[Plugin Tiers] LetsEncrypt

[dede3828]

Bonjour,

Je ne trouve plus le plugin sur le marketing, est ce normal ?

Merci

[kerdale]

yes, il faut installer désormais letsencrypt en ligne de commande ssh. Il y a plusieurs tuto sur le fofo... et ailleurs (liens sur le fofo)

[Gonet49]

Pour info : Version : 0.2 du script est dispo si le plugin n'est plus maintenu :
https://github.com/w4zu/jeedomssl

Merci pour ce script. Je l'ai utilisé mais une erreur apache est retournée à la fin, mais je ne vois pas à quoi elle correspond, as-tu une idée ?

Non-standard path(s), might not work with crontab installed by your operating system package manager

IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/root/ssl/letsencrypt/etc/live/www.domaine.ovh/fullchain.pem
Your key file has been saved at:
/root/ssl/letsencrypt/etc/live/www.domaine.ovh/privkey.pem
Your cert will expire on 2019-01-29. To obtain a new or tweaked
version of this certificate in the future, simply run certbot-auto
again. To non-interactively renew *all* of your certificates, run
"certbot-auto renew"
- Your account credentials have been saved in your Certbot
configuration directory at /root/ssl/letsencrypt/etc. You should
make a secure backup of this folder now. This configuration
directory will also contain certificates and private keys obtained
by Certbot so making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

apache2: Syntax error on line 225 of /etc/apache2/apache2.conf: Syntax error on line 23 of /etc/apac he2/sites-enabled/www.domaine.ovh.ssl.conf: Could not open configuration file /etc/letsencrypt/ options-ssl-apache.conf: No such file or directory
Action 'configtest' failed.
The Apache error log may have more information.
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
||||||||||||||||||||||||||||||||||||
If Warning: or Syntax not OK do not restart the apache service.
If Syntax OK only you can restart the apache service.
If The SSLCertificateChainFile directive (sss.conf) is deprecated IS NOT a problem
To restart apache /etc/init.d/apache2 restart

[dede3828]

Bonjours et merci,

j'ai suivie un auto du site Domoblog qui est super bien fait, ma connection https sous jeedom est fonctionnel.

j'aurai cependant une question.

j'ai rooter mes ports de la manière suivante :

port 80 routé sur 80 de mon jeedom ( HTTP )
port 443 routé sur le 443 de mon jeedom ( HTTPS )

mais à l'origine, j'avais routé de cette manière :

port 181 routé sur 80 de mon jeedom ( HTTP )
port 13466 routé sur le 443 de mon jeedom ( HTTPS )

je trouvais ça un peu plus "sécurisant" de ne pas passer par les ports 80 et 443 directement., mais cela n'a pas l'aire de fonctionner avec letsencrypt.

Pouvez vous m'éclairer ? ne peu t'on vraiment pas utiliser les ports que l'on veut ?

Merci

[sebforum29]

oui en effet, ça ne fonctionnera pas.
Il faut absolument pour créer ou renouveler un certificat LetsEncrypt avoir les port 80->80 et 443->443
du coup, je laisse en permanence mes ports 80 et 443 redirigés vers des ports exotiques à l’extérieur et quand je veux renouveler mon certificat (tous les 3 mois) je redirige temporairement 80/80 et 443/443
on peut pas faire autrement

[dede3828]

oui en effet, ça ne fonctionnera pas.
Il faut absolument pour créer ou renouveler un certificat LetsEncrypt avoir les port 80->80 et 443->443
du coup, je laisse en permanence mes ports 80 et 443 redirigés vers des ports exotiques à l’extérieur et quand je veux renouveler mon certificat (tous les 3 mois) je redirige temporairement 80/80 et 443/443
on peut pas faire autrement

OK, mais du coup ça veu dire que hors renouvellement, je peu router mes port 80 et 443 vers d'autre port extérieur ? et cela fonctionnera qd même ?

je suppose qu'il faudra que je mette nomdedomaine.fr:Port pour que cela fonctionne, car aujourd'hui nomdedomaine.fr redirige directement sur le port 80 qui est lui-même rerouter sur le 443.

Le reroutage du 80 vers 443 fonctionnera t'il toujours ?

