Installation de certificat galère

mich0111 · Novembre 11, 2023, 8:12

Je n’ai pas compris cette phrase mais le tuto est celui-ci :
https://www.google.com/url?sa=t&source=web&rct=j&opi=89978449&url=https://syskb.com/installer-certificat-ssl-apache-2-debian-ubuntu/&ved=2ahUKEwit6bTZqbqCAxW5V6QEHZcuChQQFnoECCkQAQ&usg=AOvVaw0-VwNoq9599CBwmb2dOHvZ

Apres l’avoir suivi à la lettre sans que cela marche, j’ai creusé et cherché dans des docs et j’en suis là.

Bad · Novembre 11, 2023, 8:43

Je suis pas mega fan de la façon de faire de ce tuto.

<IfModule mod_ssl.c>
Listen 443
</IfModule>

Normalement ça se fait dans /etc/apache2/ports.conf.

Est ce que seul l’utilisateur root est bien propriétaire et a bien les droits uniquement de lecture sur le fichier ET les droits en lecture sur tout le chemin pour y accéder ?

bad@jeedom:~$ sudo ls -la /root/certs
total 24
drwx------  2 root root 4096 Feb 24  2022 .
drwx------ 11 root root 4096 Dec 27  2022 ..
-rw-------  1 root root 1818 Oct 11 15:12 chain.pem
-rw-------  1 root root 5569 Oct 11 15:12 fullchain.pem
-rw-------  1 root root 1679 Oct 11 15:12 privkey.pem

Que donne les commandes :

systemctl status apache2.service
grep -rin "Listen" /etc/apache2
ls -la /etc/apache2/sites-enabled
ls -la /etc/ssl
ls -la /etc/ssl/private
ls -la /etc/ssl/private/mon_nom.family

Perso mon fichier /etc/apache2/sites-enabled/000-default-ssl.conf ressemble à ça :

<IfModule mod_ssl.c>
        <VirtualHost _default_:443>
                ServerName jeedom.dom.ext
                ServerAlias jeedom
                ServerAlias jeeprod

                ServerAdmin jeeprod@dom.ext
                DocumentRoot /var/www/html
                ErrorLog /var/www/html/log/http.error
                CustomLog /var/www/html/log/http.local common

                SSLEngine on
                SSLCertificateFile      /root/certs/fullchain.pem
                SSLCertificateKeyFile   /root/certs/privkey.pem
                SSLCertificateChainFile /root/certs/chain.pem

                BrowserMatch "MSIE [2-6]"  nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
                # MSIE 7 and newer should be able to use keepalive
                BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
        </VirtualHost>
</IfModule>

Bad

mich0111 · Novembre 11, 2023, 9:12

Voila les ls -la des répertoires et sous-répertoires où sont stockés certificats et clé :

certs.txt (35,8 Ko)

certs_mon_nom.family.txt (373 Octets)

private.txt (314 Octets)

private_mon_nom.family.txt (289 Octets)

Bad · Novembre 11, 2023, 9:49

Merci pour les LS, certaines de tes clés privées sont en lecture pour tous, je pense que ça bloque.

Tu as des certificats partout, c’est normal ? Tu ne veux pas le regrouper ?

mich0111 · Novembre 11, 2023, 9:57

Je n’ai encore jamais tenté d’installer des certificats, de fait, je ne sais pas d’où ça vient ni comment cela a été configuré. Ma config Jeedom est assez vieille, peut-être des plugins mais je n’en sais rien.

Résultats des commandes apache sachant que je n’ai pas fait de a2ensite avec mon vhost depuis mon dernier a2dissite.

commandes apache.txt (2,2 Ko)

Et ce ne serait pas le cas pour les certificats qui me semblent avoir les mêmes propriétés ?

Il faudrait que je fasse ce chmod sur cette clé ?

sudo chmod 600 mon_nom.family_private_key.key

Bad · Novembre 11, 2023, 10:11

Oui, 600 sur tous les certificats de ton domain.

Franchement, plus je lis le tuto, plus je me dis qu’il n’est pas clair et que tu ferais mieux d’en essayer un autre.

