truc.mondomain.tld -d bidule.mondomain.tld

Ceci te génère un seul certificat, nommé comme le premier (ici live/mondomain.tld/*.pem) et utilisable sur tous les sous-domaines indiqué.
Il faut évidemment que tout les domaines pointent sur le même serveur. Et attention a bien prévoir les domaines et sous-domaines, à ma connaissance, impossible d'en ajouter après.

Tu pourras y vérifier les informations avec openssl :

$ openssl x509 -in /etc/letsencrypt/live/mondomain.tld/cert.pem -text
[...]
 X509v3 Subject Alternative Name:
                DNS:mondomain.tld, DNS:www.mondomain.tld, DNS:truc.mondomain.tld, DNS:bidule.mondomain.tld
[...]

Voila, en espérant t'aider.

Salimeche

Merci pour vos réponses.

J'ai opté pour la solution chiante à maintenir mais au moins je pourrai ajouter de nouveaux sous-domaines au fur et à mesure.

J'ai une autre interrogation qui ne concerne pas directement Let's Encrypt mais vous privilégiez plutôt l'authentification par htpasswd ou par application (quand elle le permet par ex : sickrage) ?

balbao

Parfois Letsencrypt accepte de te faire de nouveaux certificats en soudomaine et te crée Letsencrypt/live/monsoudomaine
et parfois ca passe pas.
Donc il faut se résoudre à faire un certificat avec sousdomaiane et mondomaine.ltd

Dans les 2 cas ça fonctionne , mais Letsencrypt est parfois capricieux.

tomcdj71

Bonsoir,

J'ai testé d'installer le certificat, cependant Nginx ne veut pas démarrer.
La faut à rutorrent.conf qui avait deux lignes équivalentes. Une fois ce problème résolu, toujours plus aucun moyen de démarrer Nginx, ni bien sûr d'accéder à mon serveur.
Voici mon fichier error.logs :

[emerg] 21619#21619: BIO_new_file("/etc/letsencrypt/live/ns3311277.ip-5.135.161.eu/fullchain.pem") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/letsencrypt/live/ns3311277.ip-5.135.161.eu/fullchain.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)

Lorsque j'ai tout remis en place, j'obtiennes cette erreur :

[emerg] 25180#25180: bind() to 0.0.0.0:80 failed (98: Address already in use)

Résolue avec un coup de

fuser -k 80/tcp

Mais du coup, toujours pas de certificat

balbao

Tu utilises ton adresse serveur pour avoir un certificat Let's Encrypt ?

tomcdj71

Oui.
Enfin SoYouStart m'a fait galéré puisque au début je mettais l'IP du serveur (enfin l'adresse sur laquelle est ruTorrent). J'ai compris qu'après que le nom qu'il lui fallait était "nsXXXX" (le NDD donné par SYS).
Mais ça n'a rien changé au final...

Oppenheimer

Bonsoir,

Je me pose une question vis à vis de l'ajout d'un nouveau sous-domaine sur Let's Encrypt.
J'ai intégré avec succès un certificat sur mes domaines / sous-domaine existants.
Or, j'ai rajouté ce soir l'excellent Tardistart (merci Jedediah) et voudrait y coller un SSL.

Il m'a semblé voir en avant dernière page de ce topic qu'il y avait 2 méthodes :

* Une "simple" mais demandant de connaître à l'avance tous ces domaines / sous-domaines : Ce n'est pas mon cas vu que j'ajoute souvent des choses et que le certificat est déjà généré
* Une plus embêtante ou un fait un certif par sous-domaine.

Dans ce second cadre, je voulais savoir si :

* Générer un certif spécial dédié à tardis.domain.tld n'allait pas foutre la merde avec mon autre certificat qui englobe le domaine + 5 sous-domaines
* Si pas de soucis, quelle commande dois-je passer pour générer le dit certificat ?

J'imagine qu'une fois généré, je n'ai qu'à spécifier le path du certif dans le Vhost de Nginx ?

xataz

@Oppenheimer

Aucun soucis pour générer un nouveau certificat pour ton nouveau sous-domaine.

Personnellement, pour générer un certificat, je le fait via le webserver de letsencrypt, cela fait un arrêt des services web de quelques secondes seulement, avec cette commande par exemple :

systemctl stop nginx && letsencrypt certonly --standalone --agree-tos -m tonmail@machin.tld -d tardis.domain.tld && systemctl start nginx

Oppenheimer

Merci beaucoup !

tomcdj71

Personne n'aurait une solution ? :rollyes:

tomcdj wrote:Oui.
Enfin SoYouStart m'a fait galéré puisque au début je mettais l'IP du serveur (enfin l'adresse sur laquelle est ruTorrent). J'ai compris qu'après que le nom qu'il lui fallait était "nsXXXX" (le NDD donné par SYS).
Mais ça n'a rien changé au final...

