Bonjour
J’ai installé mon certificat letsencrypt mais la connexioin https est refusée ?
Je suis perdu (et loin d’être un informaticien) ! et une aide serait la bienvenue.
Merci d‘avance

• J’ai installé ma domotique sur un raspberry PI 3.

• Version de Jeedom V3.3.54

• J’ai un nom de domaine aubres.ovh

• J’accède à jeedom avec http://aubres.ovh/index.php?v=d

• J’ai un certificat letsencrypt :

  • Successfully deployed certificate for aubres.ovh
  • Congratulations! You have successfully enabled HTTPS on https://aubres.ovh

• j’ai les ports suivant dans pi@raspberrypi:~ $ sudo nano /etc/apache2/ports.conf

  • Listen 80
  • #Listen 8048

• J’ai les paramètres reseau
  http 192.168.0.48 : 80
  https 62.147.209.166: 443

• et Jeedom/santé indique bien:

  • Configuration réseau interne OK
  • Configuration réseau externe OK

• mon routeur freebox crystal est paramétré pour rediriger les ports 80 et 443 sur mon IP locale.

NB : J’ajoute que j’avais auparavant configuré un autre port 8048 pour securité. Je l’ai supprimé et remplacé par 80 lorsque j’ai réalisé que letsencrypt ne fonctionnait qu’avec 80.

Quand je veux me connecter en https://aubres.ovh/ j’ai par exemple:

Ce site est inaccessible
aubres.ovh n’autorise pas la connexion.
Voici quelques conseils :

• Vérifier la connexion

• Vérifier le proxy et le pare-feu
  ERR_CONNECTION_REFUSED

• En plus je n’ai plus accès distant avec mon téléphone , malgré une reconfiguration??, Pourquoi ???

• Encore pire il semble que jeedom n’envoie pas les bonne indications (exemple état des qubinos) sur le navigateur local ???

• Pourquoi je n’arrive pas à me connecter en https ???
  Au secours!

Bonjour

C’est inexacte.
Tu as un nom de domaine chez ovh donc en.config réseau externe dans jeedom c’est https ton nom de domaine et port 443.

Maintenant comment as tu installé le certificat sur ton raspi ? Car avoir déployé sur ovh c’est bien mais il y a des choses a faire en local…

L idéal est quand même les dns jeedom pour un non connaisseurs

Merci pour ton commentaire rapide.
J’ai installé le certificat en suivant un tuto comme Comment sécuriser l'accès à Jeedom en HTTPS avec un certificat SSL gratuit - Page 2 sur 3
et en faisant après un certain nombre d’actions : pi@raspberrypi:~ $ sudo certbot --apache
J’ai donné aubres.ovh et cela ‹ a marché ›

1. Que dois je faire en local ?
2. comment utiliser les dns jeedom (je ne connais pas?)
   A +
   Dominique

Bonjour,
il te manque le port 443 ici, si apache n’écoute pas le port 443 tu n’aura pas de réponse sur ta requête en https.
Le port 80 n’est utilisé que pour générer / renouveler le certificat.

Bonjour et encore merci.
j’ai rajouté 443 (qu’il me semblait avoir déjà avec des lignes comme
Voici le contenu complet:
pi@raspberrypi:~ $ sudo nano /etc/apache2/ports.conf
Listen 80
Listen 443
#Listen 8048

vim: syntax=apache ts=4 sw=4 sts=4 sr noet

Désolé mais toujours pas d’accès à https://aubres.ovh

Par ailleurs tu as parlé de dns jeedom. Je n’ai pas le pack. Par contre ovh m’a transmis deux dns. Que dois je en faire?
merci

Je ne sais pas si ta box internet a une ip fixe ou pas mais l’ip doit être renseignée cote ovh et mise à jour si elle change.

La aubres.ovh retourne une IP en 213.186.33.5 est-ce bien l’ip public de ta box internet ?

De plus vu le tuto que tu as suivi je ne suis pas sûr que apache soit correctement configuré.

a2enmod ssl
a2ensite default-ssl.conf
service apache2 restart

Il y a pourtant tout de prévu dans la doc jeedom pour mettre en place un certificat let’s encrypt.
https://doc.jeedom.com/fr_FR/howtoadvance/letsencrypt.mise_en_place

Donc pour résumer :

• nom de domaine sur ovh. OK. Est-ce que dans la console de gestion de ce domaine la partie cname etc. est bien renseignée et l’IP de ta box internet correct et mise à jour si elle change ?

• Sur jeedom est-ce que le module ssl de apache a été activé ?

• L’ouverture de port sur la box internet est-elle ok ?

D’où l’intérêt de prendre un pack et de passer sur les DNS Jeedom.