[sebforum29]

oui en effet, ça ne fonctionnera pas.
Il faut absolument pour créer ou renouveler un certificat LetsEncrypt avoir les port 80->80 et 443->443
du coup, je laisse en permanence mes ports 80 et 443 redirigés vers des ports exotiques à l’extérieur et quand je veux renouveler mon certificat (tous les 3 mois) je redirige temporairement 80/80 et 443/443
on peut pas faire autrement

OK, mais du coup ça veu dire que hors renouvellement, je peu router mes port 80 et 443 vers d'autre port extérieur ? et cela fonctionnera qd même ?

je suppose qu'il faudra que je mette nomdedomaine.fr:Port pour que cela fonctionne, car aujourd'hui nomdedomaine.fr redirige directement sur le port 80 qui est lui-même rerouter sur le 443.

Le reroutage du 80 vers 443 fonctionnera t'il toujours ?

tout à fait. tu peux hors renouvellement, router mes port 80 et 443 vers d'autre port extérieur et ça fonctionnera (même avec telegram sauf si tu désire des interactions (pour telegram, la configuration doit aussi se faire tmporairement avec 80->80 443->443)

Le reroutage du 80 vers 443 fonctionnera t'il toujours ? oui si lors de la configuration de letsencryp, tu as précisé redirection hhtp vers https

[dede3828]

oui en effet, ça ne fonctionnera pas.
Il faut absolument pour créer ou renouveler un certificat LetsEncrypt avoir les port 80->80 et 443->443
du coup, je laisse en permanence mes ports 80 et 443 redirigés vers des ports exotiques à l’extérieur et quand je veux renouveler mon certificat (tous les 3 mois) je redirige temporairement 80/80 et 443/443
on peut pas faire autrement

OK, mais du coup ça veu dire que hors renouvellement, je peu router mes port 80 et 443 vers d'autre port extérieur ? et cela fonctionnera qd même ?

je suppose qu'il faudra que je mette nomdedomaine.fr:Port pour que cela fonctionne, car aujourd'hui nomdedomaine.fr redirige directement sur le port 80 qui est lui-même rerouter sur le 443.

Le reroutage du 80 vers 443 fonctionnera t'il toujours ?

tout à fait. tu peux hors renouvellement, router mes port 80 et 443 vers d'autre port extérieur et ça fonctionnera (même avec telegram sauf si tu désire des interactions (pour telegram, la configuration doit aussi se faire tmporairement avec 80->80 443->443)

Le reroutage du 80 vers 443 fonctionnera t'il toujours ? oui si lors de la configuration de letsencryp, tu as précisé redirection hhtp vers https

Merci bcp pour toute ces infos, effectivement, le routage fonctionne d'un autre port extérieur vers le 443. ( ex 13466 => 443 )
Si je désactive le routage du port 80 ->80, mais que 443 =>443 Http://MonDomaine.fr est tj rereouter vers le HttpS://MonDomaine.fr, en revanche, en routant par exemple 13466=>443, la redirection de HTTP vers HTTPS ne fonctionne plus ( tj avec 80=>80 désactivé ). Rien de grave en soit, mais c'était juste pour essayer de comprendre. Il faudra juste que je prenne l'habitude de taper HTTPS://MonDOmaine.fr/13466.

Moins que vous aillez une solution ?

Merci à vous.

[sebforum29]

HTTPS://MonDOmaine.fr:13466 et non HTTPS://MonDOmaine.fr/13466

[kerdale]

Bonjour,
L'ouverture du port 80 vers port http Apache (en général 80) est indispensable pour la création du certificat puisque par principe avant la création de celui ci il n'y a pas d'accès https. Par contre pour le renouvellement du certif (dans la limite de sa date de validité) par définition, il y a accès possible en https (si non à quoi servirait le certif https?) . J'ai remarqué qu'à mon dernier renouvellement je n'avais ouvert que le 443 vers 443 et pas le 80 vers 80 et le renouvellement s'est bien passé, ce qui est logique me semble-t-il pour les sites publiques ou pas qui ouvrent leur accès web en HTTPS 443 (désormais la majorité) et ferment (ou redirige) l'accès en HTTP 80.
Le renouvellement pouvant se faire de façon automatique, l'administrateur ne va pas changer sa config pour ouvrir le port 80 juste pour renouveler le certificat.