Salimeche

tomcdj71 wrote:Personne n'aurait une solution ? :rollyes:

tomcdj wrote:Oui.
Enfin SoYouStart m'a fait galéré puisque au début je mettais l'IP du serveur (enfin l'adresse sur laquelle est ruTorrent). J'ai compris qu'après que le nom qu'il lui fallait était "nsXXXX" (le NDD donné par SYS).
Mais ça n'a rien changé au final...

Salut,

D'après ce que j'ai compris tu essayes de générer un certificat avec le reverse DNS par défaut de ton dédié. Je ne sais pas si ça peut fonctionner.
L'idéal serait que tu ais un nom de domaine, que tu fasses pointer un enregistrement vers ton dédié, une fois que cet enregistrement sera propagé que tu modifies le reverse DNS de ton dédié et qu'ensuite tu refasses le tuto avec ton domaine.

tomcdj71

Merci pour la réponse.

Je crois que ça restera ainsi, trop compliqué pour moi ^^'

Salimeche

tomcdj71 wrote:Merci pour la réponse.

Je crois que ça restera ainsi, trop compliqué pour moi ^^'

Faut pas se décourager, c'est très simple

Avant de recommencer essaye un peu de te renseigner sur comment fonctionne DNS et SSL.

DNS est un protocole qui fait une correspondance entre un nom et une adresse IP.
SSL est un protocole qui permet (entre autre) d'identifier un correspondant (afin que personne ne se fasse passer pour le correspondant que tu cherches à joindre).
En gros la combinaison de ces deux protocoles te permettent d'être sûr de bien être sur mondedie.fr quand tu demandes la page https://mondedie.fr et pas sur un autre site.

Pour générer un certificat qui attestera que tu es bien sur le détenteur de tondomaine.com, Let's Encrypt fait servir des informations par ton serveur et demande à se faire servir ces informations par le serveur tondomaine.com (voilà pourquoi DNS est important).
Si les informations sont bien servies par le serveur tondomaine.com c'est que tu es bien l'auteur de la demande de certificat et le détenteur du nom tondomaine.com alors ton certificat te sera livré.

J'espère que ça aura un peu éclairci tout ça pour toi, j'ai omis plein de détails mais n'hésite pas à te documenter sur internet. Ces domaines sont passionnants.

tomcdj71

J'ai tellement l'habitude à taper mes IP sur les ordis de mes amis (IP directe ruTorrent, Emby, Cakebox) que au final ça me ferait perdre du temps si j'avais un vrai ndd je suppose.
La seule chose qui m'aurait intéressé c'est pour enlever l'alerte sécurité quand je vais sur Emby avec Chrome (à cause de son certificat auto-signé ?), mais vu ma fréquence d'utilisation de Chrome ce n'est pas très important.

En tout cas merci pour m'avoir éclairé. J'ai mieux compris l'utilité des certificats, que je prenais jusqu'alors pour de "simples fichiers qui ne servaient à rien à part entacher une navigation".

Enfin du moins pour mes serveurs. Je suis bien content qu'il y en ait pour limiter les accès aux sites "attrape-couillons" qui pullulent un peu partout sur la toile

esox13

xataz wrote:@Oppenheimer

Aucun soucis pour générer un nouveau certificat pour ton nouveau sous-domaine.

Personnellement, pour générer un certificat, je le fait via le webserver de letsencrypt, cela fait un arrêt des services web de quelques secondes seulement, avec cette commande par exemple :
systemctl stop nginx && letsencrypt certonly --standalone --agree-tos -m tonmail@machin.tld -d tardis.domain.tld && systemctl start nginx

Salut,
lorsque j'essaie de générer un nouveau certificat avec cette commande, j'ai un :

-su: letsencrypt : commande introuvable

Il faut remplacer letsencrypt par letsencrypt-auto ? Je ne sais pas trop quoi faire...

julienth37

esox13 wrote:
xataz wrote:@Oppenheimer

Aucun soucis pour générer un nouveau certificat pour ton nouveau sous-domaine.

Personnellement, pour générer un certificat, je le fait via le webserver de letsencrypt, cela fait un arrêt des services web de quelques secondes seulement, avec cette commande par exemple :
systemctl stop nginx && letsencrypt certonly --standalone --agree-tos -m tonmail@machin.tld -d tardis.domain.tld && systemctl start nginx
Salut,
lorsque j'essaie de générer un nouveau certificat avec cette commande, j'ai un :
-su: letsencrypt : commande introuvable
Il faut remplacer letsencrypt par letsencrypt-auto ? Je ne sais pas trop quoi faire...

Bonjour,

T'est tu déplacé dans le répertoire de letsencrypt avant de taper la commande ? on dirai que su n'arrive pas à trouver une binaire qui est censé être dans le dossier.

esox13

Bonjour,
Oui carrément. J'ai même recloner le git dans dans /opt.
Mais quand je liste le contenu de /opt/letsencrypt il n'y a point de binaire letsencrypt, seulement un letsencrypt-auto
Alors pourquoi certains l'ont ?

« Page précédente Page suivante »