• Applications

  • [Discussion] Certificat SSL signé et gratuit avec Let's Encrypt

6 jours plus tard

Hello,

J'ai encore une petite question avant de sauter le pas, je peux suivre le tuto de Jedediah ou il n'est pas à jour ?

Merci bien 😄

The certbot-auto command updates to the latest client release [...]

Hello,

oui je le présume @Steven. D'après ce court extrait (qui provient du dernier lien) normalement tout devrait bien se dérouler.

NB : Par contre, je te déconseil de l'installer (directement depuis (le(s) dépot(s) de) Debian). En outre, actuellement la dernière version c'est certbot-v0.23.0 (tandis que Debian (oui Stretch) à des trains de retard certbot-v0.10.2). Disons que cela t'évitera des problèmes.

    Et bhé en effet, merci en tout cas pour l'info et les sources 😘

    De rien @Steven 😉 et tu as raison @spider1163 car je viens de regardé. Par contre, je note(rais) qu'il reste un léger retard car cela nous donne(ra) certbot-v0.21.1 et le changelog (entre ces 2 versions) ne me semble pas anodin (plusieurs corrections etc).
    https://packages.debian.org/stretch-backports/certbot
    Et puis, grosso modo je voulais surtout que ma réponse soit assez simple. Je me disais qu'ensuite s'il le fallait je donnerais de plus ample détail.

    Salut c'est le relou de service 🤓

    Je me suis lancer dans l'aventure let's encrypt, quand je lance l'install il me laisse pas le choix de wildcard mais me propose bien les sous-domaines que j'ai (via nginx), du coup j'ai peur que sa soit un certificat par sous-domaines du coup le jour où j'en crée un nouveau rebelote puis vu que la wildcard existe maintenant autant l'utiliser.

    J'ai eu une erreur ASCII qui est lier à certains commentaires qui on des accents etc ... 😅

    Du coup je suis en version "certbot 0.23.0" Debian 9 et Nginx, Merci bien 😚

      https://mondedie.fr/d/7415-Discussion-Certificat-SSL-signe-et-gratuit-avec-Let-s-Encrypt/473

      Certbot has ACME v2 support since Version 0.22.0. This version may not yet [...]
      The V2 API supports issuing wildcard certificates [...]

      Salut c'est encore moi 😆 À force cela va finir comme avec la team Rocket 🙃

      Navré @Steven je doute de pouvoir t'aidé cette fois-ci (je m'en sers rarement)... D'après mes souvenirs, c'est hyper récent et l'article donné par @spider1163 semble le confirmer (depuis que certbot-v0.22.0 est sortie, il ne devrait y avoir aucun souci avec les wildcards).

        Wagner Ne t'envole pas vers d'autres cieux 🙂

        Steven Je crois que le wildcard est implicite. Lors de mes derniers tests sans avoir demander *.ndd.tld avec le certbot et en passant par https://medusa.ndd.tld mon site était bien certifié avec le petit cadenas vert... Je dis peut être une grosse connerie.

            pour ma part je n'arrive pas utiliser les wildcards sur mon server

            j'obtient l'erreur : "The currently selected ACME CA endpoint does not support issuing wildcard certificates."

            je me demande s'il ne faut pas que je paramètre un truc au niveau de mon gestion de domaine pour avoir accés au wildcards.

            @Wagner Pas mal 😄

            Du coup je vais essayer de le mettre en place je verrais bien comment sa réagit, mais j'avais vu sur le site de certbot que ACME v2 n'était pas encore supporter mais en regardant d'autre version ce message y était aussi ! Enfin bref je verrais bien ce que sa fait 😝

            @palouf34 Je pense que tu as à peut prêt le même soucis que moi, regarde un peu la version de ton certbot pour voir, il me semble que la commande c'est : ./certbot-auto --version

              Steven

              je ne passe pas par le paquet officiel mai par le script, qui c'est bien mis à jour en version 0.23.0

              xavier cela serait super sympa.

                  Wildcard avec la dernière version :
                  ./certbot-auto certonly --manual -d *.example.com -d example.com --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory
                  Il faut avoir accès à la zone DNS car la validation passe par un enregistrement DNS TXT.

                  Sauf cas particuliers, il est déconseillé d'utiliser un wildcard sur un serveur de prod.

                    spider1163
                    tu entends quoi par enregistrement DNS TXT ?
                    il faut allez sur le gestionnaire du domaine pour rajouter une zone particulière?

                      BarbeRousse

                      en regardant le script mon provider n'est pas dans la liste... sniff

                      spider1163

                      j'ai bien créer l'enregistrement auprés de mon porvider mais j'obtient le message suivant::

                       Failed authorization procedure. tld.fr (dns-01): urn:ietf:params:acme:error:unauthorized :: The client lacks 
 sufficient authorization :: Incorrect TXT record "I-----clef" found at _acme-challenge.lcrprod.fr
 IMPORTANT NOTES:
  - The following errors were reported by the server:
    Domain: tld.fr
   Type:   unauthorized
   Detail: Incorrect TXT record
   "I-----clef" found at
   _acme-challenge.tld.fr

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address.

                      mon provider est online.net.

                          La vérification TXT ne se fait pas correctement, la propagation DNS n'était peut-être pas terminé.
                          Tu peux toujours vérifier via dig -t txt _acme-challenge.example.com +short ou des outils en ligne.

                          Note : si tu demandes *.example.com ET example.com, tu as 2 enregistrements TXT de contrôle à mettre en place

                            spider1163

                            ok je comprends mieux la procédure.

                            il faut donc lancer l'opération, lorsqu'il demande les enregistrements, il faut les créer, et ensuite attendre que cela se propage (mais cela doit prendre pas mal de temps) et ensuite finir l'opération du script.