Bonjour à toutes et tous !

Je m'infiltre dans la discussion...
Merci à toi JMR pour ton aide à sécuriser mon site : https://www.pleinsudtv.com/
Du coup, à la prochaine ral, étape suivante comment passer du cadenas jaune au cadenas vert ;-)
Agréable journée à toutes et tous

Le sam. 29 sept. 2018 à 08:42, Jean-Max Reymond <jmreymond@free.fr> a écrit :
Le 24/09/2018 à 19:40, David Pinson a écrit :
> Le 24/09/2018 à 12:17, Jean-Max Reymond a écrit :
>> Le 20/09/2018 à 21:10, David Pinson a écrit :
>>> Bonsoir la liste,
>>>
>>> Même si je dois rechercher via les moteurs de recherche, je me tourne
>>> aussi vers les listes d'entraides.
>>>
>>> Tout est dans le titre:
>>> Est-ce parmi vous aurait un tuto plus facile ou un lien plus
>>> intéressant ?
>>>
>>> Merci pour vos retour,
>>>
>> Je gère une cinquantaine de domaines et ils sont tous sécurisés par
>> letsencrypt utilisé avec apache. Je peux partager sur cette liste la
>> technique que j’applique systématiquement, y compris pour le
>> renouvellement car le renouvellement chaque trimestre est le principal
>> écueil de letsencrypt.
>> Pour ceux qui sont hébergés par OVH par exemple, le certificat
>> letsencrypt est fourni automatiquement et donc, il n'y a rien à faire
>> pour sécuriser et avoir le fameux cadenas pour son URL
>>
> Bonsoir,
>
> Je serai preneur de ta méthode car j'ai essayé sans succès certaines
> méthodes trouvés sur le net
> car je heurte souvent à des erreurs liés aux noms de domaines.
>
> Encore merci,
>

On va essayer de ne rien oublier même si c'est assez simple finalement.
tout d'abord, il faut installer le logiciel certbot qui va automatiser
un certain nombre d'opérations.
Une fois, le logiciel installé, tu fais une configuration apache
standard sans notion de https, par exemple pour le domaine
smartged.aapca.net

<VirtualHost *:80 >
     DocumentRoot       /var/www/html
     ServerName smartged.aapca.net
        RewriteEngine On
         <Directory /var/www/html>
                 Require all granted
                  AllowOverride All
         </Directory>
        ErrorLog /var/log/apache2/error-e-odis.log
        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn

        CustomLog /var/log/apache2/e-odis.log combined
</VirtualHost>

tu charges la configuration, de telle sorte que le domaine
http://smartged.aapca.net réponde
ensuite ssh doit être activé ainsi que rewrite:
a2enmod ssl rewrite

ensuite, tu demandes un certificat en donnant ton @email pour être
averti des expirations du domaine

cd certbot
./certbot-auto certonly --apache  --email jmreymond@ckr-solutions.com -d
smartged.aapca.net

et cela doit donner le message
Requesting to rerun ./certbot-auto with root privileges...
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for smartged.aapca.net
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
  - Congratulations! Your certificate and chain have been saved at:
    /etc/letsencrypt/live/smartged.aapca.net/fullchain.pem
    Your key file has been saved at:
    /etc/letsencrypt/live/smartged.aapca.net/privkey.pem
    Your cert will expire on 2018-12-28. To obtain a new or tweaked
    version of this certificate in the future, simply run certbot-auto
    again. To non-interactively renew *all* of your certificates, run
    "certbot-auto renew"
  - If you like Certbot, please consider supporting our work by:

    Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
    Donating to EFF:                    https://eff.org/donate-le

tu as donc désormais un certificat, il suffit de l'exploiter et ta
configuration devient (avec une redirection de http vers https):

<VirtualHost *:80>
    ServerName smartged.aapca.net
    Redirect permanent / https://smartged.aapca.net/
    CustomLog /var/log/apache2/smartged.aapca.net.log combined
</VirtualHost>
<VirtualHost *:443 >
        DocumentRoot    /home/Web/smartged/
        ServerName      smartged.aapca.net
        ErrorLog /var/log/apache2/smartged.aapca.net.log
        RewriteEngine On

         <Directory /home/Web/smartged/>
                 Require all granted
                  AllowOverride All
         </Directory>

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn

     SSLCertificateFile
/etc/letsencrypt/live/smartged.aapca.net/fullchain.pem
     SSLCertificateKeyFile
/etc/letsencrypt/live/smartged.aapca.net/privkey.pem
     Include /etc/letsencrypt/options-ssl-apache.conf
        CustomLog /var/log/apache2/smartged.aapca.net.log combined
</VirtualHost>

Voilà, tu devrais avoir un beau cadenas vert sous Firefox. Si tu as un
triangle orange comme pour https://www.pleinsudtv.com/, c'est que ta
page appelle d'autres pages sans https et il faut donc corriger ta page.

Une des faiblesses de letsencrypt, c'est le renouvellement chaque
trimestre. Heureusement, certbot aide bien
Dans la crontab de root, tu mets une ligne comme
10 3 * * 6 /home/jmr/certbot/certbot-auto renew
qui va chaque samedi à 6 heures du matin, demander le renouvellement.
Celui ci sera fait si nécessaire. Il faut le lancer en root car le
certbot va se faire une mise à jour si nécessaire.

Il y a également une possibilité assez récente qui fonctionne avec la
convention * par exemple certifier tout le domaine linux-azur.org mais
je ne l'ai pas encore mis  en place;
N'hésite pas à me questionner si je me suis loupé, si j'ai oublié des
choses, etc
Bien amicalement,

--
Jean-Max Reymond
Éruption de l'Etna: http://jmreymond.free.fr/Etna2002
_______________________________________________
Linux06 mailing list
Linux06@lists.linux-azur.org
https://lists.linux-azur.org/mailman/listinfo/linux06