Bonsoir la liste,
Même si je dois rechercher via les moteurs de recherche, je me tourne aussi vers les listes d'entraides.
Tout est dans le titre: Est-ce parmi vous aurait un tuto plus facile ou un lien plus intéressant ?
Merci pour vos retour,
J'ai pas vraiment de lien ou de tuto à proposer mais je peux aider ou répondre à des questions si besoin.
Amitiés,
Cgx
20 septembre 2018 21:11 "David Pinson" dptech06@gmail.com a écrit:
Bonsoir la liste,
Même si je dois rechercher via les moteurs de recherche, je me tourne aussi vers les listes d'entraides.
Tout est dans le titre: Est-ce parmi vous aurait un tuto plus facile ou un lien plus intéressant ?
Merci pour vos retour,
-- Linuxement vôtre,
dptech ~ David Pinson Trésorier Linux Azur http://www.linux-azur.org
jm2l 2018 ~ 11° édition http://jm2l.linux-azur.org La route est longue mais la voie est libre !
var beer = new beer(); while (true) { if (beer.empty) { beer.refill(); } else { beer.drink(); } }
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
On 09/20/18 21:10, David Pinson wrote:
Bonsoir la liste,
Même si je dois rechercher via les moteurs de recherche, je me tourne aussi vers les listes d'entraides.
Tout est dans le titre: Est-ce parmi vous aurait un tuto plus facile ou un lien plus intéressant ?
Merci pour vos retour,
quand je l'ai utilisé letsencrypot certbot m'avait tout créé, c'est à dire qu'il ajoute effectivement les paramètres dans la configuration d'apache2 dans les fichiers adhoc sous /etc/apache2/
Le 20/09/2018 à 21:10, David Pinson a écrit :
Bonsoir la liste,
Même si je dois rechercher via les moteurs de recherche, je me tourne aussi vers les listes d'entraides.
Tout est dans le titre: Est-ce parmi vous aurait un tuto plus facile ou un lien plus intéressant ?
Merci pour vos retour,
Je gère une cinquantaine de domaines et ils sont tous sécurisés par letsencrypt utilisé avec apache. Je peux partager sur cette liste la technique que j’applique systématiquement, y compris pour le renouvellement car le renouvellement chaque trimestre est le principal écueil de letsencrypt. Pour ceux qui sont hébergés par OVH par exemple, le certificat letsencrypt est fourni automatiquement et donc, il n'y a rien à faire pour sécuriser et avoir le fameux cadenas pour son URL
Coucou Jean-Max et les pingouinots,
On 9/24/18 12:17 PM, Jean-Max Reymond wrote:
../..
Je gère une cinquantaine de domaines et ils sont tous sécurisés par letsencrypt utilisé avec apache. Je peux partager sur cette liste la technique que j’applique systématiquement, y compris pour le renouvellement car le renouvellement chaque trimestre est le principal écueil de letsencrypt.
suis preneuse pour les domaines de Linux azur :-)
Salutations ensoleillées,
Coucou,
Je n'ai qu'un domaine sous Certbot, mais ju'tilise la commande suivante pour renouveller : $PATH_BIN/certbot-auto renew --post-hook "/sbin/service nginx restart"
Ils mettent la commande suivante dans la doc :
certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start"
Mais le pre-hook qui stop Nginx fait échouer le challenge Certbot (qui essaie de récupérer un fichier sur le serveur web qui est stopé).
a+
On Mon, Sep 24, 2018 at 12:42 PM netleet-net verow@netleet.net wrote:
Coucou Jean-Max et les pingouinots,
On 9/24/18 12:17 PM, Jean-Max Reymond wrote:
../..
Je gère une cinquantaine de domaines et ils sont tous sécurisés par letsencrypt utilisé avec apache. Je peux partager sur cette liste la technique que j’applique systématiquement, y compris pour le renouvellement car le renouvellement chaque trimestre est le principal écueil de letsencrypt.
suis preneuse pour les domaines de Linux azur :-)
Salutations ensoleillées,
-- Véronique Fritière ~ Linux ? C'est le luxe ! Linuxazuréenne http://www.linux-azur.org Afulienne https://aful.org Chef de projet Multimédia http://webverow.com _______________________________________________ Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Le 24/09/2018 à 12:17, Jean-Max Reymond a écrit :
Le 20/09/2018 à 21:10, David Pinson a écrit :
Bonsoir la liste,
Même si je dois rechercher via les moteurs de recherche, je me tourne aussi vers les listes d'entraides.
Tout est dans le titre: Est-ce parmi vous aurait un tuto plus facile ou un lien plus intéressant ?
