Forum

Reprise du message précédent

Bonjour

C'est un Raspberry PI2 derrière une livebox et un nom de domaine chez gandi. Pour l'iP dynamique, j'utilise Gandyn.

Bonjour,

Ca fait un moment que j'aurais dû répondre mais j'ai passé pas mal de temps à essayer différentes configurations de fichiers de zone chez Gandi et de redirections.
Je pensais avoir pu simplifier ma config (en utilisant le *) mais ce n'est pas le cas.
Pour le moment, voici ma config actuelle :

Fichier de zone :

@ 10800 IN A adresse_ip_de_ma_freebox
backuppc 10800 IN CNAME webredir.vip.gandi.net.
blog 10800 IN CNAME blogs.vip.gandi.net.
ftp 10800 IN CNAME webredir.vip.gandi.net.
imap 10800 IN CNAME access.mail.gandi.net.
joomla 10800 IN CNAME webredir.vip.gandi.net.
mytinytodo 10800 IN CNAME webredir.vip.gandi.net.
owncloud 10800 IN CNAME webredir.vip.gandi.net.
phpmyadmin 10800 IN CNAME webredir.vip.gandi.net.
piwigo 10800 IN CNAME webredir.vip.gandi.net.
pop 10800 IN CNAME access.mail.gandi.net.
pydio 10800 IN CNAME webredir.vip.gandi.net.
roundcubemail 10800 IN CNAME webredir.vip.gandi.net.
smtp 10800 IN CNAME relay.mail.gandi.net.
subsonic 10800 IN CNAME webredir.vip.gandi.net.
tt-rss 10800 IN CNAME webredir.vip.gandi.net.
webmail 10800 IN CNAME webmail.gandi.net.
www 10800 IN CNAME ma_jolie_adresse.fr.
@ 10800 IN MX 50 fb.mail.gandi.net.
@ 10800 IN MX 10 spool.mail.gandi.net.

Redirections :

(vide) Directe (permanente) https://ma_jolie_adresse.fr
backuppc Directe (permanente) https://ma_jolie_adresse.fr/backuppc
ftp Directe (permanente) ftp://ma_jolie_adresse.fr:2122
joomla Directe (permanente) https://ma_jolie_adresse.fr/administrator
mytinytodo Directe (permanente) https://ma_jolie_adresse.fr/mytinytodo
owncloud Directe (permanente) https://ma_jolie_adresse.fr/owncloud
phpmyadmin Directe (permanente) https://ma_jolie_adresse.fr/phpmyadmin
piwigo Directe (permanente) https://ma_jolie_adresse.fr/piwigo
pydio Directe (permanente) https://ma_jolie_adresse.fr/pydio
roundcubemail Directe (permanente) https://ma_jolie_adresse.fr/roundcubemail
subsonic Directe (permanente) https://ma_jolie_adresse.fr:4040
tt-rss Directe (permanente) https://ma_jolie_adresse.fr/tt-rss
www Directe (permanente) https://ma_jolie_adresse.fr

qui marche SAUF pour pydio où je ne peux pas y accéder par
pydio.ma_jolie_adresse.fr
mais par :
ma_jolie_adresse.fr/pydio

C'est d'ailleurs la seule adresse qui ouvre un nouvel onglet au lieu de descendre dans pydio depuis l'onglet courant.

Pour les autres sous-domaines, ça marche. Par contre, dans la barre d'adresse de Firefox, j'ai ma_jolie_adresse.fr/<le sous-domaine>. C'est une chose que je n'ai jamais réussi à  changer. J'aimerais avoir <le sous-domaine>.ma_jolie_adresse.fr à la place. Mais c'est un autre problème.
Je n'ai pas encore modifié mon certificat (je suis toujours avec le mien auto-signé). Je vais essayé de passer avec celui de letsencrypt ces jours-ci.

Souhaitez-moi bonne chance.

Xuo.

Bonsoir,

Quelques nouvelles.
A force de faire des manips, jai atteint il y a quelques jours le maximum de certificats que je pouvais générer. J'ai dû attendre 1 semaine pour recommencer.
Pour l'instant, je n'ai fait que ma_jolie_adresse.fr et www.ma_jolie_adresse.fr.
Si je mets roundcubemail.ma_jolie_adresse.fr par ex, letsencrypt plante (par contre, piwigo.ma_jolie_adresse.fr n'avait pas l'air de poser de problème).
Je vais rester quelques jours comme ça et voir ce qu'il se passe. Puis j'en ajouterai quelques-uns petit à petit.
Du coup, piwigo.ma_jolie_adresse.fr ne marche pas mais ma_jolie_adresse.fr/piwigo passe. Ca m'agace mais ce n'est pas bloquant.

