[Plugin Tiers] LetsEncrypt

[kenshirohokuto]

arffff !
bien vu
merci m'sieur Batiot

ça fonctionne beaucoup mieux désormais
merci pour ce plugin !
RDV dans -3 mois

[zoph]

Super Plugin, fonctionne parfaitement

La doc mériterait un peu plus d'explications

[LuluDom]

Un grand bravo pour ce plugin dès ta première semaine !

Il répond simplement à une nécessité de sécurité dite partout mais ici résolue pour les plus néophites.

Pour ceux qui se posent la question (compatibilité dans le Market seulement en RP), j'ai une Jeedom DIY installée sur un vieux netbook eeepc 901 sous Debian 9 et ça a marché sans même toucher à l'eeepc dans le placard - j'aurais dû y passer si j'avais voulu installer moi-même à la main le certificat Let's Encrypt selon les tutos disponibles ailleurs.

[oncleben31]

Bonjour,

Débutant sur Jeedom, je ne suis pas sur d'avoir tout compris. J'ai installé le plugin et les dépendances. J'ai fait les redirection de port. J'ai créer un équipement. Et j'ai l'impression qu'il ne se passe rien. Dans les logs je n'ai que les traces de l'installation des dependances.

Des idées pour m'aider à comprendre ?

[Black_Panthere]

Grand Bravo pour ce plugin, je me suis longtemps arraché la tète sur cette méthode. Mais la en 2mn c’était réglé, après une première erreur lié à une non redirection du port 443 tout est rentré dans l'ordre après rectification au niveau de ma box.

Vraiment top et un grand merci pour cela .

[dabou]

Tout pareil pour moi.
Installé ce matin, le temps de lire la doc pendant qu'il installait les dépendances et le tour était joué.

J'en ai profité pour traduire la doc en français (actuellement en attente de validation) en attendant de peut-être l'améliorer si besoin... Mais le plugin est tellement simple que je ne vois pas trop quoi ajouter !

Bravo pour ce taf si rapidement effectué ! J'ai plus qu'à couper mon accès en HTTP .

[znation]

J'arrivais à le faire fonctionner chez moi sans plugin mais si un plugin peut le faire alors banco, je l'installe.

Le certif s'est bien renouvellé, reste à voir d'ici 3 mois si tout va bien.

Merci.

PS : tu peux pas faire un petit quelque chose pour l'icone du plugin ? ca suit pas trop le format jeedom

Idem pour la catégorie j'aurai plus mis cela dans la partie sécurité que communication, enfin ce n'est que mon avis.

[batiot]

Je viens de publier une nouvelle version: 3/01/2018
* prise en compte de l'architecture jessie de la Smart @Shyrka973
* icone plus jeedom compilant @znation
* changement de catégorie -> sécurité @znation


@oncleben31 Il y a deux fichier de log letsencrypt_update et letsencrypt.
Tu a quoi dans le deuxième ? Si il est vide peux tu passer le "Niveau de log local" du plugin à debug et recréer l'équipement

[XXXL]

ah merci, je vais tester sur ma smart !!!

[znation]

Je viens de publier une nouvelle version: 3/01/2018
* prise en compte de l'architecture jessie de la Smart @Shyrka973
* icone plus jeedom compilant @znation
* changement de catégorie -> sécurité @znation


@oncleben31 Il y a deux fichier de log letsencrypt_update et letsencrypt.
Tu a quoi dans le deuxième ? Si il est vide peux tu passer le "Niveau de log local" du plugin à debug et recréer l'équipement

Merci

Ça change pas grand chose mais c'est mieux lol

Envoyé de mon SM-G930F en utilisant Tapatalk

[oncleben31]

Voilà mes logs. A priori c'est lié au fait que j'utilise un domaine en free.fr qui est bloqué.

Code : Tout sélectionner

[2018-01-03 21:35:39][DEBUG] : preRemove
[2018-01-03 21:35:42][DEBUG] : revoke_step1 Array (     [0] => sudo: unable to resolve host raspberrypi     [1] => Saving debug log to /var/log/letsencrypt/letsencrypt.log     [2] =>      [3] => -------------------------------------------------------------------------------     [4] => No certs found.     [5] => ------------------------------------------------------------------------------- )
[2018-01-03 21:35:55][DEBUG] : preSave
[2018-01-03 21:35:55][DEBUG] : preInsert
[2018-01-03 21:35:55][DEBUG] : postInsert
[2018-01-03 21:35:55][DEBUG] : postSave
[2018-01-03 21:36:21][DEBUG] : preSave
[2018-01-03 21:36:21][DEBUG] : postSave
[2018-01-03 21:36:21][DEBUG] : fetchCertificate $hostname:XXXXXX.hd.free.fr   $email:XXXXXXX@gmail.com
[2018-01-03 21:36:42][DEBUG] : Certbot certificates create:1  sudo: unable to resolve host raspberrypiSaving debug log to /var/log/letsencrypt/letsencrypt.logObtaining a new certificatePerforming the following challenges:tls-sni-01 challenge for XXXXXX.hd.free.frEnabled Apache socache_shmcb moduleEnabled Apache ssl moduleWaiting for verification...Cleaning up challengesGenerating key (2048 bits): /etc/letsencrypt/keys/0003_key-certbot.pemCreating CSR: /etc/letsencrypt/csr/0003_csr-certbot.pemAn unexpected error occurred:There were too many requests of a given type :: Error creating new cert :: too many certificates already issued for: free.frPlease see the logfiles in /var/log/letsencrypt for more details.

