• Applications

  • [Discussion] Certificat SSL signé et gratuit avec Let's Encrypt

17 jours plus tard

Bonjour a tous ,
Un grand merci pour ce tuto, rutorrent, cakebox, seedboxmanager sont bien avec le certificat vert mais mon soucis vient d'autres applications j'utilise aussi transmission btsync et pyload et ces 3 la je n'y ai plus acces depuis aux interfaces web.
Il manque surement des configurations à ajouter mais je ne les connais pas ..
Si vous avez besoin plus d'info dites le 🙂
Voila mes conf :
/etc/nginx/sites-enabled/rutorrent.conf

 server {
    listen 80 default_server;
 server_name ndd.fr;
rewrite ^ https://ndd.fr$request_uri? permanent;
}
server {
    listen 443 default_server ssl;
    server_name ndd.fr;

    charset utf-8;
    index index.html index.php;
    client_max_body_size 10M;

    ssl_certificate /etc/letsencrypt/live/ndd.fr/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/ndd.fr/privkey.pem;
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;

    access_log /var/log/nginx/rutorrent-access.log combined;
    error_log /var/log/nginx/rutorrent-error.log error;

    error_page 500 502 503 504 /50x.html;
    location = /50x.html { root /usr/share/nginx/html; }

    auth_basic "seedbox";
    auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd";

    location = /favicon.ico {
        access_log off;
        log_not_found off;
    }

 ## début config seedbox-manager ##

    location ^~ /seedbox-manager {
	alias /var/www/seedbox-manager/public;
	include /etc/nginx/conf.d/php-manager.conf;
	include /etc/nginx/conf.d/cache.conf;
    }

    ## fin config seedbox-manager ##    
## début config rutorrent ##

location /USER1 {
        include scgi_params;
        scgi_pass 127.0.0.1:5001;
        auth_basic "seedbox";
        auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd_user1";
    }

location /USER2 {
        include scgi_params;
        scgi_pass 127.0.0.1:5002;
        auth_basic "seedbox";
        auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd_USER2";
    }

location /USER3 {
        include scgi_params;
        scgi_pass 127.0.0.1:5003;
        auth_basic "seedbox";
        auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd_user3";
    }

location /USER4 {
        include scgi_params;
        scgi_pass 127.0.0.1:5004;
        auth_basic "seedbox";
        auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd_user4";
    }


    location ^~ /rutorrent {
	root /var/www;
	include /etc/nginx/conf.d/php.conf;
	include /etc/nginx/conf.d/cache.conf;

	location ~ /\.svn {
		deny all;
	}

	location ~ /\.ht {
		deny all;
	}
    }

    location ^~ /rutorrent/conf/ {
	deny all;
    }

    location ^~ /rutorrent/share/ {
	deny all;
    }

    ## fin config rutorrent ##
## debut config cakebox-light ##
 
   location /cakebox/ {
        rewrite ^/cakebox(/.*)$ $1 break;
        proxy_pass http://127.0.0.1:81;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_redirect off;
    }

    location /cakebox/user1/ {
        alias /home/user1/torrents/;
        add_header Content-Disposition "attachment";
        satisfy any;
        allow all;
    }

    location /cakebox/USER2/ {
        alias /home/USER2/torrents/;
        add_header Content-Disposition "attachment";
        satisfy any;
        allow all;
    }
    location /cakebox/user3/ {
        alias /home/user3/torrents/;
        add_header Content-Disposition "attachment";
        satisfy any;
        allow all;
    }
    location /cakebox/user4/ {
        alias /home/user4/torrents/;
        add_header Content-Disposition "attachment";
        satisfy any;
        allow all;
    }
}

/etc/nginx/sites-enabled/cakebox.conf

server {
    listen 81;
    server_name ndd.fr;
    ssl_certificate /etc/letsencrypt/live/ndd.fr/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/ndd.fr/privkey.pem;

    root /var/www/cakebox/public;
    index index.php;

    allow 127.0.0.1; # only the proxy
    deny all;

    charset utf-8;
    include /etc/nginx/conf.d/cache.conf;

    access_log /var/log/nginx/cakebox-access.log;
    error_log /var/log/nginx/cakebox-error.log;

    location = / {
        try_files @site @site;
    }

    location / {
        try_files $uri $uri/ @site;
    }

    location ~ \.php$ {
        return 404;
    }

    location @site {
        fastcgi_pass unix:/var/run/php5-fpm.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $document_root/index.php;
        fastcgi_param APPLICATION_ENV production;
        ## uncomment when running via https
        ## fastcgi_param HTTPS on;
    }
}

    ludoz59 Salut,

    As-tu des services en sous-domaine?

    En tout cas dans tes conf aucune trace des services non couverts par le certificat.

    Ou sont-ils renseignés ?

    Si cela fonctionnait avant que tu installes tes certificats, il doit bien y avoir un fichier reprenant leur config.

