Archive:Yunohost 2.5 Installation manuelle de certificats de sécurité

Ce wiki a été archivé en 2018.

Le nouveau wiki se trouve à: ressources.labomedia.org

Les fonctionnalités sont désactivées: vous pouvez faire une recherche sur Google site:https://wiki.labomedia.org et découvrir La Labomedia.

De Centre de Ressources Numériques - Labomedia
Aller à : navigation, rechercher

Mauvaise méthode

La gestion des certificats se fait avec l'interface web, ne jamais faire d'installation manuelle !!!

Letsencrypt

Ressources

Ne pas regarder la version française !


Connectez vous en root sur votre serveur, puis :

apt-get update
apt-get upgrade

Ne pas répondre à !

Please tell me who you are.
Run
 git config --global ......

Installation

cd
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt/
./letsencrypt-auto

Config

Méthode avec FileZilla en root: on crée ou télécharge les fichiers de la pi sur votre PC, on modifie puis on retransfert sur la pi avec FileZilla.

letsencrypt.conf

Créer un fichier sur votre PC nommé letsencrypt.conf avec:

location '/.well-known/acme-challenge' {
    default_type "text/plain";
    root        /tmp/letsencrypt-auto;
}

Le transférer sur la pi dans /etc/nginx/conf.d/moimoi.org.d.

Bien sûr, vous n'avez pas de master en réseau et vous n'utiliserez jamais vi lors de votre longue vie mais vous n'êtes pas non plus un nullard: moimoi = votre domaine !

/etc/ssowat/conf.json.persistent

Récupérer, modifier, retransférer /etc/ssowat/conf.json.persistent pour

{
    "redirected_urls": {
        "/": "moimoi.org/yunohost/admin"
    },
    "unprotected_urls" : [
        "moimoi.org/.well-known/acme-challenge"
    ]
}

Relance nginx

nginx -t

retourne

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

puis

service nginx restart

/etc/letsencrypt/conf.ini

Dans le terminal de la pi

mkdir /etc/letsencrypt/

Créer, tranférer le fichier /etc/letsencrypt/conf.ini:

#################################
#  Let's encrypt configuration  #
#################################

# Key size
rsa-key-size = 4096

# Email for notifications and contact if needed
email = moi@moimoi.org

# Use text interface, agree to Terms of Service
text = True
agree-tos = True

# Use the webroot authenticator
# with content located in /tmp/letsencrypt-auto
authenticator = webroot
webroot-path = /tmp/letsencrypt-auto

# (Staging server, to be used for test only. If you use it,
# your cert won't actually be valid)
# server = https://acme-staging.api.letsencrypt.org/directory

Liste des domaines à certifier

Dans le terminal de la pi

export DOMAINS="-d moimoi.org toitoi.com"

Demande des certificats

Dans le terminal de la pi

cd ~/letsencrypt/
mkdir -p /tmp/letsencrypt-auto
./letsencrypt-auto certonly --config /etc/letsencrypt/conf.ini $DOMAINS

retourne:

IMPORTANT NOTES:
 - Congratulations!

Les certificats sont dans /etc/letsencrypt/live/

Sauvegarde des certificats

mv /etc/yunohost/certs/moimoi.org /root/certsBackupForDomainDotTLD

Utilisation des certificats

mkdir /etc/yunohost/certs/moimoi.org
cd    /etc/yunohost/certs/moimoi.org
ln -s /etc/letsencrypt/live/moimoi.org/fullchain.pem ./crt.pem
ln -s /etc/letsencrypt/live/moimoi.org/privkey.pem ./key.pem
nginx -t
service nginx restart
chown root:metronome /etc/letsencrypt/archive/
chown root:metronome /etc/letsencrypt/live/
chmod g+rx           /etc/letsencrypt/archive/
chmod g+rx           /etc/letsencrypt/live/
service metronome restart

Renouvellement automatique des certificats

cd ..
wget  https://raw.githubusercontent.com/alexAubin/letsencrypt_ynh/131a7071faea0f1374faf04784024e7cab69703a/sources/certificateRenewer

Le fichier certificateRenewer est dans /etc/yunohost/certs !

nano certificateRenewer

ou un coup de FileZilla.

Modifier:

replacer DOMAIN_NAME dans EMAIL_ALERT_FROM ligne 23
noter votre email dans EMAIL_ALERT_TO ligne 24
ôter le point dans LEBIN (.letsencrypt -> letsencrypt)
chmod +x certificateRenewer
mv       certificateRenewer /etc/cron.weekly

Lancement manuel

/etc/cron.weekly/certificateRenewer
Checking jeuxlibres.org certificate ...
> No need to renew it.

Le certificat ne marche pas avec l'IP locale mais c'est ok avec le nom de domaine