Config letsencrypt pour Nginx et default.conf ?

ortolojf · 30 Décembre 2019

Bonjour

Voilà, j'ai des ndd identiques à pronostics-courses.fr mais avec d'autres suffixes ( .ch , .org , .eu , .uk, .co.uk , etc... ).

La config Letsencrypt marche très bien avec le .fr, mais pour les autres suffixes, est-il possible de configurer Letsencrypt avec /etc/nginx/sites-available/default.conf ?

Sachant que default.conf redirige vers le .fr ?

Merci beaucoup pour votre aide.

Amicalement.

ortolojf · 30 Décembre 2019

Pardon

Dans /etc/nginx/sites-available/default.conf , est-ce que je pourrais mettre autant de /.well-known/acme-challenge que de hostname possibles ?

location /var/www/$hostname/.well-known/acme-challenge {
root /var/www/html;
}

Ainsi le problème de l'authentification par challenge serait résolu.

Merci beaucoup pour votre aide.

Respectueusement.

ortolojf · 30 Décembre 2019

Je vous demande pardon

Plutôt : $host ( de la requête http ) :
Code:
#
# /etc/nginx/sites-available/default.conf
# 
location /var/www/$host/.well-known/acme-challenge {
   root /var/www/html;
}
Cà marche de mettre cette variable $host dans une location ?

Merci beaucoup.

Amicalement.

ortolojf · 2 Janvier 2020

Bon, voilà

J'ai eu la réponse en consultant le site de LetsEncrypt.

Il faut privilégier les constantes par rapport aux variables dans les déclarations Nginx, car les constantes sont plus rapides à l'exécution.

Donc : Autant de fichiers *.conf dans /etc/nginx/sites-available/ que de ndds.

Maintenant, il y a le conseil sur ce même site LetsEncrypt, de diminuer le nbre de ndds par certificat.

Quelle est la limite du nombre de certificats pour la même IP et des ndds différents ?

Sachant que les ndds diffèrent seulement par leurs suffixes ?

Merci beaucoup de votre aide.

Amicalement et respectueusement.

ortolojf · 2 Janvier 2020

Bonjour

Voilà ce que je compte mettre pour créer le certificat pour pronostics-courses.com ( avec et sans www ).

Est-ce que celà va détruire mes certificats actuels pour le .fr ?

J'ai testé çà marche avec --dry-run, mais j'ai peur qu'en réel il me vire mes certifs d'avant.

Merci beaucoup de votre aide.

Amicalement.
Code:
certbot-auto --dry-run certonly \
    --email postmaster@pronostics-courses.fr \
    --preferred-challenges http \
    --agree-tos \
    --renew-by-default \
    --expand \
    --webroot \
    -w /var/www/letsencrypt/pronostics-courses.com \
    -d pronostics-courses.com -d www.pronostics-courses.com

ortolojf · 3 Janvier 2020

Rebond

D'après le /etc/letsencrypt/ de mon VPS, le Contact est : webmaster@pronostics.courses

Mon renouvellement est le : 31/01/2020. Le ndd analytics.pronostics-courses.fr n'est plus valable ( n'existe plus ).

J'ai peur que çà coince le 31 Janvier.

Pour refaire tout, je peux attendre que 10 jours soient écoulés ( > 1 week ), puis deleter tous les certifs actuels, puis refaire ( pour le contact webmaster@pronostics-courses.fr ) : pronostics-courses.fr avec tous ses alternates ( www., pop., pop3, etc... ), puis ( pour le contact webmaster-courses.com ) : pronostics-courses.com ( avec et sans www. ).

Mais comment écraser l'ancien contact : webmaster@pronostics.courses ?

Et, comment associer deux accounts pour la même IP ? Il peut y avoir 5 accounts maximum/IP, donc comment je fais pour les autres suffixes ?

J'ai en tout 12 suffixes pour ce ndd pronostics-courses. , plus ortolojf-courses.com

Comment procéder ?

Merci beaucoup de votre aide.

Amicalement.

ortolojf · 4 Janvier 2020

Rebonjour

Hier soir, j'ai révoqué mon certif pronostics-courses.fr , puis fait un "certbot delete" pour chacun des 2 identificateurs.

