Pour ce tuto : http://mondedie.fr/d/7414/1

Jedediah wrote: • Les domaines pour lesquels vous souhaitez générer le certificat (en général www.votresite.fr et votresite.fr On ne peut pas mettre n'importe quoi il me semble. Il est indiquer dans le mail les domaines possibles. Sinon merci

Merci pour le tuto, J'ai pas du tous suivis l'affaire, mais y'a t'il une date de sortie de prévu ?

Arthur_ wrote: Jedediah wrote: • Les domaines pour lesquels vous souhaitez générer le certificat (en général www.votresite.fr et votresite.fr On ne peut pas mettre n'importe quoi il me semble. Il est indiquer dans le mail les domaines possibles. Sinon merci 🙂 Je cite le tuto : Attention : Let's Encrypt est pour le moment en phase de beta fermée. Il faut au préalable s'inscrire à cette beta avant de voir son nom de domaine white-listé pour la génération de certificat.

Si m'es souvenir sont bon lors de "l'inscription" a la beta tu rentre juste ton nom de domaine. ex : domaine.fr Dans le mail qu'il t'envoie il est écrit : "your whitelisted domaines are: www.domaine.fr / domaine.fr" Donc pour moi tu n'a pas le choix. Tu ne peut donc pas faire webmail.domaine.fr

Oui c'est exactement ce que je veux dire par la phrase extraite du tuto.

Hello a la sortie de la version stable/finale de Let's Encrypt on aura le droit de demander un certificat wildcard genre : *.domaine.tld Ou il faudra un certificat différent pour chaque sous domaine ?

En tout cas vivement ça sortie officielle qu'on puisse tous en profiter

Oxynux wrote: Hello a la sortie de la version stable/finale de Let's Encrypt on aura le droit de demander un certificat wildcard genre : *.domaine.tld Ou il faudra un certificat différent pour chaque sous domaine ? Il n'y a pas de wilcard de prévu pour l'instant et je crois que c'est pas au programme donc génération de certif pour chaque sous domaine. Ex.

Pas forcément, il est prévu que les certificats soient valables pour du multi-domaines, ce qui reste intéressant.

[Discussion] Certificat SSL signé et gratuit avec Let's Encrypt : Page 4

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] Certificat SSL signé et gratuit avec Let's Encrypt

Solinvictus

Diesel wrote:bonsoir a tous

j'ai remarquer divers tutoriel sur le web qui regroupe des scripts .sh pour un renouvellement du ou des certificats apres 60 jours d'utilisation

notament celui ci :ici et celui la

une âme charitable suggérez ce bonus ?

Cordialement

A l'heure actuelle, il suffit "simplement" de relancer le processus et, par la suite, la procédure pourrait changer. Un script est-il vraiment nécessaire ?

Diesel

Solinvictus wrote:
Diesel wrote:bonsoir a tous

j'ai remarquer divers tutoriel sur le web qui regroupe des scripts .sh pour un renouvellement du ou des certificats apres 60 jours d'utilisation

notament celui ci :ici et celui la

une âme charitable suggérez ce bonus ?

Cordialement
A l'heure actuelle, il suffit "simplement" de relancer le processus et, par la suite, la procédure pourrait changer. Un script est-il vraiment nécessaire ? 😛

Pour les tetes en l'aire qui ne regarde pas specialement la date de fin de leur certificat je suppose que oui

Solinvictus

Diesel wrote:
Solinvictus wrote:
Diesel wrote:bonsoir a tous

j'ai remarquer divers tutoriel sur le web qui regroupe des scripts .sh pour un renouvellement du ou des certificats apres 60 jours d'utilisation

notament celui ci :ici et celui la

une âme charitable suggérez ce bonus ?

Cordialement
A l'heure actuelle, il suffit "simplement" de relancer le processus et, par la suite, la procédure pourrait changer. Un script est-il vraiment nécessaire ? 😛
Pour les tete en l'aire qui ne regarde pas specialement la date de fin de leur certificat je suppose que oui 😛

Oui, sur ce point, je te rejoins

Jedediah

Je te laisse mettre à jour le tuto Magic, je suis en plein déménagement.

fabinux

salut, je sais pas si c'est possible d'avoir letsencrypt sur mon vsftpd ? j'ai essayé mais on dirait qu'il veut pas des .pem enfin je sais pas trop

Magicalex

Jedediah wrote:Je te laisse mettre à jour le tuto Magic, je suis en plein déménagement.

Voilà j'ai fais la mise à jour.

Killerfun

comment doit on faire si on a plusieurs nom de domaine ?

merci

Wonderfall

Tu peux bien évidemment utiliser plusieurs NDD avec Let's Encrypt, il suffit de les passer au paramètre -d lors de la génération d'un certificat.

Hardware

Juste une précision concernant la configuration nginx, dans le cas présent ce n'est pas utile de générer les paramètres statiques DH (supprimer la directive ssl_dhparam) puisque dans la liste des ciphers il n'y a aucun algo DHE uniquement ECDHE :

ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA

Dans le cas des courbes elliptiques ECDHE, la directive ssl_ecdh_curve est suffisante. Voila, c'est toujours bon à savoir et ça fait gagner du temps.

Killerfun

je dois saisir ce code ?

