Outils pour utilisateurs

Outils du site

Piste:
linux:ssl (lu 52216 fois)

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
Prochaine révision Les deux révisions suivantes
linux:ssl [16-08-2018 16:22]
edmc73 		linux:ssl [09-01-2020 10:57]
edmc73
Ligne 7: Ligne 7:
   * https://mozilla.github.io/server-side-tls/ssl-config-generator/ un générateur de config pour votre serveur web   * https://mozilla.github.io/server-side-tls/ssl-config-generator/ un générateur de config pour votre serveur web
   * https://www.ssllabs.com/ssltest/ pour tester sir votre site est bien configuré   * https://www.ssllabs.com/ssltest/ pour tester sir votre site est bien configuré
 +  * https://blog.blaisot.org/letsencrypt-wildcard-part1.html
  
  
Ligne 65: Ligne 66:
 <code> <code>
 # apt update # apt update
-# apt install certbot -t jessie-backports+# apt install certbot 
 +</code>
  
-et la PAF !!+Pour émettre un certificat, letsencrypt doit s’assurer que vous avez bien la main sur les ressources à certifier. Letsencrypt propose 3 types de challenge :
  
-Les paquets supplémentaires suivants seront installés :  +  * HTTP-01 challenge par requête http, le plus couramment utilisé pour les certificats simples 
-  dialog python-acme python-certbot python-cffi-backend python-configargparse python-configobj python-cryptography python-dialog python-dnspython python-enum34 python-funcsigs +  * TLS-SNI-01 challenge par présentation de certificat TLSCe challenge a été désactivé suite à des problèmes de sécurité
-  python-idna python-ipaddress python-mock python-ndg-httpsclient python-openssl python-parsedatetime python-pbr python-pkg-resources python-psutil python-pyasn1 python-pyicu +  * DNS-01 : challenge par requête DNS sur une entrée TXT dans le domaine.
-  python-requests python-rfc3339 python-setuptools python-six python-tz python-urllib3 python-zope.component python-zope.event python-zope.interface +
-Paquets suggérés +
-  python-certbot-apache python-certbot-doc python-acme-doc python-configobj-doc python-cryptography-doc python-cryptography-vectors python-enum34-doc python-funcsigs-doc python-mock-doc +
-  python-openssl-doc python-openssl-dbg python-psutil-doc doc-base python-socks python-setuptools-doc python-ntlm +
-Paquets recommandés : +
-  letsencrypt +
-Les NOUVEAUX paquets suivants seront installés : +
-  certbot dialog python-acme python-certbot python-cffi-backend python-configargparse python-configobj python-cryptography python-dialog python-dnspython python-enum34 python-funcsigs +
-  python-idna python-ipaddress python-mock python-ndg-httpsclient python-openssl python-parsedatetime python-pbr python-psutil python-pyasn1 python-pyicu python-requests python-rfc3339 +
-  python-setuptools python-tz python-urllib3 python-zope.component python-zope.event python-zope.interface +
-Les paquets suivants seront mis à jour : +
-  python-pkg-resources python-six +
-2 mis à jour, 30 nouvellement installés, 0 à enlever et 101 non mis à jour. +
-Il est nécessaire de prendre 2 308 ko dans les archives. +
-Après cette opération, 11,8 Mo d'espace disque supplémentaires seront utilisés. +
-</code>+
  
 +Si dans le cas d’un site web, cette validation se résume généralement à vérifier que vous avez la main sur le serveur web, dans le cas d’un certificat wildcard il faut prouver que vous avez la main sur l’ensemble du domaine. Aussi, seul le challenge DNS-01 est possible pour des certificats wildcard letsencrypt, il faudra donc pouvoir éditer votre zone DNS pour commander ce type de certificat.
  