Ensuite j'ai refait le certificat pronostics-courses.com avec pour alternates tous les préfixes de pronostics-courses.fr, et pronostics-courses.com avec et sans www.

Cà a marché, je peux me connecter après en https sur chacun des ndds.

Mais y a un bug : Le site https://crt.sh ne voit pas le certificat pronostics-courses.com , il ne voit que pronostics-courses.fr et encore sans mise à jour.

D'où vient. le bug ?

Merci beaucoup.

ortolojf · 4 Janvier 2020

Hé bé

Comment changer l'email de contact de mon account ?

C'est : webmaster@pronostics.courses , cette email n'est pas accessible car il n'y a plus de certificat pour pronostics.courses , suite à ma révocation de pronostics-courses.fr d'hier soir.

Modifier mon répertoire /account/ n'est probablement pas faisable.

Est-ce que je cours le risque d'invalidité des mes certifs si Letsencrypt ne peut me joindre à cet email ?

Merci beaucoup.

ortolojf · 4 Janvier 2020

Bon, bon

J'ai fait ceci : certbot-auto update_account --email webmaster@pronostics-courses.fr

pour changer l'email de contact de mon account.

Dur, dur.. Maintenant le regr.json sous le directory de acme-v02-* etc... est réduit à peau de chagrin, et le acme-v01-* n' a pas changé.

Il semblerait qu'il soit encore possible de faire : certbot-auto renew avec et sans --dry-run

A côté de çà, je n'ai plus accès à imap.pronostics-courses.fr

Thunderbird me dit que la limite d'accès à imap. est dépassée, et me conseille de désactiver le cache de imap.

Comment je fais ?

Merci de m'excuser de mes questions stupides.

Respectueusement.

ortolojf · 4 Janvier 2020

Pardon

Il semble ( de nouveau ) que je doive tout réinstaller.

Voici la check-list :
Code:
            1) Iptables avec iptables.txt

            2) revoke --cert-name ( pronostics.courses et pronostics-courses.com ).

            3) delete
              logiquement  avant unregister ?

            4) unregister -m webmaster@pronostics.courses

            5) Vérifier /etc/letsencrypt/ vide,

            6) désinstaller certbot ( vérifier 'dpkg --list certbot' ),

            7) Reinstaller certbot ( install_certbot.sh ).
Celà vous paraît-il fiable ?

Si je ne met aucun paramètre après revoke, unregister ou delete, il me prompte les items ?

Après je remet au propre avec certonly.

Puis-je faire un 'certbot register -m webmaster@pronostics-courses.fr' avant tout chose ?

Pour réinstaller certbot ( Debian Stretch ) :
Code:
    apt-get install certbot python-certbot-nginx
 
  
Et puis iptables et ip6tables :
Code:
/** Spécifiques FTP, IMAP, POP, POP3, SASL **/
 
iptables -A OUTPUT -p tcp -m multiport --sports 25,143,465,587,993,3659 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp -m multiport --dports 25,143,465,587,993,3659 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

/** Pour le reste je me débrouille ;) **/
Cà marche ?

Merci beaucoup.

Amicalement.

ortolojf · 4 Janvier 2020

Pardon, pardon

Pour supprimer un account :

'cerbot unregister ACCOUNT_ID'

Bien amicalement.

Similar Threads - Config letsencrypt Nginx	Forum	Date
Google Ads : Comment passer le guide de configuration ?	AdWords	29 Décembre 2019
DNS du WWW et DNS du domaine principal. La bonne configuration	Débuter en référencement	19 Décembre 2019
Tuto configuration CDN	Développement d'un site Web ou d'une appli mobile	28 Octobre 2019
Configuration GTM GA commerce électronique	Google Analytics	27 Mai 2019
Comment configurer Site Search dans Google Analytics ?	Google Analytics	16 Mai 2019
Config Postfix/Dovecot ?	Administration d'un site Web	23 Avril 2019
Configuration SPF mail	Administration d'un site Web	22 Mars 2019
WordPress Accesible Index Page Configured wrong	URL Rewriting et .htaccess	13 Mars 2019
Config réseau Debian 9	Administration d'un site Web	1 Février 2019
Besoin d'aide pour configurer mon htaccess	URL Rewriting et .htaccess	24 Octobre 2018