Config letsencrypt pour Nginx et default.conf ?

Bonjour

Voilà, j'ai des ndd identiques à pronostics-courses.fr mais avec d'autres suffixes ( .ch , .org , .eu , .uk, .co.uk , etc... ).

La config Letsencrypt marche très bien avec le .fr, mais pour les autres suffixes, est-il possible de configurer Letsencrypt avec /etc/nginx/sites-available/default.conf ?

Sachant que default.conf redirige vers le .fr ?

Merci beaucoup pour votre aide.

Amicalement.

 

Pardon

Dans /etc/nginx/sites-available/default.conf , est-ce que je pourrais mettre autant de /.well-known/acme-challenge que de hostname possibles ?

location /var/www/$hostname/.well-known/acme-challenge {
root /var/www/html;
}

Ainsi le problème de l'authentification par challenge serait résolu.

Merci beaucoup pour votre aide.

Respectueusement.

 

Je vous demande pardon

Plutôt : $host ( de la requête http ) :

Code:

#
# /etc/nginx/sites-available/default.conf
# 
location /var/www/$host/.well-known/acme-challenge {
   root /var/www/html;
}

Cà marche de mettre cette variable $host dans une location ?

Merci beaucoup.

Amicalement.

 

Bon, voilà

J'ai eu la réponse en consultant le site de LetsEncrypt.

Il faut privilégier les constantes par rapport aux variables dans les déclarations Nginx, car les constantes sont plus rapides à l'exécution.

Donc : Autant de fichiers *.conf dans /etc/nginx/sites-available/ que de ndds.

Maintenant, il y a le conseil sur ce même site LetsEncrypt, de diminuer le nbre de ndds par certificat.

Quelle est la limite du nombre de certificats pour la même IP et des ndds différents ?

Sachant que les ndds diffèrent seulement par leurs suffixes ?

Merci beaucoup de votre aide.

Amicalement et respectueusement.

 

Bonjour

Voilà ce que je compte mettre pour créer le certificat pour pronostics-courses.com ( avec et sans www ).

Est-ce que celà va détruire mes certificats actuels pour le .fr ?

J'ai testé çà marche avec --dry-run, mais j'ai peur qu'en réel il me vire mes certifs d'avant.

Merci beaucoup de votre aide.

Amicalement.

Code:

certbot-auto --dry-run certonly \
    --email postmaster@pronostics-courses.fr \
    --preferred-challenges http \
    --agree-tos \
    --renew-by-default \
    --expand \
    --webroot \
    -w /var/www/letsencrypt/pronostics-courses.com \
    -d pronostics-courses.com -d www.pronostics-courses.com

 

Rebond

D'après le /etc/letsencrypt/ de mon VPS, le Contact est : webmaster@pronostics.courses

Mon renouvellement est le : 31/01/2020. Le ndd analytics.pronostics-courses.fr n'est plus valable ( n'existe plus ).

J'ai peur que çà coince le 31 Janvier.

Pour refaire tout, je peux attendre que 10 jours soient écoulés ( > 1 week ), puis deleter tous les certifs actuels, puis refaire ( pour le contact webmaster@pronostics-courses.fr ) : pronostics-courses.fr avec tous ses alternates ( www., pop., pop3, etc... ), puis ( pour le contact webmaster-courses.com ) : pronostics-courses.com ( avec et sans www. ).

Mais comment écraser l'ancien contact : webmaster@pronostics.courses ?

Et, comment associer deux accounts pour la même IP ? Il peut y avoir 5 accounts maximum/IP, donc comment je fais pour les autres suffixes ?

J'ai en tout 12 suffixes pour ce ndd pronostics-courses. , plus ortolojf-courses.com

Comment procéder ?

Merci beaucoup de votre aide.

Amicalement.

 

Rebonjour

Hier soir, j'ai révoqué mon certif pronostics-courses.fr , puis fait un "certbot delete" pour chacun des 2 identificateurs.

Ensuite j'ai refait le certificat pronostics-courses.com avec pour alternates tous les préfixes de pronostics-courses.fr, et pronostics-courses.com avec et sans www.

Cà a marché, je peux me connecter après en https sur chacun des ndds.

Mais y a un bug : Le site https://crt.sh ne voit pas le certificat pronostics-courses.com , il ne voit que pronostics-courses.fr et encore sans mise à jour.

D'où vient. le bug ?

Merci beaucoup.

 

Hé bé

Comment changer l'email de contact de mon account ?

C'est : webmaster@pronostics.courses , cette email n'est pas accessible car il n'y a plus de certificat pour pronostics.courses , suite à ma révocation de pronostics-courses.fr d'hier soir.

Modifier mon répertoire /account/ n'est probablement pas faisable.

Est-ce que je cours le risque d'invalidité des mes certifs si Letsencrypt ne peut me joindre à cet email ?

Merci beaucoup.

 

Bon, bon

J'ai fait ceci : certbot-auto update_account --email webmaster@pronostics-courses.fr

pour changer l'email de contact de mon account.

Dur, dur.. Maintenant le regr.json sous le directory de acme-v02-* etc... est réduit à peau de chagrin, et le acme-v01-* n' a pas changé.

Il semblerait qu'il soit encore possible de faire : certbot-auto renew avec et sans --dry-run

A côté de çà, je n'ai plus accès à imap.pronostics-courses.fr

Thunderbird me dit que la limite d'accès à imap. est dépassée, et me conseille de désactiver le cache de imap.

Comment je fais ?

Merci de m'excuser de mes questions stupides.

Respectueusement.

 

Pardon

Il semble ( de nouveau ) que je doive tout réinstaller.

Voici la check-list :

Code:

            1) Iptables avec iptables.txt

            2) revoke --cert-name ( pronostics.courses et pronostics-courses.com ).

            3) delete
              logiquement  avant unregister ?

            4) unregister -m webmaster@pronostics.courses

            5) Vérifier /etc/letsencrypt/ vide,

            6) désinstaller certbot ( vérifier 'dpkg --list certbot' ),

            7) Reinstaller certbot ( install_certbot.sh ).

Celà vous paraît-il fiable ?

Si je ne met aucun paramètre après revoke, unregister ou delete, il me prompte les items ?

Après je remet au propre avec certonly.

Puis-je faire un 'certbot register -m webmaster@pronostics-courses.fr' avant tout chose ?


Pour réinstaller certbot ( Debian Stretch ) :

Code:

    apt-get install certbot python-certbot-nginx
 
  

Et puis iptables et ip6tables :

Code:

/** Spécifiques FTP, IMAP, POP, POP3, SASL **/
 
iptables -A OUTPUT -p tcp -m multiport --sports 25,143,465,587,993,3659 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp -m multiport --dports 25,143,465,587,993,3659 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

/** Pour le reste je me débrouille ;) **/

Cà marche ?

Merci beaucoup.

Amicalement.

 

Pardon, pardon

Pour supprimer un account :

'cerbot unregister ACCOUNT_ID'

Bien amicalement.