Config letsencrypt pour Nginx et default.conf ?

[ortolojf]

Bonjour

Voilà, j'ai des ndd identiques à pronostics-courses.fr mais avec d'autres suffixes ( .ch , .org , .eu , .uk, .co.uk , etc... ).

La config Letsencrypt marche très bien avec le .fr, mais pour les autres suffixes, est-il possible de configurer Letsencrypt avec /etc/nginx/sites-available/default.conf ?

Sachant que default.conf redirige vers le .fr ?

Merci beaucoup pour votre aide.

Amicalement.

 

[ortolojf]

Pardon

Dans /etc/nginx/sites-available/default.conf , est-ce que je pourrais mettre autant de /.well-known/acme-challenge que de hostname possibles ?

location /var/www/$hostname/.well-known/acme-challenge {
root /var/www/html;
}

Ainsi le problème de l'authentification par challenge serait résolu.

Merci beaucoup pour votre aide.

Respectueusement.

 

[ortolojf]

Je vous demande pardon

Plutôt : $host ( de la requête http ) :

#
# /etc/nginx/sites-available/default.conf
# 
location /var/www/$host/.well-known/acme-challenge {
   root /var/www/html;
}

Cà marche de mettre cette variable $host dans une location ?

Merci beaucoup.

Amicalement.

 

[ortolojf]

Bon, voilà

J'ai eu la réponse en consultant le site de LetsEncrypt.

Il faut privilégier les constantes par rapport aux variables dans les déclarations Nginx, car les constantes sont plus rapides à l'exécution.

Donc : Autant de fichiers *.conf dans /etc/nginx/sites-available/ que de ndds.

Maintenant, il y a le conseil sur ce même site LetsEncrypt, de diminuer le nbre de ndds par certificat.

Quelle est la limite du nombre de certificats pour la même IP et des ndds différents ?

Sachant que les ndds diffèrent seulement par leurs suffixes ?

Merci beaucoup de votre aide.

Amicalement et respectueusement.

 

[ortolojf]

Bonjour

Voilà ce que je compte mettre pour créer le certificat pour pronostics-courses.com ( avec et sans www ).

Est-ce que celà va détruire mes certificats actuels pour le .fr ?

J'ai testé çà marche avec --dry-run, mais j'ai peur qu'en réel il me vire mes certifs d'avant.

Merci beaucoup de votre aide.

Amicalement.

certbot-auto --dry-run certonly \
    --email postmaster@pronostics-courses.fr \
    --preferred-challenges http \
    --agree-tos \
    --renew-by-default \
    --expand \
    --webroot \
    -w /var/www/letsencrypt/pronostics-courses.com \
    -d pronostics-courses.com -d www.pronostics-courses.com

 

[ortolojf]

Rebond

D'après le /etc/letsencrypt/ de mon VPS, le Contact est : webmaster@pronostics.courses

Mon renouvellement est le : 31/01/2020. Le ndd analytics.pronostics-courses.fr n'est plus valable ( n'existe plus ).

J'ai peur que çà coince le 31 Janvier.

Pour refaire tout, je peux attendre que 10 jours soient écoulés ( > 1 week ), puis deleter tous les certifs actuels, puis refaire ( pour le contact webmaster@pronostics-courses.fr ) : pronostics-courses.fr avec tous ses alternates ( www., pop., pop3, etc... ), puis ( pour le contact webmaster-courses.com ) : pronostics-courses.com ( avec et sans www. ).

Mais comment écraser l'ancien contact : webmaster@pronostics.courses ?

Et, comment associer deux accounts pour la même IP ? Il peut y avoir 5 accounts maximum/IP, donc comment je fais pour les autres suffixes ?

J'ai en tout 12 suffixes pour ce ndd pronostics-courses. , plus ortolojf-courses.com

Comment procéder ?

Merci beaucoup de votre aide.

Amicalement.

 

[ortolojf]

Rebonjour

Hier soir, j'ai révoqué mon certif pronostics-courses.fr , puis fait un "certbot delete" pour chacun des 2 identificateurs.

Ensuite j'ai refait le certificat pronostics-courses.com avec pour alternates tous les préfixes de pronostics-courses.fr, et pronostics-courses.com avec et sans www.

Cà a marché, je peux me connecter après en https sur chacun des ndds.

Mais y a un bug : Le site https://crt.sh ne voit pas le certificat pronostics-courses.com , il ne voit que pronostics-courses.fr et encore sans mise à jour.

D'où vient. le bug ?

Merci beaucoup.

 

[ortolojf]

Hé bé

Comment changer l'email de contact de mon account ?

C'est : webmaster@pronostics.courses , cette email n'est pas accessible car il n'y a plus de certificat pour pronostics.courses , suite à ma révocation de pronostics-courses.fr d'hier soir.

Modifier mon répertoire /account/ n'est probablement pas faisable.

Est-ce que je cours le risque d'invalidité des mes certifs si Letsencrypt ne peut me joindre à cet email ?

Merci beaucoup.

 

[ortolojf]

Bon, bon

J'ai fait ceci : certbot-auto update_account --email webmaster@pronostics-courses.fr

pour changer l'email de contact de mon account.

Dur, dur.. Maintenant le regr.json sous le directory de acme-v02-* etc... est réduit à peau de chagrin, et le acme-v01-* n' a pas changé.

Il semblerait qu'il soit encore possible de faire : certbot-auto renew avec et sans --dry-run

A côté de çà, je n'ai plus accès à imap.pronostics-courses.fr

Thunderbird me dit que la limite d'accès à imap. est dépassée, et me conseille de désactiver le cache de imap.

Comment je fais ?

Merci de m'excuser de mes questions stupides.

Respectueusement.

 

[ortolojf]

Pardon

Il semble ( de nouveau ) que je doive tout réinstaller.

Voici la check-list :

            1) Iptables avec iptables.txt

            2) revoke --cert-name ( pronostics.courses et pronostics-courses.com ).

            3) delete
              logiquement  avant unregister ?

            4) unregister -m webmaster@pronostics.courses

            5) Vérifier /etc/letsencrypt/ vide,

            6) désinstaller certbot ( vérifier 'dpkg --list certbot' ),

            7) Reinstaller certbot ( install_certbot.sh ).

Celà vous paraît-il fiable ?

Si je ne met aucun paramètre après revoke, unregister ou delete, il me prompte les items ?

Après je remet au propre avec certonly.

Puis-je faire un 'certbot register -m webmaster@pronostics-courses.fr' avant tout chose ?


Pour réinstaller certbot ( Debian Stretch ) :

    apt-get install certbot python-certbot-nginx

Et puis iptables et ip6tables :

/** Spécifiques FTP, IMAP, POP, POP3, SASL **/
 
iptables -A OUTPUT -p tcp -m multiport --sports 25,143,465,587,993,3659 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp -m multiport --dports 25,143,465,587,993,3659 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

/** Pour le reste je me débrouille ;) **/

Cà marche ?

Merci beaucoup.

Amicalement.

 

[ortolojf]

Pardon, pardon

Pour supprimer un account :

'cerbot unregister ACCOUNT_ID'

Bien amicalement.