Bonjour,
Je ne suis pas sûr d’être dans la bonne catégorie mais je n’ai pas trouvé mieux. Excusez m’en.
J’ai 2 jeedom chez moi, à deux endroits différents. J’accède au premier en https avec un certificat Lets’encrypt et un nom de domaine OVH et le second en http et une redirection de port. Je voudrais protéger le second et y accéder également en https mais je n’y parviens pas. Quelles sont les différentes manières d’y parvenir ? je reçois ce message quand je veux générer le certificat :
sudo certbot --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Please enter the domain name(s) you would like on your certificate (comma and/or
space separated) (Enter ‹ c › to cancel): ipmonnomdedomaine Requesting a certificate for ipmonnomdedomaine
Certbot failed to authenticate some domains (authenticator: apache). The Certificate Authority reported these problems:
Domain: ipmonnomdedomaine
Type: unauthorized
Detail: Invalid response from http:// ipmonnomdedomaine /.well-known/acme-challenge/dobrCSpB-SuZWq62RycTZHFgI3n5RW9dI8-3V8y13pE [78.199.191.156]: 403
Hint: The Certificate Authority failed to verify the temporary Apache configuration changes made by Certbot. Ensure that the listed domains point to this Apache server and that it is accessible from the internet.
Some challenges have failed.
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.
Il faut deux noms de domaines (peut être des sous domaine, exemple box1.domaine.com et box2.domaine.com et utiliser ceux ci sur chaque box.
Et de plus avoir deux ports differents.
Mais ça va coince pour le renouvellement automatique.
Le mieux est de placer un reverse proxy, les deux domaines arriveront sur ce proxy en 443 (un seul port ouvert sur la box internet donc) et lui transferera la requête vers le bon jeedom en fonction du sous-domaine.
Salut,
Pourquoi ne pas utiliser un superviseur dans cette machine !
puis créer 2 machines virtuelle qui auront chacune une ip différentes …
il te faudra installer aussi un proxy et c’est lui que tu sécurisera et qui dispatchera sur tes 2 jeedom.
créer deux certificats différents Let’s Encrypt pour chacun de tes Jeedoms
C’est la que ca devient un peu « tricky » car j’ai créé deux certificats « wildcart » de type *.nomdedomaine.net en utilisant le Dns-01 Challenge OVH.
La cerise sur le gateau est qu’alors, le renouvellement devient automatique.
Je peux laisser le port 80 fermé en permanence sur ma box.
A noter, j’espère que l’avertissement de @Mips (… Mais ça va coince pour le renouvellement automatique …) ne sera pas avéré mais je dois attendre 3 mois pour le savoir car l’installation de mes deux certificats est toute récente.
Si tu es en challenge DNS-1, alors le renouvellement peut fonctionner (car comme tu le dis, le (les) port 80 n’est plus necessaire).
Le wildcard n’était pas obligatoire, mais ca marche aussi
Merci à vous tous pour vos réponses, je n’ai plus qu’à me mettre au boulot. @Eridani78 Ce que j’ai déjà :
un nom de domaine chez OVH
2 sous domaines
Par contre ça je ne sais pas bien faire. Je suis sur une Freebox Révolution. On peut avoir 2 ports d’entrée qui pointent vers le même port ? Peux-tu, stp, me donner un exemple ? Merci
Etant chez Orange, je ne connais pas l’interface utilisateur de la Freebox mais si tu rentres dans ses paramètres de configuration, tu devrais trouver une rubrique « Reseaux » puis une sous rubrique règles NAT/PAT ou équivalent.
La, tu crée 2 règles avec 2 numéros différents pour chaque port et une redirection vers le port interne 443 de chacune de tes machines cibles.
Merci @fwehrle pour la confirmation.
Je pensais bien effectivement que cela devait fonctionner pour le renouvellement.
Le wildcard n’est pas obligatoire effectivement mais c’est super pratique je trouve. Et ca ne réduit pas trop l’enveloppe de sécurité du domaine.
Par contre, je n’ai pas réussi a ne créer qu’un seul certificat qui aurait pu fonctionner pour les deux Jeedom. J’ignore si cela est juste possible ou si je n’ai pas fait les bonnes manips ?
Ton certificat wildcard fonctionne pour tes 2 jeedom (pour tout les sous domaines). Le problème, si tu ne veux en générer qu’un, c’est que tu le génére sur un des 2 jeedom, et ensuite, il faut le copier sur l’autre.
Un script sh pourrait convenir, mais ta solution est bien aussi.