@dede3828 : il suffit de mettre en signet/marque page ou autre nom dans la barre perso:
https://mondomaine.moi:13984
si c'est le port 13984 qui est redirigé vers le 443

[dede3828]

j'ai du coup fermer tous mes ports, et n'ai laisser que le 443=>443, cela permet le routage automatique de http vers https qd on tape HTTP://MonDomaine.fr vers HTTPS://MonDomaine.fr, en revenche n'y a t'il pas une solution dans lets encrypte pour faire se routage meme en changent le port HTTPS du style 13433 => 433, car si je fais ca, le routage de HTTP vers HTTPS ne se fait plus....

merci

[Mguyard]

Tu as essayé par la méthode dns ?

[dede3828]

Tu as essayé par la méthode dns ?

C'est a dire ?

[Mguyard]

Pour ne pas ouvrir les ports, tu peux utiliser une entrée dns.
Un petit tuto : https://www.g-rom.fr//2017/06/creer-des ... ns-de-ovh/

[w4zu]

Pour info : Version : 0.2 du script est dispo si le plugin n'est plus maintenu :
https://github.com/w4zu/jeedomssl

Merci pour ce script. Je l'ai utilisé mais une erreur apache est retournée à la fin, mais je ne vois pas à quoi elle correspond, as-tu une idée ?

Non-standard path(s), might not work with crontab installed by your operating system package manager

IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/root/ssl/letsencrypt/etc/live/www.domaine.ovh/fullchain.pem
Your key file has been saved at:
/root/ssl/letsencrypt/etc/live/www.domaine.ovh/privkey.pem
Your cert will expire on 2019-01-29. To obtain a new or tweaked
version of this certificate in the future, simply run certbot-auto
again. To non-interactively renew *all* of your certificates, run
"certbot-auto renew"
- Your account credentials have been saved in your Certbot
configuration directory at /root/ssl/letsencrypt/etc. You should
make a secure backup of this folder now. This configuration
directory will also contain certificates and private keys obtained
by Certbot so making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

apache2: Syntax error on line 225 of /etc/apache2/apache2.conf: Syntax error on line 23 of /etc/apac he2/sites-enabled/www.domaine.ovh.ssl.conf: Could not open configuration file /etc/letsencrypt/ options-ssl-apache.conf: No such file or directory
Action 'configtest' failed.
The Apache error log may have more information.
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
||||||||||||||||||||||||||||||||||||
If Warning: or Syntax not OK do not restart the apache service.
If Syntax OK only you can restart the apache service.
If The SSLCertificateChainFile directive (sss.conf) is deprecated IS NOT a problem
To restart apache /etc/init.d/apache2 restart

Bonjour,
cela indique que le fichier /etc/letsencrypt/ options-ssl-apache.conf n'existe pas suite a ton installation.
tu peux supprimer la ligne dans ton fichier de conf apache /etc/apache2/sites-enabled/www.domaine.ovh.ssl.conf et tester de nouveau apache via la commande/usr/sbin/apache2ctl configtest si OK tu peux redemarrer apache.

[w4zu]

Pour ne pas ouvrir les ports, tu peux utiliser une entrée dns.
Un petit tuto : https://www.g-rom.fr//2017/06/creer-des ... ns-de-ovh/

tu peux le faire sans script avec certbot-auto directement sans te rendre fou avec les clés api etc d'ovh.

Code : Tout sélectionner

certbot-auto certonly --preferred-challenges dns

[Gonet49]

Pour info : Version : 0.2 du script est dispo si le plugin n'est plus maintenu :
https://github.com/w4zu/jeedomssl

Merci pour ce script. Je l'ai utilisé mais une erreur apache est retournée à la fin, mais je ne vois pas à quoi elle correspond, as-tu une idée ?



apache2: Syntax error on line 225 of /etc/apache2/apache2.conf: Syntax error on line 23 of /etc/apac he2/sites-enabled/www.domaine.ovh.ssl.conf: Could not open configuration file /etc/letsencrypt/ options-ssl-apache.conf: No such file or directory
Action 'configtest' failed.
The Apache error log may have more information.
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
||||||||||||||||||||||||||||||||||||
If Warning: or Syntax not OK do not restart the apache service.
If Syntax OK only you can restart the apache service.
If The SSLCertificateChainFile directive (sss.conf) is deprecated IS NOT a problem
To restart apache /etc/init.d/apache2 restart

Bonjour,
cela indique que le fichier /etc/letsencrypt/ options-ssl-apache.conf n'existe pas suite a ton installation.
tu peux supprimer la ligne dans ton fichier de conf apache /etc/apache2/sites-enabled/www.domaine.ovh.ssl.conf et tester de nouveau apache via la commande/usr/sbin/apache2ctl configtest si OK tu peux redemarrer apache.