J'ai un peu fait le tour des forums et beaucoup de personnes ont la même erreur que moi :

The following 'urn:acme:error:unauthorized' errors were reported by
the server:

Domains: joomla.ma_jolie_adresse.fr, owncloud.ma_jolie_adresse.fr,
roundcubemail.ma_jolie_adresse.fr
Error: The client lacks sufficient authorization

Mais je n'ai pas vraiment de piste. Il est possible que cela soit dû au fait que les serveurs de letsencrypt ne puissent pas écrire dans les répertoires .well-known/acme-challenge/. Comme ce n'est pas un problème de droits linux, il est possible que cela vienne des .htaccess. Peut-être faut-il que je les supprime le temps de faire la manip ?

A plus.

Xuo.

Bonsoir,

Je suis arrivé à faire marcher Letsencrypt mais pas comme je voulais.
1) J'ai pu mettre tous mes sous-domaines, sauf pydio (je ne sais pas pourquoi, mais il a toujours été différent dans son comportement), backuppc (je ne sais pas pourquoi, même en supprimant tout le contenu du répertoire, je ne pouvais pas accéder à un fichier dans .well-known/acme-challenge) et subsonic (qui est défini comme www.ma_jolie_adresse.fr:4040).

A part pour ces 3 là , j'ai pu créer le certificat. Pour cela, j'ai renommé tous les .htaccess de mes sous-domaines en
.htaccess.letsencrypt avant de lancer letsencrypt-auto. Et de les remettre bien entendu.

Mais :
2) je ne pouvais pas accéder à  piwigo.ma_jolie_adresse.fr (où n'importe quel autre sous-domaine) mais à ma_jolie_adresse.fr/piwigo et les informations sur le certificat étaient données comme venant de www.ma_jolie_adresse.fr.
Comme ça ne me convenait pas, je suis revenu à mon certificat auto-signé.

Un point que je souhaite partager : j'avais installé le certificat de LetsEncrypt il y a quelques semaines mais comme à l'époque je
n'arrivais pas à faire le certificat pour mes sous-domaines, j'étais repassé sur mon certificat auto-signé. Mais là , Firefox refusait de me donner accès à mon site. Même en écrasant les fichiers cert* de .mozilla/firefox.
J'ai du tout réinstaller de zéro (enfin, presque, merci Firefox Sync).
Donc avant de faire des manips et de revenir en arrière, sauvegardez votre répertoire .mozilla/firefox et faites les tests depuis un FF vierge.

Xuo.

Bonsoir,
petit retour d'expérience sur Let's Encrypt chez moi
serveur apache Mageia 5
box free
nom de domaine mon.hd.free.fr fraichement activé (en fait une Entrée DNS personnalisée en guise de Reverse DNS)
(mon est fictif)

Ça marche très bien semble-t-il.

Cela dit l'installation n'est pas automatique :
Installation des dépendances avec l'exécutable _mageia_common.sh du bootstrap (https://github.com/letsencrypt/letsencrypt/pull/1742)
Puis

OK


En cherchant à corriger cette première erreur par le biais de la communauté Let's Encrypt, j'en viens à corriger cette deuxième erreur (ligne 1 de la réponse à la commande qui suit)


Mais la première erreur a tout de même persisté pour la commande


Alors, je me suis tourné vers l'alternative moins automatique



Et ça a créé notamment ces quelques éléments sur le système : /etc/letsencrypt/



Ensuite il ne reste plus qu'à répercuter ces nouveautés dans la configuration apache.
Il parait que Mozilla suggère quelque chose de bien ! https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_Server_Configurations
(Pour le SSLCipherSuite https://httpd.apache.org/docs/trunk/fr/ssl/ssl_howto.html )


NB : les quatre fichiers ont été associés comme suit dans le fichier de configuration (ça me semble le plus logique, mais ça ne colle pas avec la proposition de pfg dans le fil de discussion de la communauté Let's Encrypt). À VALIDER.

EDIT :

• SSLCertificateChainFile est devenue obsolète avec la version 2.4.8
• SSLCACertificateFile Cette directive permet de définir le fichier tout-en-un où vous pouvez rassembler les certificats des Autorités de Certification (CAs) .../... Un tel fichier contient la simple concaténation des différents fichiers de certificats codés en PEM, par ordre de préférence.

Nouvelle mouture

Édité par Tonin Le 24/10/2018 à 11h45

Bonjour,

Marche pas depuis la nouvelle mise en œuvre par Cerbot (ou je ne sais pas faire
Semble ne mettre en oeuvre que yum ou dhf (on tombe automatiquement sur une install à la redhat) avec la commande :




Si vous avez une solution ...

Édité par LSDM Le 10/06/2016 à 16h47

Bonjour

Je pense qu'il faut abandonner la commande letsencrypt et utiliser désormais cerbort . Il faut donc télécharger le client cerbot adapté à ton linux..