Archive:Yunohost 2.5 Installation manuelle de certificats de sécurité
Sommaire
Mauvaise méthode
La gestion des certificats se fait avec l'interface web, ne jamais faire d'installation manuelle !!!
Letsencrypt
Ressources
Ne pas regarder la version française !
Connectez vous en root sur votre serveur, puis :
apt-get update apt-get upgrade
Ne pas répondre à !
Please tell me who you are. Run git config --global ......
Installation
cd git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt/ ./letsencrypt-auto
Config
Méthode avec FileZilla en root: on crée ou télécharge les fichiers de la pi sur votre PC, on modifie puis on retransfert sur la pi avec FileZilla.
letsencrypt.conf
Créer un fichier sur votre PC nommé letsencrypt.conf avec:
location '/.well-known/acme-challenge' {
default_type "text/plain";
root /tmp/letsencrypt-auto;
}
Le transférer sur la pi dans /etc/nginx/conf.d/moimoi.org.d.
Bien sûr, vous n'avez pas de master en réseau et vous n'utiliserez jamais vi lors de votre longue vie mais vous n'êtes pas non plus un nullard: moimoi = votre domaine !
/etc/ssowat/conf.json.persistent
Récupérer, modifier, retransférer /etc/ssowat/conf.json.persistent pour
{
"redirected_urls": {
"/": "moimoi.org/yunohost/admin"
},
"unprotected_urls" : [
"moimoi.org/.well-known/acme-challenge"
]
}
Relance nginx
nginx -t
retourne
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful
puis
service nginx restart
/etc/letsencrypt/conf.ini
Dans le terminal de la pi
mkdir /etc/letsencrypt/
Créer, tranférer le fichier /etc/letsencrypt/conf.ini:
#################################
# Let's encrypt configuration #
#################################
# Key size
rsa-key-size = 4096
# Email for notifications and contact if needed
email = moi@moimoi.org
# Use text interface, agree to Terms of Service
text = True
agree-tos = True
# Use the webroot authenticator
# with content located in /tmp/letsencrypt-auto
authenticator = webroot
webroot-path = /tmp/letsencrypt-auto
# (Staging server, to be used for test only. If you use it,
# your cert won't actually be valid)
# server = https://acme-staging.api.letsencrypt.org/directory
Liste des domaines à certifier
Dans le terminal de la pi
export DOMAINS="-d moimoi.org toitoi.com"
Demande des certificats
Dans le terminal de la pi
cd ~/letsencrypt/ mkdir -p /tmp/letsencrypt-auto ./letsencrypt-auto certonly --config /etc/letsencrypt/conf.ini $DOMAINS
retourne:
IMPORTANT NOTES:
- Congratulations!
Les certificats sont dans /etc/letsencrypt/live/
Sauvegarde des certificats
mv /etc/yunohost/certs/moimoi.org /root/certsBackupForDomainDotTLD
Utilisation des certificats
mkdir /etc/yunohost/certs/moimoi.org cd /etc/yunohost/certs/moimoi.org ln -s /etc/letsencrypt/live/moimoi.org/fullchain.pem ./crt.pem ln -s /etc/letsencrypt/live/moimoi.org/privkey.pem ./key.pem nginx -t service nginx restart
chown root:metronome /etc/letsencrypt/archive/ chown root:metronome /etc/letsencrypt/live/ chmod g+rx /etc/letsencrypt/archive/ chmod g+rx /etc/letsencrypt/live/ service metronome restart
Renouvellement automatique des certificats
cd .. wget https://raw.githubusercontent.com/alexAubin/letsencrypt_ynh/131a7071faea0f1374faf04784024e7cab69703a/sources/certificateRenewer
Le fichier certificateRenewer est dans /etc/yunohost/certs !
nano certificateRenewer
ou un coup de FileZilla.
Modifier:
replacer DOMAIN_NAME dans EMAIL_ALERT_FROM ligne 23 noter votre email dans EMAIL_ALERT_TO ligne 24 ôter le point dans LEBIN (.letsencrypt -> letsencrypt)
chmod +x certificateRenewer mv certificateRenewer /etc/cron.weekly
Lancement manuel
/etc/cron.weekly/certificateRenewer
Checking jeuxlibres.org certificate ... > No need to renew it.