@Salimèche

Un certificat doit être généré pour chaque domaine ET sous domaine. Letsencrypt ne fait pas à l'heure actuelle de wildcard (certificat pour domaine comprenant les sous domaines) Donc il faut que tu en génère un aussi pour par exemple sitex.nomdomaine.com

@Salimèche:

Letsencrypt ne gère pas les wildcard (certificat pour domaine et tout sous-domaine).

Donc deux solutions, sois tu crée un certificat par sous-domaine (plutôt chiant à maintenir).
Ou alors tu revoke celui ci, et créé un SAN (Subject Alternative Name), qui permets avec un seul certificat de gérer plusieurs sous-domaine (limité à 100, ça laisse de la marge).

Pour ce faire :

$ letsencrypt certonly --standalone --agree-tos -m tonmail@bidule.machin -d mondomain.tld -d www.mondomain.tld -d truc.mondomain.tld -d bidule.mondomain.tld

Ceci te génère un seul certificat, nommé comme le premier (ici live/mondomain.tld/*.pem) et utilisable sur tous les sous-domaines indiqué.
Il faut évidemment que tout les domaines pointent sur le même serveur. Et attention a bien prévoir les domaines et sous-domaines, à ma connaissance, impossible d'en ajouter après.


Tu pourras y vérifier les informations avec openssl :

$ openssl x509 -in /etc/letsencrypt/live/mondomain.tld/cert.pem -text
[...]
 X509v3 Subject Alternative Name:
                DNS:mondomain.tld, DNS:www.mondomain.tld, DNS:truc.mondomain.tld, DNS:bidule.mondomain.tld
[...]

Voila, en espérant t'aider.

Parfois Letsencrypt accepte de te faire de nouveaux certificats en soudomaine et te crée Letsencrypt/live/monsoudomaine
et parfois ca passe pas.
Donc il faut se résoudre à faire un certificat avec sousdomaiane et mondomaine.ltd

Dans les 2 cas ça fonctionne , mais Letsencrypt est parfois capricieux.

Bonsoir,

J'ai testé d'installer le certificat, cependant Nginx ne veut pas démarrer.
La faut à rutorrent.conf qui avait deux lignes équivalentes. Une fois ce problème résolu, toujours plus aucun moyen de démarrer Nginx, ni bien sûr d'accéder à mon serveur.
Voici mon fichier error.logs :

[emerg] 21619#21619: BIO_new_file("/etc/letsencrypt/live/ns3311277.ip-5.135.161.eu/fullchain.pem") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/letsencrypt/live/ns3311277.ip-5.135.161.eu/fullchain.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)

Lorsque j'ai tout remis en place, j'obtiennes cette erreur :

[emerg] 25180#25180: bind() to 0.0.0.0:80 failed (98: Address already in use)

Résolue avec un coup de

fuser -k 80/tcp

Mais du coup, toujours pas de certificat

Tu utilises ton adresse serveur pour avoir un certificat Let's Encrypt ?

Oui.
Enfin SoYouStart m'a fait galéré puisque au début je mettais l'IP du serveur (enfin l'adresse sur laquelle est ruTorrent). J'ai compris qu'après que le nom qu'il lui fallait était "nsXXXX" (le NDD donné par SYS).
Mais ça n'a rien changé au final...

Bonsoir,

Je me pose une question vis à vis de l'ajout d'un nouveau sous-domaine sur Let's Encrypt.
J'ai intégré avec succès un certificat sur mes domaines / sous-domaine existants.
Or, j'ai rajouté ce soir l'excellent Tardistart (merci Jedediah) et voudrait y coller un SSL.

Il m'a semblé voir en avant dernière page de ce topic qu'il y avait 2 méthodes :

* Une "simple" mais demandant de connaître à l'avance tous ces domaines / sous-domaines : Ce n'est pas mon cas vu que j'ajoute souvent des choses et que le certificat est déjà généré
* Une plus embêtante ou un fait un certif par sous-domaine.

Dans ce second cadre, je voulais savoir si :

* Générer un certif spécial dédié à tardis.domain.tld n'allait pas foutre la merde avec mon autre certificat qui englobe le domaine + 5 sous-domaines
* Si pas de soucis, quelle commande dois-je passer pour générer le dit certificat ?

J'imagine qu'une fois généré, je n'ai qu'à spécifier le path du certif dans le Vhost de Nginx ?

@Oppenheimer

Aucun soucis pour générer un nouveau certificat pour ton nouveau sous-domaine.

Personnellement, pour générer un certificat, je le fait via le webserver de letsencrypt, cela fait un arrêt des services web de quelques secondes seulement, avec cette commande par exemple :

systemctl stop nginx && letsencrypt certonly --standalone --agree-tos -m tonmail@machin.tld -d tardis.domain.tld && systemctl start nginx

Merci beaucoup !

tomcdj71 wrote:Personne n'aurait une solution ? :rollyes:

tomcdj wrote:Oui.
Enfin SoYouStart m'a fait galéré puisque au début je mettais l'IP du serveur (enfin l'adresse sur laquelle est ruTorrent). J'ai compris qu'après que le nom qu'il lui fallait était "nsXXXX" (le NDD donné par SYS).
Mais ça n'a rien changé au final...