[oncleben31]

Bon j'ai pas de bol. J'ai essayé d'utiliser le DynDNS de mon NAS Synology et j'ai le message d'erreur suivant:

Code : Tout sélectionner

[2018-01-03 22:49:18][DEBUG] : Certbot certificates create:1  sudo: unable to resolve host raspberrypiSaving debug log to /var/log/letsencrypt/letsencrypt.logObtaining a new certificatePerforming the following challenges:tls-sni-01 challenge for bpx31.synology.meEnabled Apache socache_shmcb moduleEnabled Apache ssl moduleWaiting for verification...Cleaning up challengesFailed authorization procedure. bpx31.synology.me (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect validation certificate for tls-sni-01 challenge. Requested 7af55a3c42a826da6c46218871d5b818.a4aed0e3a7cb5ec7096ea8d3590ef532.acme.invalid from [2a01:e34:edae:d240:211:32ff:fe4b:b3c9]:443. Received 1 certificate(s), first certificate had names "synology.com"IMPORTANT NOTES: - The following errors were reported by the server:   Domain: XXXXXXX.synology.me   Type:   unauthorized   Detail: Incorrect validation certificate for tls-sni-01 challenge.   Requested   7af55a3c42a826da6c46218871d5b818.a4aed0e3a7cb5ec7096ea8d3590ef532.acme.invalid   from [2a01:e34:edae:d240:211:32ff:fe4b:b3c9]:443. Received 1   certificate(s), first certificate had names "synology.com"   To fix these errors, please make sure that your domain name was   entered correctly and the DNS A record(s) for that domain   contain(s) the right IP address.

J'ai ensuite essayé avec xip.io et la:

Code : Tout sélectionner

[2018-01-04 00:18:28][DEBUG] : Certbot certificates create:1  Saving debug log to /var/log/letsencrypt/letsencrypt.logObtaining a new certificatePerforming the following challenges:tls-sni-01 challenge for XXXXXXXXX.xip.ioEnabled Apache socache_shmcb moduleEnabled Apache ssl moduleWaiting for verification...Cleaning up challengesGenerating key (2048 bits): /etc/letsencrypt/keys/0004_key-certbot.pemCreating CSR: /etc/letsencrypt/csr/0004_csr-certbot.pemAn unexpected error occurred:There were too many requests of a given type :: Error creating new cert :: too many certificates already issued for: xip.ioPlease see the logfiles in /var/log/letsencrypt for more details.

Un conseil ?

[Shyrka973]

Salut @batiot,

J'ai réessayé ce plugin car j'ai constaté que le script d'installation des dépendances avait évoluer.
Je suis sous Debian 8 Jessie.

L'installation des dépendances s'est bien déroulé mais à la création du certificat, il y a eu un problème.
J'ai compris que l'exécutable /usr/local/sbin/certbot devait continuer une partie de l'installation.
J'ai donc lancé à la main ceci:

Code : Tout sélectionner

sudo /usr/local/sbin/certbot

qui est sorti en erreur car il manquait deux modules python.
J'ai donc installé les deux modules manquants: pyparsing et appdirs ainsi:

Code : Tout sélectionner

sudo python3 -m pip install pyparsing
sudo python3 -m pip install appdirs

Le génération du certificat n'a pas fonctionné du premier coup. J'ai du supprimer le répertoire /etc/letsencrypt qui contenait des données de précédents tests, il y a quelques mois en arrière.

J'ai pu obtenir le précieux certificat.

Merci.

[batiot]

En cherchant, j'ai vu que Letsencrypt limite a 20 par semaine le nombre de certificat d'un domaine (exemple XXXX.free.fr, XXXX.xip.io, XXXX.nip.io, )
Voir Limit Certificates per Registered Domain: https://letsencrypt.org/docs/rate-limits/

Pour l'instant, j'ai pas d'autre idée que :
* d'esperer d'être dans les 20 premier de la semaine (si j'ai bien compris)
* d'acheter un dns à 6€TTC l'année https://www.bookmyname.com/offres.cgi
* tester un dns gratuit https://www.sebcar.net/2014/03/nom-domm ... u-tokaleo/
* si vous avez une ip fixe et que ça vous dérange pas, je peux créer quelque entrée dns en xxxx.batiot.com (contact MP)

Pour l'instant, je mets a jour la documentation pour ajouter la possession d'un nom de domaine en prérequis.

