Le 24/09/2018 à 19:40, David Pinson a écrit :
Le 24/09/2018 à 12:17, Jean-Max Reymond a écrit :
Le 20/09/2018 à 21:10, David Pinson a écrit :
Bonsoir la liste,
Même si je dois rechercher via les moteurs de recherche, je me tourne aussi vers les listes d'entraides.
Tout est dans le titre: Est-ce parmi vous aurait un tuto plus facile ou un lien plus intéressant ?
Merci pour vos retour,
Je gère une cinquantaine de domaines et ils sont tous sécurisés par letsencrypt utilisé avec apache. Je peux partager sur cette liste la technique que j’applique systématiquement, y compris pour le renouvellement car le renouvellement chaque trimestre est le principal écueil de letsencrypt. Pour ceux qui sont hébergés par OVH par exemple, le certificat letsencrypt est fourni automatiquement et donc, il n'y a rien à faire pour sécuriser et avoir le fameux cadenas pour son URL
Bonsoir,
Je serai preneur de ta méthode car j'ai essayé sans succès certaines méthodes trouvés sur le net car je heurte souvent à des erreurs liés aux noms de domaines.
Encore merci,
On va essayer de ne rien oublier même si c'est assez simple finalement. tout d'abord, il faut installer le logiciel certbot qui va automatiser un certain nombre d'opérations. Une fois, le logiciel installé, tu fais une configuration apache standard sans notion de https, par exemple pour le domaine smartged.aapca.net
<VirtualHost *:80 > DocumentRoot /var/www/html ServerName smartged.aapca.net RewriteEngine On <Directory /var/www/html> Require all granted AllowOverride All </Directory> ErrorLog /var/log/apache2/error-e-odis.log # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel warn
CustomLog /var/log/apache2/e-odis.log combined </VirtualHost>
tu charges la configuration, de telle sorte que le domaine http://smartged.aapca.net réponde ensuite ssh doit être activé ainsi que rewrite: a2enmod ssl rewrite
ensuite, tu demandes un certificat en donnant ton @email pour être averti des expirations du domaine
cd certbot ./certbot-auto certonly --apache --email jmreymond@ckr-solutions.com -d smartged.aapca.net
et cela doit donner le message Requesting to rerun ./certbot-auto with root privileges... Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator apache, Installer apache Obtaining a new certificate Performing the following challenges: http-01 challenge for smartged.aapca.net Waiting for verification... Cleaning up challenges
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/smartged.aapca.net/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/smartged.aapca.net/privkey.pem Your cert will expire on 2018-12-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
tu as donc désormais un certificat, il suffit de l'exploiter et ta configuration devient (avec une redirection de http vers https):
<VirtualHost *:80> ServerName smartged.aapca.net Redirect permanent / https://smartged.aapca.net/ CustomLog /var/log/apache2/smartged.aapca.net.log combined </VirtualHost> <VirtualHost *:443 > DocumentRoot /home/Web/smartged/ ServerName smartged.aapca.net ErrorLog /var/log/apache2/smartged.aapca.net.log RewriteEngine On
<Directory /home/Web/smartged/> Require all granted AllowOverride All </Directory>
# Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel warn
SSLCertificateFile /etc/letsencrypt/live/smartged.aapca.net/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/smartged.aapca.net/privkey.pem Include /etc/letsencrypt/options-ssl-apache.conf CustomLog /var/log/apache2/smartged.aapca.net.log combined </VirtualHost>
Voilà, tu devrais avoir un beau cadenas vert sous Firefox. Si tu as un triangle orange comme pour https://www.pleinsudtv.com/, c'est que ta page appelle d'autres pages sans https et il faut donc corriger ta page.
Une des faiblesses de letsencrypt, c'est le renouvellement chaque trimestre. Heureusement, certbot aide bien Dans la crontab de root, tu mets une ligne comme 10 3 * * 6 /home/jmr/certbot/certbot-auto renew qui va chaque samedi à 6 heures du matin, demander le renouvellement. Celui ci sera fait si nécessaire. Il faut le lancer en root car le certbot va se faire une mise à jour si nécessaire.
Il y a également une possibilité assez récente qui fonctionne avec la convention * par exemple certifier tout le domaine linux-azur.org mais je ne l'ai pas encore mis en place; N'hésite pas à me questionner si je me suis loupé, si j'ai oublié des choses, etc Bien amicalement,