Regarde par exemple ce type de sujets :

mich0111 · Novembre 11, 2023, 10:15

C’est pour cette raison que je suis passer à autre chose, j’ai déjà constaté des trucs bizarres et des manques (pas de servername, de directory, …).
Je vais tenter un chmod sur les certificats et clé de mes répertoires et je te tiens au courant.

mich0111 · Novembre 11, 2023, 10:39

Pas de changement, apache ne démarre toujours pas

jeedom@jeedom:~$ sudo systemctl reload apache2
jeedom@jeedom:~$ systemctl status apache2.service
● apache2.service - The Apache HTTP Server
   Loaded: loaded (/lib/systemd/system/apache2.service; enabled; vendor preset:
  Drop-In: /etc/systemd/system/apache2.service.d
           └─override.conf
   Active: activating (auto-restart) (Result: exit-code) since Sat 2023-11-11 11
     Docs: https://httpd.apache.org/docs/2.4/
  Process: 2788 ExecStart=/usr/sbin/apachectl start (code=exited, status=1/FAILU
lines 1-7/7 (END)...skipping...
● apache2.service - The Apache HTTP Server
   Loaded: loaded (/lib/systemd/system/apache2.service; enabled; vendor preset:
  Drop-In: /etc/systemd/system/apache2.service.d
           └─override.conf
   Active: activating (auto-restart) (Result: exit-code) since Sat 2023-11-11 11
     Docs: https://httpd.apache.org/docs/2.4/
  Process: 2788 ExecStart=/usr/sbin/apachectl start (code=exited, status=1/FAILU
lines 1-7/7 (END)
● apache2.service - The Apache HTTP Server
   Loaded: loaded (/lib/systemd/system/apache2.service; enabled; vendor preset: enabled)
  Drop-In: /etc/systemd/system/apache2.service.d
           └─override.conf
   Active: activating (auto-restart) (Result: exit-code) since Sat 2023-11-11 11:36:51 CET; 7s ago
     Docs: https://httpd.apache.org/docs/2.4/
  Process: 2788 ExecStart=/usr/sbin/apachectl start (code=exited, status=1/FAILURE)

anon53349806 · Novembre 11, 2023, 2:38

Je ne retrouve plus le tuto certbot ou en fait tout se fait casi seul

Trouvé : Certbot Instructions | Certbot

mich0111 · Novembre 11, 2023, 2:51

Salut,
Merci de ton aide.
Tu l’as testé ?
J’ai tenté tellement de tutos que je me méfie maintenant.

anon53349806 · Novembre 11, 2023, 3:03

Oui je l’ai testé sur une vm.
Mais il me semble qu’ici plusieurs personnes l’ont testé et qu’à priori c’est le tuto à suivre si je dis pas de bêtise

mich0111 · Novembre 11, 2023, 3:05

A moins que je ne me trompe, il me semble que cerbot ne permet de manipuler que les certificats let’s encrypt.
Si c’est le cas, cela ne correspond pas à mon besoin qui est d’installer mon propre certificat.
Dommage

Mips · Novembre 11, 2023, 3:07

Oui et non
Ce sont des certifs émis/signé par letsencrypt mais l’utilisateur est bien propriétaire, ce sont bien « nos prorpres certif »

anon53349806 · Novembre 11, 2023, 3:11

ah mince j’ai lu trop vite, j’ai cru que tu voulais en générer et installer.

mich0111 · Novembre 11, 2023, 3:12

Oui, j’entends bien, mais je possède un certificat fourni par ionos et, si je ne me trompe pas, il ne peut pas être installé par cerbot.

Mips · Novembre 11, 2023, 3:16

tout à fait, je ne pense pas

je voulais juste préciser que les certifs letsencrypt sont bien la propriété de celui qui le génère et pas de letsencrypt

mich0111 · Novembre 11, 2023, 3:25

Je suis tellement fatigué d’essayer d’installer mon certificat (j’y ai passé une partie de la nuit) que je vais tenter cette méthode.
Les tutos que j’ai parcourus sont souvent contradictoires sans compter les méthodes obsolètes.
Je m’y remettrais ce soir.
Merci encore.

mich0111 · Novembre 13, 2023, 4:43

Salut,
Donc, j’ai suivi ce tuto à la lettre, tout s’est bien passé (à noter qu’il faut rendre accessible le domaine sur le port 80 pour que ça marche).
Malgré ça, mon site n’est toujours pas accessible en https.
Je pense que mon installation est bancale mais je suis incapable de déboguer le truc. Le problème est que c’est pareil tant avec ma prod et ma machine de test.
Ca va se terminer par un accès en VPN à ma Jeedom depuis l’extérieur.

Nicoca-ine · Novembre 13, 2023, 5:13

Salut
c’est le tuto que j’ai suivi également.

mich0111 · Novembre 13, 2023, 5:15

Ma config doit être pourrie.
Je vais me passer du HTTPS