We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Let's encrypt


pol2095
17/02/2017, 18h59
Je développe des apps iOs, on ne va pas passer notre temps là-dessus, ce n'est pas faisable avec Letenscrypt.
J'ai trouvé une autre solution.

nowwhat
17/02/2017, 16h17
Citation Envoyé par pol2095
regarde ce lien, c'est une restriction iOS http://www.mobizel.com/2016/08/le-ht...s-les-app-ios/
@nowwhat Il faut se renseigner, le pb concerne les maj d'app sur l'app store.
Là, tu me sort le fait qu'un App, écrit par un développeur d'App pour iOS (les appareils Apples mobiles comme iPhone ou iPad) doit s'assurer que la communication avec le centre de mise à jour d'Apple (le Appstore) DOIT se conformer avec le protocole SSL (https) - le "http" (non crypté) ne sera plus possible.
Ça me concerne pas.
Je pense toi non plus - t'es pas développeur des apps de iOS
Si je me trompe, t'as du mentionner ça bien avant.

Citation Envoyé par pol2095
je ne comprends pas trop ta solution, si je veux me connecter à https://5.x.x.x/video.mp4 de façon sécurisée, comment faire avec Letenscrypt ?
Le script de "Letenscrypt" - par exemple "certbot" ou n'importe qeul autre script va générer sur TON dédié les fichiers nécessaires.
Il s'agit, entre autre, le CSR et ton clé privé.
Ce "CSR" est envoyé vers le site "Letenscrypt" qui va te rendre un certificat proprement dit - signé par eux, et co-signé par d'autres.

Le truc est que : grâce à ces signatures, le certificat va être reconnus par NOS navigateurs comme "Ok, ça passe".

Regarde la description CSR encore une fois.
Il faut au moins UN FQDN.
La lecture de cette définition m'informe que FQDN n'est pas un IPv4 et/ou IPv6.
(mais c'est possible - certains le font).


La suite est simple - et totalement automatisé si t'as une installation "normale", comme prouve la solution que j'ai choisi : certbot.
Puis, ça marche : visite c site avec ton iPhone et constate que ça marche : https://www.test-domaine.fr (avec certificat de Letenscrypt).

janus57
17/02/2017, 08h29
Bonjour,

en aucun cas le lien que vous citer ne précise que le certificat SSL doit porter su l'IP…

De plus après une petite recherche seul les certificat payant propose ce genre de prestation pour une adresse IP sachant que le certificat est un certificat destiné aux organisation (+200€/an) et qu'il faudrait le changer au moindre changement de serveur vu que les KS n'ont pas d'ip-failover.

Cordialement, janus57

sloomy
16/02/2017, 18h47
Bonjour,

Tu ne peux pas ! il te faiu un nom de domaine, ce qu'expliquait très justement @nowwhat.

Cordialement,
Bruno

pol2095
16/02/2017, 14h34
regarde ce lien, c'est une restriction iOS http://www.mobizel.com/2016/08/le-ht...s-les-app-ios/
@nowwhat Il faut se renseigner, le pb concerne les maj d'app sur l'app store.

je ne comprends pas trop ta solution, si je veux me connecter à https://5.x.x.x/video.mp4 de façon sécurisée, comment faire avec Letenscrypt ?

nowwhat
16/02/2017, 14h13
Citation Envoyé par pol2095
C'est un peu gênant cette affaire, iOs me demande une connexion sécurisée pour mes applications, et j'ai besoin d'utiliser l'IP.
L'iOS ? Je ne pense pas.
Peut être un App vraiment mal foutu.
Uilise "blabla.tld" pour adresser ton serveur, et ajoute "blabla.tld" dans le certificat et ça roule. Le certificat va être accepté par iOS sans alerte ni erreur.
Toutes mes comptes mails sur mon serveur, avec l'App "mail" inclus dans le iOS de mon iPhone fonctionnent très bien comme ça - certificat de Letenscrypt - portes serveur 465, 993, 995.

pol2095
16/02/2017, 11h44
C'est un peu gênant cette affaire, iOs me demande une connexion sécurisée pour mes applications, et j'ai besoin d'utiliser l'IP.

nowwhat
16/02/2017, 10h32
Citation Envoyé par pol2095
...
Peut-on créer une connexion sécurisée avec Let's Encrypt pour l'adresse IP également ?
J'ai testé.
Letenscrypt n'accepte pas des "IP" (IPv4 ou IPv6) comme nom DNS.

pol2095
16/02/2017, 09h40
@sloomy
sur la R3, j'ai l'impression qu'il vaut mieux configurer à la main pour que ça fonctionne.

pour le cron c'est fait https://community.letsencrypt.org/t/...ficates/4393/4

plutôt que modifier "/etc/httpd/vhosts/defaultSSL.conf", j'ai créé un fichier "/etc/httpd/vhosts/domain.comSSL.conf" (que je n'avais pas) avec "", "SSLEngine on" et l'adresse du certificat (cf. au-dessus).