./letsencrypt-auto --help all
./letsencrypt-auto certonly -d

Wonderfall

Hardware wrote:Juste une précision concernant la configuration nginx, dans le cas présent ce n'est pas utile de générer les paramètres statiques DH (supprimer la directive ssl_dhparam) puisque dans la liste des ciphers il n'y a aucun algo DHE uniquement ECDHE :
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
Dans le cas des courbes elliptiques ECDHE, la directive ssl_ecdh_curve est suffisante. Voila, c'est toujours bon à savoir et ça fait gagner du temps.

C'est ce que j'allais dire aussi justement. Pas besoin de dhparam si ECDHE est utilisé.

Au passage, comme on en avait discuté hier soir, secp521r1 n'est pas supporté par Chrome et Internet Explorer.
Donc si vous vos sites ont vocation à être utilisé par des personnes diverses et pas forcément à la pointe de la sécurité, baisser cette valeur à secp384r1 (ECDHE 384bits, quasiment aussi sûr).

allan84

bjr, pour les débutants comme moi je peux l'installer ou vaut il mieux que j'attende une version finale? Merci

Magicalex

allan84 wrote:bjr, pour les débutants comme moi je peux l'installer ou vaut il mieux que j'attende une version finale? Merci

Tu peux l'installer mais tu devras générer un autre certificat dans 90j

allan84

ok, merci de la réponse

flks

xataz wrote:Pour le faire en une commande (pratique pour des scripts d'auto génération, pour mettre à jour le cert) :
./letsencrypt-auto certonly --agree-tos -m contact@domain.tld -d mail.domain.tld -d domain.tld -d www.domain.tld

Je propose cette petite update un poil plus pratique à utiliser, et pour éviter de casser les sites trop longtemps (à moins qu'il faille faire autrement que de couper nginx qui utilise déjà le port 80 ?) :

domain=site.com; \
service nginx stop \
&& cd /root/letsencrypt \
&& ./letsencrypt-auto certonly --agree-tos --rsa-key-size 4096 -m admin@$domain -d mail.$domain -d $domain -d www.$domain \
&& service nginx start

(changer le chemin du cd par le dossier bien entendu)

julienth37

Salut,

Pour apache il suffit de lancer le script comme ceci et de se laisser guider

./letsencrypt-auto --rsa-key-size 4096

L'installation du(des) certificat(s) est automatiquement faite par le script par la création d'un(des) virtualhost.

Pour la configuration manuelle en utilisant

./letsencrypt-auto certonly --rsa-key-size 4096

Il suffit ensuite d'ajouter un VirtualHost pour le https comme ceci (créer un fichier monsite-ssl.conf dans /etc/apache2/sites-available/):

<IfModule mod_ssl.c>
          <VirtualHost *:443>

                    <--------mettre ici contenu de votre virtualhost existant sans ssl------------->

                    SSLCertificateFile /etc/letsencrypt/live/<www.monsite.tld>/fullchain.pem
                    SSLCertificateKeyFile /etc/letsencrypt/live/<www.monsite.tld>/privkey.pem
                    Include /etc/letsencrypt/options-ssl-apache.conf
          </VirtualHost>
</IfModule>

Pour activer le virtualhost

a2ensite /etc/apache2/sites-available/<fichier crée>

un petit

apache2ctl configtest

pour vérifier qu'on n'as pas fait de coquille
et un

service restart apache2

pour que apache prenne en compte les modifications.
Si jamais il se plain d'un mod ssl manquant un

a2enmod ssl

service apache2 restart

devrais corriger le problème.

Voila bonne navigation en https !

laster13

Bonjour,

J'ai suivi le tuto a la virgule près

et j'obtiens un A aux tests. Y a t il d'autres paramètres à prendre en compte pour l'obtention du A+ ?

julienth37

laster13 wrote:Bonjour,

J'ai suivi le tuto a la virgule près et j'obtiens un A aux tests. Y a t il d'autres paramètres à prendre en compte pour l'obtention du A+ ?

Je me suis penché sur la question, objectivement obtenir un A+ à part si t'est une banque et que tu veux faire plaisir à tes client en disant on à la plus grosse sécu en https, bof ça sert à ... rien !

Si tu veux t'amuser tu peut regarder les résultats de ssllabs (https://www.ssllabs.com/ssltest/index.html) pour affiner tes réglages.

laster13

Merci pour ta réponse. Pour infos je me bats avec Free pour obtenir mon reverse dns. Je ne les lâche pas et j'appelle tous les 3 jours environ. Impossible d'obtenir gain de cause. Aucune explication cohérente de leur part si ce n'est que je suis sur une liste d'attente, qu'à priori il n'y a qu'une seule personne qui s’occupe de çà et que cela se fait manuellement .. Bref c'est une prise tète à chaque appel. Je suis dégouté. Pourtant lorsque je vais sur ma console (interface web) le reverse est enregistré, ce qu'ilS confirment mais il n'est pas activé. C'était pour faitre suite à nos échanges en MP et te tenir informer

cocolabombe0

Je viens de faire actuellement le tutoriel et j'ai des remarques.
CryptCheck: A+
ssllabs: A+

La, je l'ai fais sur la racine du site.

J'ai refais l'installation pour rajouter les sous domaines et tout fonctionne après des petits changements pour forcer le https.

« Page précédente Page suivante »