      Salut Zarev
      Je n'utilise aucun sous domaine.
      Justement je me demande s'il faut pas rajouter des fichiers conf dans le répertoire /etc/nginx/sites-enabled/ car j'ai seulement des fichiers conf pour rutorrent, cakebox, et seedbox-manager. Il n'y a rien par rapport aux trois autres logiciels que j'utilise (transmission, pyload et btsync) par contre sans passer par le nom de domaine j'arrive a acceder a transmission, pyload et btsync.

      Bonjour,

      Merci pour ce tuto !
      Juste peut-être, lors de la création du fichier params.conf, préciser qu'il faut modifier le path

      ssl_trusted_certificate /etc/letsencrypt/live/domain.tld/fullchain.pem;

      ça évitera peut-être que certains (comme moi) ne le voient pas du premier coup 🙂 (nginx ne redémarrera pas sinon)

      edit: par contre j'obtiens un score de: A
      A cause des protocoles utilisés 😛rotocoles TLSv1_2 (en vert) TLSv1_1 TLSv1. A désactiver ? SI oui, savez-vous comment ?

      edit 2: la réponse à ma question est donnée en décembre 2015. Merci 🙂 !

      Merci d'avance !

      Bonjour a tous pour mon soucis j'ai fais autrement sans passer par mon nom de domaine, sinon depuis que j'ai mis le certificat SSL j'ai une erreur dans rutorrent des que je veux bouger, compresser ou extraire un fichier via le file manager dans rutorrent si jamais vous avez une idée même par PM hésitez pas 🙂 Voila les screens des erreurs
      Compression
      https://images.mondedie.fr/x2ICeeHX/bD67spSv.png
      Extraction
      https://images.mondedie.fr/rD2j5zAI/P05Tm9VS.png
      Déplacer
      https://images.mondedie.fr/MtG3c8KK/MYgYx4vH.png

      Salut,

      Je ne vois aucun screen (?).

      Bizarre quand j'arrive sur la page je les vois directement :S ce sont des liens google drive si tu veux je peux te les envoyés en PM

      Ok, normal que je les affiche pas alors. Tu peux par exemple les héberger sur MDD (cf lien en haut).

      Je ne sais pas d'où ça vient mais c'est une erreur de code ça, pas liée à ton SSL. As-tu relancé ruTorrent dans la foulée de Nginx ?
      Au passage, faudrait changer ton hostname aussi.

        Aerya Oui j'ai bien relancé rutorrent ca ne change rien ... , changer l'hostname ou ? C'est bizarre que j'ai cette erreur car avant la mise en place du SSL j'avais aucun soucis pour utiliser la compression, l'extraction et le deplacement

          10 jours plus tard

          Bonsoir,

          Je suis dans le même cas que ludoz59.

          J'ai installé un serveur dédié sous Debian 8 , suivit du Script d'installation automatique ruTorrent & Seedbox-Manager.

          Et pour finir, j'ai suivit le tutoriel de ce topic pour faire un site propre. Tout marche nickel sauf si je veux utiliser File-Manager. Je me retrouve avec les mêmes problèmes que ludoz59.

          J'avoue chercher dans les différents fichiers de conf en vain.

          Merci de votre aide.

          Salut, j'ai une petite question.

          Dans ma config nginx je redirige toutes les requêtes http en https. Dans ce cas, le HSTS est vraiment utile ?
          Ou alors il est préférable que je retire la redirection, que je mette le HSTS ?

          Merci !

          HTST permet que le navigateur redirige directement vers l'HTTPS, donc tu économises une requête, et un temps de réponse plus long 😉

          6 jours plus tard

          j'ai renouvelé mon certificat ce matin et j'ai vu que mon fichier /etc/nginx/ssl/params.conf n'était pas identique à celui du tuto. Du coup j'ai mis celui recommandé par le tuto et j'ai eu quelques soucis.

          J'ai du transformé ssl_session_cache shared:SSL:50m en ssl_session_cache shared:SSL:10m et j'aussi du supprimer add_header X-Robots-Tag none; sinon nginx ne se lançait pas

          Concrètement les modifications que j'ai du faire pour pouvoir relancer nginx ça change quoi par rapport au tuto ?

          Salut,

          j'obtiens ceci "ssl_stapling" ignored, issuer certificate not found, le site fonctionne donc ce n'est pas bien grave on dirait ?

          @seb_c_bi1
          Pas de grands changements dans tes modifs. Tu as juste réduit la taille du cache des sessions SSL mais c'est déjà largement assez.
          Par contre pour le X-Robot-Tag tente de mettre des guillemets autour de none. Sinon moi j'ai ça comme paramètre : add_header X-Robots-Tag "noindex, nofollow, nosnippet, noarchive";

          @LetsGo67 : Tu ne dois pas avoir le certificat de l'autorité de certif dans ta chaine SSL. Un peu de lecture : http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling

          @Nebukad

          Merci pour ton aide, j'ai mis ton paramètre ça passe nikel.

          Il faudra juste que je regarde pourquoi je ne peux pas mettre 50M sur la taille du cache.