Peut-on créer une connexion sécurisée avec Let's Encrypt pour l'adresse IP également ?

sloomy
16/02/2017, 09h14
Bonjour,

Normalement tu l'as dans l'onglet let's encrypt !
Suffit de mettre 2 ou 3 de mémoire

Cordialement,
Bruno

pol2095
15/02/2017, 22h57
Je n'ai plus de message si je remplace dans le fichier "/etc/httpd/vhosts/defaultSSL.conf" lignes 21 et 22
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
par
SSLCertificateFile /etc/letsencrypt/live/www.domain.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.domain.com/privkey.pem
reste à mettre en place le cron pour renouveler le certificat, mais comment faire ?

pol2095
15/02/2017, 22h38
quand je redémarre apache j'ai ce message
service httpd restart
Arrêt de httpd*: [ OK ]
Démarrage de httpd*: [Wed Feb 15 22:34:56 2017] [warn] NameVirtualHost *:443 has no VirtualHosts
[Wed Feb 15 22:34:56 2017] [warn] NameVirtualHost *:80 has no VirtualHosts
[ OK ]

BBR
15/02/2017, 20h42
as-tu vérifié que le virtualhost en 443 existait ?

BBR
15/02/2017, 20h40
Citation Envoyé par pol2095
Je suis allé dans l'onglet à droite de "chiffrement SSL" -> "Let's Encrypt", j'ai généré le certificat sans problème.

J'ai redémarré le serveur.

mais rien n'y fait, est-il possible d'installer Virtualmin sur une Release 3 ?
non, la R3 étant une distribution, si tu veux autre chose il faut reformater

BBR
15/02/2017, 20h39
Letsencrypt très simple à installer en 4 lignes :
Code:
wget https://dl.eff.org/certbot-auto
Code:
chmod a+x ./certbot-auto
Code:
./certbot-auto -v
Code:
./certbot-auto certonly --agree-tos --email ton@email.xx -d www.domaine.tld -d domaine.tld
ça crée le certificat pour https://domaine.tld et https://www.domaine.tld

créer un virtualhost
Code:

recopier ce qu'il y a dans le :80 et ajouter

SSLCertificateFile /etc/letsencrypt/live/www.domaine.tld/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.domaine.tld/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf

relancer Apache (adapter selon la distribution)
Code:
service apache2 restart
dans un .htaccess à la racine du domaine afin d'éviter le duplicate content là tout sera redirigé vers les www
Code:
RewriteEngine on
RewriteCond %{SERVER_PORT} 80 [OR]
RewriteCond %{HTTP_HOST} ^domaine\.tld$ [NC]
RewriteRule ^(.*) https://www.domaine.tld/$1 [QSA,L,R=301]

sloomy
15/02/2017, 18h35
Bonjour,

Malheureusement la R3 est dépassée depuis longtemps !

Vous pouvez toujours installer Let's E. à la main via SSH et mettre en place le cron qui va bien !

Cordialement,
Bruno

pol2095
15/02/2017, 11h52
Je suis allé dans l'onglet à droite de "chiffrement SSL" -> "Let's Encrypt", j'ai généré le certificat sans problème.

J'ai redémarré le serveur.

mais rien n'y fait, est-il possible d'installer Virtualmin sur une Release 3 ?

sloomy
15/02/2017, 10h48
Bonjour,

Vous avez pensé a relancer apache ?

Cordialement,
Bruno

pol2095
15/02/2017, 01h00
J'ai essayé de le configurer avec webmin




mais "full path to Let's encrypt client command" ne change rien dans




J'ai quand même ce message

nowwhat
14/02/2017, 22h44
Salut,

En gros, ça commence ici : https://letsencrypt.org/ puis tu clique sur "Get started".
Tu tombe sur https://letsencrypt.org/getting-started/ - et sachant que t'as un "Shell access" tu te laisse guider.

Pour écrire une histoire impossible à décrire : il faut installer un peu de soft sur ton dédié. Par exemple : le "certbot" : https://certbot.eff.org/ et après, il faut lire ... lire ... essayer .... plus lire (je pense même qu'il faut se documenter).
Car, letsencrypt ou pas, ces certificats, il faut saisir un peu le truc, car ça reste assez impressionnant au début si t'as jamais eu tes sites en mode "vert" (https).

J'ai testé tout ça, ça fait quelques semaines, et je doit dire : ça marche vraiment leur truc !!
En dehors des mes sites, j'ai réussi à coller un certificat sur mon accès 'monit', 'webmin', toutes mes transferts de mail (postfix) et courier (pop, imap).
Je suis maintenant dans un stade ou tout va "tout seul' (le renouvellement des mes mes certificats, la mise en place des divers fichiers 'pem' pour mes services) - j'aurais le résultat final dans quelques jours.

Faut aimer 'scripter', c'est tout.
(de toute façon, il n'y pas de cadeau : c'est hyper technique - c'est gratuit ... donc c'est toi qui va faire le travail au début).

pol2095
14/02/2017, 22h28
Bonjour,

je voudrais savoir comment activer Let's encrypt sur un serveur dédié Kimsufi ?

merci