Merci pour vos retour,
Je gère une cinquantaine de domaines et ils sont tous sécurisés par letsencrypt utilisé avec apache. Je peux partager sur cette liste la technique que j’applique systématiquement, y compris pour le renouvellement car le renouvellement chaque trimestre est le principal écueil de letsencrypt. Pour ceux qui sont hébergés par OVH par exemple, le certificat letsencrypt est fourni automatiquement et donc, il n'y a rien à faire pour sécuriser et avoir le fameux cadenas pour son URL
Bonsoir,
Je serai preneur de ta méthode car j'ai essayé sans succès certaines méthodes trouvés sur le net car je heurte souvent à des erreurs liés aux noms de domaines.
Encore merci,
Le 24/09/2018 à 19:40, David Pinson a écrit :
Le 24/09/2018 à 12:17, Jean-Max Reymond a écrit :
Le 20/09/2018 à 21:10, David Pinson a écrit :
Bonsoir la liste,
Même si je dois rechercher via les moteurs de recherche, je me tourne aussi vers les listes d'entraides.
Tout est dans le titre: Est-ce parmi vous aurait un tuto plus facile ou un lien plus intéressant ?
Merci pour vos retour,
Je gère une cinquantaine de domaines et ils sont tous sécurisés par letsencrypt utilisé avec apache. Je peux partager sur cette liste la technique que j’applique systématiquement, y compris pour le renouvellement car le renouvellement chaque trimestre est le principal écueil de letsencrypt. Pour ceux qui sont hébergés par OVH par exemple, le certificat letsencrypt est fourni automatiquement et donc, il n'y a rien à faire pour sécuriser et avoir le fameux cadenas pour son URL
Bonsoir,
Je serai preneur de ta méthode car j'ai essayé sans succès certaines méthodes trouvés sur le net car je heurte souvent à des erreurs liés aux noms de domaines.
Encore merci,
On va essayer de ne rien oublier même si c'est assez simple finalement. tout d'abord, il faut installer le logiciel certbot qui va automatiser un certain nombre d'opérations. Une fois, le logiciel installé, tu fais une configuration apache standard sans notion de https, par exemple pour le domaine smartged.aapca.net
<VirtualHost *:80 > DocumentRoot /var/www/html ServerName smartged.aapca.net RewriteEngine On <Directory /var/www/html> Require all granted AllowOverride All </Directory> ErrorLog /var/log/apache2/error-e-odis.log # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel warn
CustomLog /var/log/apache2/e-odis.log combined </VirtualHost>
tu charges la configuration, de telle sorte que le domaine http://smartged.aapca.net réponde ensuite ssh doit être activé ainsi que rewrite: a2enmod ssl rewrite
ensuite, tu demandes un certificat en donnant ton @email pour être averti des expirations du domaine
cd certbot ./certbot-auto certonly --apache --email jmreymond@ckr-solutions.com -d smartged.aapca.net
et cela doit donner le message Requesting to rerun ./certbot-auto with root privileges... Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator apache, Installer apache Obtaining a new certificate Performing the following challenges: http-01 challenge for smartged.aapca.net Waiting for verification... Cleaning up challenges
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/smartged.aapca.net/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/smartged.aapca.net/privkey.pem Your cert will expire on 2018-12-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
tu as donc désormais un certificat, il suffit de l'exploiter et ta configuration devient (avec une redirection de http vers https):
<VirtualHost *:80> ServerName smartged.aapca.net Redirect permanent / https://smartged.aapca.net/ CustomLog /var/log/apache2/smartged.aapca.net.log combined </VirtualHost> <VirtualHost *:443 > DocumentRoot /home/Web/smartged/ ServerName smartged.aapca.net ErrorLog /var/log/apache2/smartged.aapca.net.log RewriteEngine On
<Directory /home/Web/smartged/> Require all granted AllowOverride All </Directory>
# Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel warn
SSLCertificateFile /etc/letsencrypt/live/smartged.aapca.net/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/smartged.aapca.net/privkey.pem Include /etc/letsencrypt/options-ssl-apache.conf CustomLog /var/log/apache2/smartged.aapca.net.log combined </VirtualHost>
Voilà, tu devrais avoir un beau cadenas vert sous Firefox. Si tu as un triangle orange comme pour https://www.pleinsudtv.com/, c'est que ta page appelle d'autres pages sans https et il faut donc corriger ta page.
Une des faiblesses de letsencrypt, c'est le renouvellement chaque trimestre. Heureusement, certbot aide bien Dans la crontab de root, tu mets une ligne comme 10 3 * * 6 /home/jmr/certbot/certbot-auto renew qui va chaque samedi à 6 heures du matin, demander le renouvellement. Celui ci sera fait si nécessaire. Il faut le lancer en root car le certbot va se faire une mise à jour si nécessaire.
Il y a également une possibilité assez récente qui fonctionne avec la convention * par exemple certifier tout le domaine linux-azur.org mais je ne l'ai pas encore mis en place; N'hésite pas à me questionner si je me suis loupé, si j'ai oublié des choses, etc Bien amicalement,
Bonjour à toutes et tous !
