Forum

Bonjour

Let's Encrypt a pour vocation de faciliter la création des certificats et ceci gratuitement. Il s'agit pour eux de favoriser la diffusion du https et la promotion de l'auto hébergement.

L'autorité de certification est l'organisation Let's Encrypt qui elle même est soutenue par Mozilla, l’Electronic Frontier Foundation, Cisco, Akamai. L'intérêt est que l'autorité de certification est reconnue et qu'en conséquence les certificats sont reconnus nativement par les navigateur récents.




Le projet rentre dans sa phase beta, et l'on peut donc tester l'outil. Ayant un pi2, j'ai voulu refaire ma configuration (owncloud, serveur vpn pptp, serveur dhcp, serveur dns unbound). J'en avais assez d'avoir un certificat auto signé. J'ai donc testé l'expérience ave cune raspbian Jessie toute fraiche.

Et bien la chose est extrêmement simple pourvu que l'on remplisse les conditions suivantes:

- La configuration du serveur apache doit mentionner le nom de domaine au niveau des fichiers de configuration (000-default.conf; default-ssl.conf).



- Le site doit être joignable depuis le wan, c'est à dire qu'il faut ouvrir les ports adéquats et appliquer les règles NAT qui conviennent pour que le site soit visible par Lets'encrypt.

Ensuite c'est 'extrêmement simple:



Le truc détecte la conf apache automatiquement, puis vous demande de renseigner votre nom de domaine, votre email et si vous voulez du https seulement ou du http + https. Si ça fonctionne, il créé et installe tout seul comme un grand les certificats.

Je note toutefois qu'actuellement la vie des certificats est très courtes. (3 mois). Je ne sais pas pourquoi. Peut être car on est en beta. En tout cas, je ne sais pas si cela fonctionne sur Mageia, mais il faudra se pencher sur cette question vus l'intérêt évident de la solution....

Édité par vouf Le 12/12/2015 à 15h54

Bonjour,

J'ai aussi essayé d'installer le logiciel. J'y suis arrivé grâce à ces infos (https://github.com/letsencrypt/letsencrypt/pull/1742) mais après je récupère une erreur ( Error: The server could not connect to the client for DV).
Je ne comprends pas cette histoire d'ouvrir des ports. Pour moi, ils sont ouverts de fait car sinon je ne pourrais pas me connecter à mon propre site en http ou en https (80 et 443), non ?

Xuo.

Bonjour



J'ai eu le même message d'erreur....C'était que mon site n'est pas visible depuis internet.







Bah disons ça dépend. Tu accèdes certainement à ton site depuis ton réseau local. Ce n'est pas suffisant. Il faut le tester en dehors de ton réseau. Par exemple soit depuis ton téléphone mobile connecté en 3g ou 4g, ou depuis chez un amis, ou quelqu'un de ta famille.



Par exemple, mon raspberry a l'adresse ip en 192.168.1.5 sur mon réseau local. Donc si je tape cette adresse depuis mon réseau local , cela fonctionne. En revanche depuis internet non. L'adresse ip visible sera celle de la box. Il faut donc créér une règle NAT pour le port 443 afin de rediriger le traffic sur le 443 de 192.168.1.5. Avec cela, il faut correctement configurer son nom de domaine pour adresser l'ip de sa box....

Bonjour,

Je suis toujours aussi perplexe.
Non, mon site n'est pas accessible que depuis une adresse locale. J'ai une très jolie adresse du style www.ma_jolie_adresse.fr que je paye à Mr. Gandi.
Il y a donc effectivement une redirection (je ne sais pas si c'est la bonne expression) qui relie www.ma_jolie_adresse.fr à l'adresse ip de ma box.
Donc, pour moi, je suis visible depuis l'extérieur.
Je dois bien sûr me tromper (sinon je n'aurais pas de message d'erreur) mais je ne vois pas où. Et je ne vois pas ce que je dois faire pour régler mon problème. Car j'aimerais bien aussi ne plus avoir à m'auto-signer tous les ans.

Xuo.

Bonjour

Je suis moi même chez gandi. Je suppose donc que tu as une ip fixe et que tu as au niveau de ta zone DNS des règles du type :

@ A IP_BOX
www CNAME ma_jolie_adresse.fr


C'est quoi ta box ? As tu configuré une règle NAT sur les ports 443 et 80 ?
Peux tu me montrer le contenu de ta conf apache , en changeant le nom de domaine si tu veux..