Pour synology.me, il semblerais que des produits synology intègre directement letsenrypt et ne dois donc pas autoriser l'utilisation du domaine synology.me en dehors de leur intégration...
https://www.nextinpact.com/news/98199-l ... nology.htm

Merci Shyrka973 pour tes retours, je vais ajouter les dépendances (sudo python3 -m pip install pyparsing, sudo python3 -m pip install appdirs) à la prochaine version

[DERLOUX]

Bonjour

J'ai testé ce matin le plugin LetsEncryt, tout s'installe comme il faut par contre l'accès externe de jeedom reste en NOK. Le debug du plugin m'indique le message suivant :
Certbot certificates create:1 Saving debug log to /var/log/letsencrypt/letsencrypt.logPlugins selected: Authenticator apache,
Installer apacheObtaining a new certificatePerforming the following challenges:tls-sni-01 challenge for monDomaine.freeboxos.frEnabled Apache socache_shmcb moduleEnabled Apache ssl moduleWaiting for verification...Cleaning up challengesFailed authorization procedure.
monDomaine.freeboxos.fr (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect validation certificate for tls-sni-01 challenge.
Requested e86559b7a45953ba1499e2b5d80b730e.fd33052d6421b8bee29238909906d85e.acme.invalid from [2a01:e34:ee99:c460::1]:443.
Received 2 certificate(s), first certificate had names "monDomaine.freeboxos.fr
"IMPORTANT NOTES: - The following errors were reported by the server: Domain: monDomaine.freeboxos.fr Type: unauthorized Detail: Incorrect validation certificate for tls-sni-01 challenge. Requested e86559b7a45953ba1499e2b5d80b730e.fd33052d6421b8bee29238909906d85e.acme.invalid from [2a01:e34:ee99:c460::1]:443. Received 2 certificate(s), first certificate had names "monDomaine.freeboxos.fr"
To fix these errors, please make sure that your domain name was entered correctly and the DNS A/AAAA record(s) for that domain contain(s) the right IP address.

"monDomaine.freeboxos.fr" fonctionne parfaitement dans le navigateur par contre je tombe sur l'interface de ma freebox et non sur Jeedom alors que la redirection est bien déclarée. Si quelqu'un a déjà rencontré ce problème car la je seiche.

[batiot]

Bonjour derloux,

Regarde ce sujet viewtopic.php?p=535901.
J'ai pas de freebox, mais vu de loin je dirais que comme ton accès a distance freeboxOs dois être configuré sur le port 443 et que la redirection 443 vers ton jeedom ne dois donc pas être effective.

[DERLOUX]

Bonjour

J'ai suivi à la lettre le tuto pour les redirections, la création du certificat échoue toujours mais avec un message différent

[2018-01-06 23:37:55][DEBUG] : Certbot certificates create:1 Saving debug log to /var/log/letsencrypt/letsencrypt.logPlugins selected:
Authenticator apache, Installer apacheObtaining a new certificatePerforming the following challenges:tls-sni-01 challenge for monDomaine.freeboxos.fr
Enabled Apache socache_shmcb moduleEnabled Apache ssl moduleWaiting for verification...
Cleaning up challengesFailed authorization procedure.
monDomaine.freeboxos.fr (tls-sni-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Timeout
IMPORTANT NOTES: - The following errors were reported by the server: Domain: monDomaine.freeboxos.fr Type: connection Detail: Timeout
To fix these errors, please make sure that your domain name was entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address. Additionally, please check that your computer has a publicly routable IP address and that no
firewalls are preventing the server from communicating with the client. I
f you're using the webroot plugin, you should also verify that you are serving files from the webroot path you provided.

[oncleben31]

@Batiot, merci pour la proposition. J'au récupéré un domaine autre part.
Ca marche nickel.
Peut être dans une prochaine version tu pourras essayer de remonter les messages d'erreur dans l'interface Jeedom

[Me_]

@ DERLOUX

Vérifie que tu as bien ouvert le port 443 sur ta box pour la mise en place du certificat.

J’ai eu le même message hier soir et en réessayant ce matin car j’avais déjà mis sur ma box un port XXXX vers 443.

En modifiant 443 -> 443 ça a fonctionné.
Il restera à remodifier la redirection après cette étape.

Je n’y connais rien, je teste la mise en place sur une VM juste pour ça. Ça avance mais pour l’instant c’est pas très probant: mon certificat est bien en place mais Chrome me dit:
"Votre connexion à ce site n’est pas sécurisée... " avec le triangle rouge et https barré dans la barre d’adresse.

Si quelqu’un a une idée...

Edit: en revanche, Chrome me dit que le certificat est bien valide!
Edit2: finalement, il a fallu attendre un peu et j'ai maintenant mon cadenas vert

[chrislam86]

Bonjour
J ai déjà le dns jeedom. Y a t il un intérêt à l utilisation d un certificat ??
Par avance,merci


Envoyé de mon iPad en utilisant Tapatalk