 Je décide d'utiliser le plugins webroot qui permet de générer les fichiers de certificat et de nous laisser libre de configurer apache comme on souhaite Je décide d'utiliser le plugins webroot qui permet de générer les fichiers de certificat et de nous laisser libre de configurer apache comme on souhaite
Ligne 102: Ligne 89:
    expire on 2016-08-11. To obtain a new version of the certificate in    expire on 2016-08-11. To obtain a new version of the certificate in
    the future, simply run Certbot again.    the future, simply run Certbot again.
 + - If you like Certbot, please consider supporting our work by:
 +
 +   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
 +   Donating to EFF:                    https://eff.org/donate-le
 +</code>
 +
 +
 +Dans le cas d'un wildcard avec authentification par DNS
 +
 +<code>
 +# certbot certonly --manual -d '*.edmc73.com'
 +Saving debug log to /var/log/letsencrypt/letsencrypt.log
 +Plugins selected: Authenticator manual, Installer None
 +Obtaining a new certificate
 +Performing the following challenges:
 +dns-01 challenge for edmc73.com
 +
 +-------------------------------------------------------------------------------
 +NOTE: The IP of this machine will be publicly logged as having requested this
 +certificate. If you're running certbot in manual mode on a machine that is not
 +your server, please ensure you're okay with that.
 +
 +Are you OK with your IP being logged?
 +-------------------------------------------------------------------------------
 +(Y)es/(N)o: y
 +
 +-------------------------------------------------------------------------------
 +Please deploy a DNS TXT record under the name
 +_acme-challenge.edmc73.com with the following value:
 +
 +6CmoURMbv3F14hJdzR8zqXrhcYJeKWJEhT8xZcz4gUY
 +
 +Before continuing, verify the record is deployed.
 +-------------------------------------------------------------------------------
 +Press Enter to Continue
 +</code>
 +C'est à ce moment la que vous allez ajouter une entrée DNS sur votre nom de domaine. Ensuite pressez Enter :)
 +
 +<code>
 +Waiting for verification...
 +Cleaning up challenges
 +
 +IMPORTANT NOTES:
 + - Congratulations! Your certificate and chain have been saved at:
 +   /etc/letsencrypt/live/edmc73.com/fullchain.pem
 +   Your key file has been saved at:
 +   /etc/letsencrypt/live/edmc73.com/privkey.pem
 +   Your cert will expire on 2033-06-13. To obtain a new or tweaked
 +   version of this certificate in the future, simply run
 +   letsencrypt-auto again. To non-interactively renew *all* of your
 +   certificates, run "letsencrypt-auto renew"
  - If you like Certbot, please consider supporting our work by:  - If you like Certbot, please consider supporting our work by:
  
Ligne 487: Ligne 525:
 Exemple de conf nginx Exemple de conf nginx
 <code nginx> <code nginx>
 +server  {
 +   listen 80;
 +   server_name votrenomde.domaine;
 +   # pour forcer le site en https
 +   rewrite ^ https://$server_name$request_uri? permanent;
 +}
 +
 server { server {
    listen       443;    listen       443;
    server_name  votrenomde.domaine;    server_name  votrenomde.domaine;
    ssl on;    ssl on;
-   ssl_protocols TLSv1.2; 
    ssl_certificate /etc/letsencrypt/live/votrenomde.domaineg/fullchain.pem;    ssl_certificate /etc/letsencrypt/live/votrenomde.domaineg/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/votrenomde.domaine/privkey.pem;    ssl_certificate_key /etc/letsencrypt/live/votrenomde.domaine/privkey.pem;
-   ssl_dhparam /etc/ssl/private/dh4096.pem; +   include /etc/letsencrypt/options-ssl-nginx.conf;
-   ssl_ecdh_curve secp384r1; +
-   ssl_prefer_server_ciphers on; +
-   ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH;+
    location / {    location / {
-               proxy_pass https://192.168.0.60/;+               proxy_pass http://192.168.0.60/;
            }            }
 } }
 </code> </code>
  
linux/ssl.txt · Dernière modification: 17-12-2023 10:35 de edmc73

Outils de la page

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki