Config letsencrypt pour Nginx et default.conf ?

Discussion dans 'Administration d'un site Web' créé par ortolojf, 30 Décembre 2019.

  1. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 361
    J'aime reçus:
    24
    Bonjour

    Voilà, j'ai des ndd identiques à pronostics-courses.fr mais avec d'autres suffixes ( .ch , .org , .eu , .uk, .co.uk , etc... ).

    La config Letsencrypt marche très bien avec le .fr, mais pour les autres suffixes, est-il possible de configurer Letsencrypt avec /etc/nginx/sites-available/default.conf ?

    Sachant que default.conf redirige vers le .fr ?

    Merci beaucoup pour votre aide.

    Amicalement.
     
  2. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 361
    J'aime reçus:
    24
    Pardon

    Dans /etc/nginx/sites-available/default.conf , est-ce que je pourrais mettre autant de /.well-known/acme-challenge que de hostname possibles ?

    location /var/www/$hostname/.well-known/acme-challenge {
    root /var/www/html;
    }

    Ainsi le problème de l'authentification par challenge serait résolu.

    Merci beaucoup pour votre aide.

    Respectueusement.
     
  3. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 361
    J'aime reçus:
    24
    Je vous demande pardon

    Plutôt : $host ( de la requête http ) :

    Code:
    
    #
    # /etc/nginx/sites-available/default.conf
    # 
    location /var/www/$host/.well-known/acme-challenge {
       root /var/www/html;
    }
    
    
    Cà marche de mettre cette variable $host dans une location ?

    Merci beaucoup.

    Amicalement.
     
  4. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 361
    J'aime reçus:
    24
    Bon, voilà

    J'ai eu la réponse en consultant le site de LetsEncrypt.

    Il faut privilégier les constantes par rapport aux variables dans les déclarations Nginx, car les constantes sont plus rapides à l'exécution.

    Donc : Autant de fichiers *.conf dans /etc/nginx/sites-available/ que de ndds.

    Maintenant, il y a le conseil sur ce même site LetsEncrypt, de diminuer le nbre de ndds par certificat.

    Quelle est la limite du nombre de certificats pour la même IP et des ndds différents ?

    Sachant que les ndds diffèrent seulement par leurs suffixes ?

    Merci beaucoup de votre aide.

    Amicalement et respectueusement.
     
  5. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 361
    J'aime reçus:
    24
    Bonjour

    Voilà ce que je compte mettre pour créer le certificat pour pronostics-courses.com ( avec et sans www ).

    Est-ce que celà va détruire mes certificats actuels pour le .fr ?

    J'ai testé çà marche avec --dry-run, mais j'ai peur qu'en réel il me vire mes certifs d'avant.

    Merci beaucoup de votre aide.

    Amicalement.

    Code:
    
    certbot-auto --dry-run certonly \
        --email postmaster@pronostics-courses.fr \
        --preferred-challenges http \
        --agree-tos \
        --renew-by-default \
        --expand \
        --webroot \
        -w /var/www/letsencrypt/pronostics-courses.com \
        -d pronostics-courses.com -d www.pronostics-courses.com
    
    
     
  6. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 361
    J'aime reçus:
    24
    Rebond

    D'après le /etc/letsencrypt/ de mon VPS, le Contact est : webmaster@pronostics.courses

    Mon renouvellement est le : 31/01/2020. Le ndd analytics.pronostics-courses.fr n'est plus valable ( n'existe plus ).

    J'ai peur que çà coince le 31 Janvier.

    Pour refaire tout, je peux attendre que 10 jours soient écoulés ( > 1 week ), puis deleter tous les certifs actuels, puis refaire ( pour le contact webmaster@pronostics-courses.fr ) : pronostics-courses.fr avec tous ses alternates ( www., pop., pop3, etc... ), puis ( pour le contact webmaster-courses.com ) : pronostics-courses.com ( avec et sans www. ).

    Mais comment écraser l'ancien contact : webmaster@pronostics.courses ?

    Et, comment associer deux accounts pour la même IP ? Il peut y avoir 5 accounts maximum/IP, donc comment je fais pour les autres suffixes ?

    J'ai en tout 12 suffixes pour ce ndd pronostics-courses. , plus ortolojf-courses.com

    Comment procéder ?

    Merci beaucoup de votre aide.

    Amicalement.
     
  7. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 361
    J'aime reçus:
    24
    Rebonjour

    Hier soir, j'ai révoqué mon certif pronostics-courses.fr , puis fait un "certbot delete" pour chacun des 2 identificateurs.

    Ensuite j'ai refait le certificat pronostics-courses.com avec pour alternates tous les préfixes de pronostics-courses.fr, et pronostics-courses.com avec et sans www.