Merci pour ta réponse.
J'avais fini par supprimer en effet cet ligne et la config était OK. J'ai relancé, mais impossible d'établir une connexion sécurisée.
J'ai fini par me tourner vers la solution proposée par Jeedom et leur service DNS.
Dans un premier temps malgré avoir suivi la doc, impossible d'établir la connexion sécurisée. J'ai contacté le support qui m'a confirmé un bug système de Rasbian, étant sur docker, le support n'intervenait pas, ils m'ont juste indiqué que la mise à jour du système était peut-être nécessaire.
Ce que j'ai fait et qui a suffit.
Du coups, je pense que je vais essayer le script sur une autre machine mise à jour...

[XXXL]

Bonsoir,
J'ai tenté cette procédure pour intégrer le HTTPS en ligne de commande sur ma SMART et cela a tout planté :
https://www.domo-blog.fr/securiser-jeed ... e-http-01/
https://github.com/w4zu/jeedomssl/blob/master/README.md
Y a t'il une procédure particulière pour la SMART ?

[w4zu]

Merci pour ce script. Je l'ai utilisé mais une erreur apache est retournée à la fin, mais je ne vois pas à quoi elle correspond, as-tu une idée ?



apache2: Syntax error on line 225 of /etc/apache2/apache2.conf: Syntax error on line 23 of /etc/apac he2/sites-enabled/www.domaine.ovh.ssl.conf: Could not open configuration file /etc/letsencrypt/ options-ssl-apache.conf: No such file or directory
Action 'configtest' failed.
The Apache error log may have more information.
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
||||||||||||||||||||||||||||||||||||
If Warning: or Syntax not OK do not restart the apache service.
If Syntax OK only you can restart the apache service.
If The SSLCertificateChainFile directive (sss.conf) is deprecated IS NOT a problem
To restart apache /etc/init.d/apache2 restart

Bonjour,
cela indique que le fichier /etc/letsencrypt/ options-ssl-apache.conf n'existe pas suite a ton installation.
tu peux supprimer la ligne dans ton fichier de conf apache /etc/apache2/sites-enabled/www.domaine.ovh.ssl.conf et tester de nouveau apache via la commande/usr/sbin/apache2ctl configtest si OK tu peux redemarrer apache.

Merci pour ta réponse.
J'avais fini par supprimer en effet cet ligne et la config était OK. J'ai relancé, mais impossible d'établir une connexion sécurisée.
J'ai fini par me tourner vers la solution proposée par Jeedom et leur service DNS.
Dans un premier temps malgré avoir suivi la doc, impossible d'établir la connexion sécurisée. J'ai contacté le support qui m'a confirmé un bug système de Rasbian, étant sur docker, le support n'intervenait pas, ils m'ont juste indiqué que la mise à jour du système était peut-être nécessaire.
Ce que j'ai fait et qui a suffit.
Du coups, je pense que je vais essayer le script sur une autre machine mise à jour...

Comme indiqué dans le script, il a été tester uniquement sur une fresh install sur debian 9.
Pas sur Docker effectivement, mais si le certificat a bien été généré que tu te connecte bien en 80 et 443 sur ta jeedom je ne vois pas le blocage, as tu redémarrer apache ?

[w4zu]

Bonsoir,
J'ai tenté cette procédure pour intégrer le HTTPS en ligne de commande sur ma SMART et cela a tout planté :
https://www.domo-blog.fr/securiser-jeed ... e-http-01/
https://github.com/w4zu/jeedomssl/blob/master/README.md
Y a t'il une procédure particulière pour la SMART ?

Tu as fait les 2 procédures ? 1 des 2 suffit.
Est-ce que tu viens d'une ancienne installation de jeedom ? pour mon script c'est utilisable uniquement avec le service apache et pas avec nginx.
Pas tester sur smart uniquement sur deb9 DIY et vm.