Salut,

D'après ce que j'ai compris tu essayes de générer un certificat avec le reverse DNS par défaut de ton dédié. Je ne sais pas si ça peut fonctionner.
L'idéal serait que tu ais un nom de domaine, que tu fasses pointer un enregistrement vers ton dédié, une fois que cet enregistrement sera propagé que tu modifies le reverse DNS de ton dédié et qu'ensuite tu refasses le tuto avec ton domaine.

Merci pour la réponse.

Je crois que ça restera ainsi, trop compliqué pour moi ^^'

tomcdj71 wrote:Merci pour la réponse.

Je crois que ça restera ainsi, trop compliqué pour moi ^^'

Faut pas se décourager, c'est très simple

Avant de recommencer essaye un peu de te renseigner sur comment fonctionne DNS et SSL.

DNS est un protocole qui fait une correspondance entre un nom et une adresse IP.
SSL est un protocole qui permet (entre autre) d'identifier un correspondant (afin que personne ne se fasse passer pour le correspondant que tu cherches à joindre).
En gros la combinaison de ces deux protocoles te permettent d'être sûr de bien être sur mondedie.fr quand tu demandes la page https://mondedie.fr et pas sur un autre site.

Pour générer un certificat qui attestera que tu es bien sur le détenteur de tondomaine.com, Let's Encrypt fait servir des informations par ton serveur et demande à se faire servir ces informations par le serveur tondomaine.com (voilà pourquoi DNS est important).
Si les informations sont bien servies par le serveur tondomaine.com c'est que tu es bien l'auteur de la demande de certificat et le détenteur du nom tondomaine.com alors ton certificat te sera livré.

J'espère que ça aura un peu éclairci tout ça pour toi, j'ai omis plein de détails mais n'hésite pas à te documenter sur internet. Ces domaines sont passionnants.

J'ai tellement l'habitude à taper mes IP sur les ordis de mes amis (IP directe ruTorrent, Emby, Cakebox) que au final ça me ferait perdre du temps si j'avais un vrai ndd je suppose.
La seule chose qui m'aurait intéressé c'est pour enlever l'alerte sécurité quand je vais sur Emby avec Chrome (à cause de son certificat auto-signé ?), mais vu ma fréquence d'utilisation de Chrome ce n'est pas très important.

En tout cas merci pour m'avoir éclairé. J'ai mieux compris l'utilité des certificats, que je prenais jusqu'alors pour de "simples fichiers qui ne servaient à rien à part entacher une navigation".

Enfin du moins pour mes serveurs. Je suis bien content qu'il y en ait pour limiter les accès aux sites "attrape-couillons" qui pullulent un peu partout sur la toile

xataz wrote:@Oppenheimer

Aucun soucis pour générer un nouveau certificat pour ton nouveau sous-domaine.

Personnellement, pour générer un certificat, je le fait via le webserver de letsencrypt, cela fait un arrêt des services web de quelques secondes seulement, avec cette commande par exemple :

systemctl stop nginx && letsencrypt certonly --standalone --agree-tos -m tonmail@machin.tld -d tardis.domain.tld && systemctl start nginx

Salut,
lorsque j'essaie de générer un nouveau certificat avec cette commande, j'ai un :

-su: letsencrypt : commande introuvable

Il faut remplacer letsencrypt par letsencrypt-auto ? Je ne sais pas trop quoi faire...

esox13 wrote:

xataz wrote:@Oppenheimer

Aucun soucis pour générer un nouveau certificat pour ton nouveau sous-domaine.

Personnellement, pour générer un certificat, je le fait via le webserver de letsencrypt, cela fait un arrêt des services web de quelques secondes seulement, avec cette commande par exemple :

systemctl stop nginx && letsencrypt certonly --standalone --agree-tos -m tonmail@machin.tld -d tardis.domain.tld && systemctl start nginx

Salut,
lorsque j'essaie de générer un nouveau certificat avec cette commande, j'ai un :

-su: letsencrypt : commande introuvable

Il faut remplacer letsencrypt par letsencrypt-auto ? Je ne sais pas trop quoi faire...

Bonjour,

T'est tu déplacé dans le répertoire de letsencrypt avant de taper la commande ? on dirai que su n'arrive pas à trouver une binaire qui est censé être dans le dossier.

Bonjour,
Oui carrément. J'ai même recloner le git dans dans /opt.
Mais quand je liste le contenu de /opt/letsencrypt il n'y a point de binaire letsencrypt, seulement un letsencrypt-auto
Alors pourquoi certains l'ont ?