    Cà a marché, je peux me connecter après en https sur chacun des ndds.

    Mais y a un bug : Le site https://crt.sh ne voit pas le certificat pronostics-courses.com , il ne voit que pronostics-courses.fr et encore sans mise à jour.

    D'où vient. le bug ?

    Merci beaucoup.
     
  8. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 361
    J'aime reçus:
    24
    Hé bé

    Comment changer l'email de contact de mon account ?

    C'est : webmaster@pronostics.courses , cette email n'est pas accessible car il n'y a plus de certificat pour pronostics.courses , suite à ma révocation de pronostics-courses.fr d'hier soir.

    Modifier mon répertoire /account/ n'est probablement pas faisable.

    Est-ce que je cours le risque d'invalidité des mes certifs si Letsencrypt ne peut me joindre à cet email ?

    Merci beaucoup.
     
  9. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 361
    J'aime reçus:
    24
    Bon, bon

    J'ai fait ceci : certbot-auto update_account --email webmaster@pronostics-courses.fr

    pour changer l'email de contact de mon account.

    Dur, dur.. Maintenant le regr.json sous le directory de acme-v02-* etc... est réduit à peau de chagrin, et le acme-v01-* n' a pas changé.

    Il semblerait qu'il soit encore possible de faire : certbot-auto renew avec et sans --dry-run

    A côté de çà, je n'ai plus accès à imap.pronostics-courses.fr

    Thunderbird me dit que la limite d'accès à imap. est dépassée, et me conseille de désactiver le cache de imap.

    Comment je fais ?

    Merci de m'excuser de mes questions stupides.

    Respectueusement.
     
  10. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 361
    J'aime reçus:
    24
    Pardon

    Il semble ( de nouveau ) que je doive tout réinstaller.

    Voici la check-list :

    Code:
    
                1) Iptables avec iptables.txt
    
                2) revoke --cert-name ( pronostics.courses et pronostics-courses.com ).
    
                3) delete
                  logiquement  avant unregister ?
    
                4) unregister -m webmaster@pronostics.courses
    
                5) Vérifier /etc/letsencrypt/ vide,
    
                6) désinstaller certbot ( vérifier 'dpkg --list certbot' ),
    
                7) Reinstaller certbot ( install_certbot.sh ).
    
    
    Celà vous paraît-il fiable ?

    Si je ne met aucun paramètre après revoke, unregister ou delete, il me prompte les items ?

    Après je remet au propre avec certonly.

    Puis-je faire un 'certbot register -m webmaster@pronostics-courses.fr' avant tout chose ?


    Pour réinstaller certbot ( Debian Stretch ) :

    Code:
    
        apt-get install certbot python-certbot-nginx
     
      
    Et puis iptables et ip6tables :

    Code:
    
    /** Spécifiques FTP, IMAP, POP, POP3, SASL **/
     
    iptables -A OUTPUT -p tcp -m multiport --sports 25,143,465,587,993,3659 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
    
    iptables -A INPUT -p tcp -m multiport --dports 25,143,465,587,993,3659 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
    
    /** Pour le reste je me débrouille ;) **/
    
    

    Cà marche ?

    Merci beaucoup.

    Amicalement.
     
    #10 ortolojf, 4 Janvier 2020
    Dernière édition: 4 Janvier 2020
  11. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 361
    J'aime reçus:
    24
    Pardon, pardon

    Pour supprimer un account :

    'cerbot unregister ACCOUNT_ID'

    Bien amicalement.
     
Chargement...
Similar Threads - Config letsencrypt Nginx Forum Date
config Letsencrypt pour Postfix/Dovecot Administration d'un site Web 15 Mars 2021
Quel site pour config postfix/dovecot ? Administration d'un site Web 23 Mars 2021
Configurer une redirection www (301) plutôt qu'une 302. URL Rewriting et .htaccess 29 Janvier 2021
Quelle config Sirdata pour un cookie perso ? Développement d'un site Web ou d'une appli mobile 28 Novembre 2020
Config TCF v2.0 pour GTM ? Google Analytics 14 Novembre 2020
Configuration Quantcast Choice avec fichier json. Google Analytics 15 Septembre 2020
Quelle config cache pour mariaDB ? Administration d'un site Web 15 Août 2020
Tarteaucitron : Comment configurer GTM sans cookie ? Google Analytics 14 Juillet 2020
Google Ads : Comment passer le guide de configuration ? AdWords 29 Décembre 2019
DNS du WWW et DNS du domaine principal. La bonne configuration Débuter en référencement 19 Décembre 2019