Je m'infiltre dans la discussion... Merci à toi JMR pour ton aide à sécuriser mon site : https://www.pleinsudtv.com/ Du coup, à la prochaine ral, étape suivante comment passer du cadenas jaune au cadenas vert ;-) Agréable journée à toutes et tous
Le sam. 29 sept. 2018 à 08:42, Jean-Max Reymond jmreymond@free.fr a écrit :
Le 24/09/2018 à 19:40, David Pinson a écrit :
Le 24/09/2018 à 12:17, Jean-Max Reymond a écrit :
Le 20/09/2018 à 21:10, David Pinson a écrit :
Bonsoir la liste,
Même si je dois rechercher via les moteurs de recherche, je me tourne aussi vers les listes d'entraides.
Tout est dans le titre: Est-ce parmi vous aurait un tuto plus facile ou un lien plus intéressant ?
Merci pour vos retour,
Je gère une cinquantaine de domaines et ils sont tous sécurisés par letsencrypt utilisé avec apache. Je peux partager sur cette liste la technique que j’applique systématiquement, y compris pour le renouvellement car le renouvellement chaque trimestre est le principal écueil de letsencrypt. Pour ceux qui sont hébergés par OVH par exemple, le certificat letsencrypt est fourni automatiquement et donc, il n'y a rien à faire pour sécuriser et avoir le fameux cadenas pour son URL
Bonsoir,
Je serai preneur de ta méthode car j'ai essayé sans succès certaines méthodes trouvés sur le net car je heurte souvent à des erreurs liés aux noms de domaines.
Encore merci,
On va essayer de ne rien oublier même si c'est assez simple finalement. tout d'abord, il faut installer le logiciel certbot qui va automatiser un certain nombre d'opérations. Une fois, le logiciel installé, tu fais une configuration apache standard sans notion de https, par exemple pour le domaine smartged.aapca.net
<VirtualHost *:80 > DocumentRoot /var/www/html ServerName smartged.aapca.net RewriteEngine On <Directory /var/www/html> Require all granted AllowOverride All </Directory> ErrorLog /var/log/apache2/error-e-odis.log # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel warn
CustomLog /var/log/apache2/e-odis.log combined</VirtualHost>
tu charges la configuration, de telle sorte que le domaine http://smartged.aapca.net réponde ensuite ssh doit être activé ainsi que rewrite: a2enmod ssl rewrite
ensuite, tu demandes un certificat en donnant ton @email pour être averti des expirations du domaine
cd certbot ./certbot-auto certonly --apache --email jmreymond@ckr-solutions.com -d smartged.aapca.net
et cela doit donner le message Requesting to rerun ./certbot-auto with root privileges... Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator apache, Installer apache Obtaining a new certificate Performing the following challenges: http-01 challenge for smartged.aapca.net Waiting for verification... Cleaning up challenges
IMPORTANT NOTES:
Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/smartged.aapca.net/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/smartged.aapca.net/privkey.pem Your cert will expire on 2018-12-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew"
If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
tu as donc désormais un certificat, il suffit de l'exploiter et ta configuration devient (avec une redirection de http vers https):
<VirtualHost *:80> ServerName smartged.aapca.net Redirect permanent / https://smartged.aapca.net/ CustomLog /var/log/apache2/smartged.aapca.net.log combined
</VirtualHost> <VirtualHost *:443 > DocumentRoot /home/Web/smartged/ ServerName smartged.aapca.net ErrorLog /var/log/apache2/smartged.aapca.net.log RewriteEngine On
<Directory /home/Web/smartged/> Require all granted AllowOverride All </Directory> # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel warn SSLCertificateFile/etc/letsencrypt/live/smartged.aapca.net/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/smartged.aapca.net/privkey.pem Include /etc/letsencrypt/options-ssl-apache.conf CustomLog /var/log/apache2/smartged.aapca.net.log combined
</VirtualHost>
Voilà, tu devrais avoir un beau cadenas vert sous Firefox. Si tu as un triangle orange comme pour https://www.pleinsudtv.com/, c'est que ta page appelle d'autres pages sans https et il faut donc corriger ta page.
Une des faiblesses de letsencrypt, c'est le renouvellement chaque trimestre. Heureusement, certbot aide bien Dans la crontab de root, tu mets une ligne comme 10 3 * * 6 /home/jmr/certbot/certbot-auto renew qui va chaque samedi à 6 heures du matin, demander le renouvellement. Celui ci sera fait si nécessaire. Il faut le lancer en root car le certbot va se faire une mise à jour si nécessaire.
Il y a également une possibilité assez récente qui fonctionne avec la convention * par exemple certifier tout le domaine linux-azur.org mais je ne l'ai pas encore mis en place; N'hésite pas à me questionner si je me suis loupé, si j'ai oublié des choses, etc Bien amicalement,
-- Jean-Max Reymond Éruption de l'Etna: http://jmreymond.free.fr/Etna2002 _______________________________________________ Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
-
Alain Antibes -
David Pinson -
Jean-Max Reymond -
linuxazur@cgx.me -
Ml Alasta -
netleet-net -
pl