Édité par vouf Le 12/12/2015 à 17h59

Bonsoir,

Là, je crois que je vais atteindre mon niveau d'incompétence maximal.
En tout cas, en local (sur mon serveur apache de la maison), je n'ai pas de zones DNS de ce type.
Chez Gandi, il y en a, mais elles ne ressemblent pas à ce que vous suggérez.
Ex :
www CNAME webredir.vip.gandi.net
@ A 217.70.184.38 (ce n'est pas l'adresse de ma box).
owncloud CNAME webredir.vip.gandi.net.

J'ai une freebox. Les adresses 80 et 443 sont dirigées vers mon serveur (192.168.0.14)

Xuo.

00_default_ssl_vhost.txt
httpd.txt

Édité par xuo Le 12/12/2015 à 19h33

Bonjour,

Voilà ton problème. Tu disposes de la zone par défaut offerte par Gandi qui pointe vers les serveurs de gandi. Donc en gros, tu essayes de faire un certificat vers un domaine qui serait hébergé sur une machine de Gandi et non vers ta freebox. Depuis ton compte, il faut créer une copie de la zone, et modifier les deux variables que je t'ai indiqué en adaptant l'IP avec celle de ta box. Une fois la zone modifiée, il faut l'activer. Cela va prendre un peu de temps, le temps nécessaire pour que les DNS soient mis à jour.

Merci. Je vais essayer (en espérant ne pas faire tomber tous les serveurs DNS de la planète).

Xuo.

Bonjour,

Ca n'a pas marché. Mais j'ai dû faire trop de changements d'un coup.
Je vais expliquer ce que j'avais au départ et les modifs que j'ai faites.

J'ai des redirections dans mon compte Gandi :
(vide) Directe (permanente) https://<Adresse_ip_de_ma_freebox>
owncloud Directe (permanente) https://<Adresse_ip_de_ma_freebox>/owncloud
piwigo Directe (permanente) https://<Adresse_ip_de_ma_freebox>/piwigo
www Directe (permanente) https://<Adresse_ip_de_ma_freebox>
...

Je n'ai pas modifié les DNS par défaut de Gandi et le fichier de zone est celui-ci (que je n'ai jamais modifié non plus).
@ A 217.70.184.38
owncloud CNAME webredir.vip.gandi.net.
...
Cette adresse (217.70.184.38) n'est pas la mienne.

Avec cette configuration, tout a l'air de marcher (sauf pour letsencrypt).

Hier soir, je n'ai rien changé dans les redirections mais j'ai fait les modifs suivantes dans les fichier de zone:
@ A <Adresse_ip_de_ma_freebox>
owncloud CNAME owncloud.ma_jolie_adresse.fr.

Et là; je n'ai plus accès à owncloud. Je vais revenir en arrière (tout en gardant le @...) mais je voudrais savoir avant si vous pensez que ça devrait être bon.
@ A <Adresse_ip_de_ma_freebox>
owncloud CNAME webredir.vip.gandi.net.

Merci.

Xuo.

Bonjour

Xuo, écrire :
owncloud CNAME webredir.vip.gandi.net.

Ca signifie que owncloud.ma_jolie_adresse.fr aura pour adresse IP celle du site webredir.vip.gandi.net

De plus, je ne vois pas comment ta configuration peut fonctionner dans la mesure @ A 217.70.184.38 pointe vers l'adresse IP de webredir.vip.gandi.net qui n'est pas celle de ta box.

Pour rappel, ma config :
@A IP_EXTERNE_MA_LIVEBOX
www CNAME mondomaine.fr.

Avec pour accéder à mon owncloud : www.mondomaine.fr/owncloud
Le domaine renseigné au niveau du certificat et de ma config apache : www.mondomaine.fr

Bonjour,

Je pense que la config marche (et c'est un fait, elle marche) grâce aux redirections permanentes.
Je vais essayer de ne changer que la ligne @A IP sans toucher aux autres lignes (webredir).

Merci.

Xuo.

Édité par xuo Le 13/12/2015 à 14h45

Bonsoir,

Je suis arrivé à passer letsencrypt sur ma_jolie_adresse.fr et sur www.ma_jolie_adresse.fr.
Mais pas sur les sous-domaines (owncloud.ma_jolie_adresse.fr).
Encore un effort.

Xuo.

Bonjour

Moi j'en ai fait qu'un certificat. Je ne sais pas comment se comporte l'outil lorsque tu en fais 2...

Tu as essayé sur un site hébergé chez un host ou hébergé chez toi?

Bonjour

C'est un Raspberry PI2 derrière une livebox et un nom de domaine chez gandi. Pour l'iP dynamique, j'utilise Gandyn.