Hello,

Alors déjà, au niveau de la config DNS de ton domaine, tu n’as pas redirigé https://www.aubres.ovh sur la même IP que https://aubres.ovh
Est-ce voulu?

Ensuite, ton certificat ne semble pas inclure le sous domaine www.aubres.ovh, mais surement uniquement aubres.ovh

Du coup, pour simplifier :

• renseignes la bonne IP 62.147.209.166 pour ton domaine racine dans la config DNS du domaine (et pas 213.186.33.5 comme c’est le cas actuellement).
• change la config reseau externe https de jeedom : remplace l’IP par ton domaine

Je ne suis pas un grand spécialiste de letsencrypt, mais j’ai utilisé le même tuto que toi avec succès.
Ce que j’ai compris, est qu’il faut donner un nom de domaine valide qui permet d’accèder à ta page web par le port 80.
Ici, j’ai compris que tu n’accède pas à la même ip lorsque tu fait www.aubres.ovh ou aubres.ovh tout court.
En fait, j’ai l’impression que dans le manager ovh, tu as fait une redirection de aubres.ovh vers www.aubres.ovh
(si on fait des ping, les deux ont des ip différentes)

image706×273 16.2 KB

Tu peux aussi tenter d’ajouter ton domaine www.aubres.ovh au certificat existant pour aubres.ovh
regarde la syntaxe de certonly, mais ça doit donner un truc comme ça :

certbot certonly --cert-name aubres.ovh -d www.aubres.ovh

Bon, cela dit, je ne suis pas un spécialiste, je peux me tromper.

Bonsoir,
D’abord merci à tous.
Je n’ai pas de pack , je fais moi-même… avec votre aide. Non informaticien j’ai quelques lacunes qui sont plutôt des crevasses de glacier géantes… A 83ans ! j’apprends et je comble mes trous…
J’ai suivi vos remarques qui pointent mes différentes erreurs.
Donc j’ai une IP fixe : 62.147.209.166
J’ai corrigé dans ovh les deux sites aubres.ovh et www.aubres.ovh avec cette IP.
J’ai deux sites car j’ai tellement tourné en rond que j’ai mis un peu la pagaille. je ne sais pas si mon site est avec ou sans www, sauf que le seul certificat valide m’indique que c’est aubres.ovh. 'merci mic78000!
Il faut attendre est il dit la propagation (env.24h)
Suivant [Actarus.Procyon] j’ai (sauf erreur) activé ssl (suivant le lien doc.jeedom)
Voilà où j’en suis. Je progresse et j’apprends.
Une question à [fwehrle]: j’ai la config reseau jeedom:
https 62.147.209.166 : 443 correct?
Encore MERCI à tous. Je verrai demain si cela fonctionne…

Je pense que tu devrais plutôt mettre aubres.ovh :443 puisque letsencrypt te donne un certificat pour aubres.ovh et non pour 62.147.209.166
Cela dit, ce que tu rentres dans la config jeedom n’est pas important pour ton problème. Ca ne joue pas de rôle dans l’accès à jeedom. Si je ne me trompe pas, c’est juste un renseignement que l’on met là à disposition de plugin qui en auraient besoin( pour ce dernier point, je ne suis pas trop sûr, j’espère que des plus sachant te le confirmeront.
C’est ce que je comprends quand je lis :

image1096×34 5.02 KB

Et sinon, il faut effectivement de l’ordre d’une nuit pour que se propage le fait que tel nom de domaine est certifié. Je suis aussi chez OVH…

Edit : hé regarde, ça marche :

BRAVO !

C’est ca. La config reseau jeedom sert a indiquer a jeedom comment tu y accèdes depuis l’exterieur. Ca lui sert a te donner les bons liens externe sur des equipements, scenarios, etc…
Pas primordial, mais il est bon de le configurer tout de suite correctement pour eviter de perdre du temps plus tard.
Pour le reste, tu as fait ce qu’il fallait.
83 ans? Cool. J’en suis a un peu moins de la moitié. j’espère encore faire de la domotique et apprendre des trucs à cet âge.

Oui oui ça marche !!!

Grand merci à tous. Je sais que ce n’est pas facile de cibler la vraie cause d’un problème.Vous avez passé du temps, ne le regrettez pas , vous pouvez en être heureux!

NB: J’ai mis aubres.ovh dans le reseau Jeedom.

Encore trois questions s’il vous plait:

1. si je comrpends bien les transferts entre un navigateur et mon jeedom sont cryptés. Je n’ai plus besoin d’un port particulier (comme avant le 8048), il me faut simplement un bon mot de passe. Correct?

2. le renouvellement: apparemment c’est automatique d’après sudo certbot renew –dry-run, mais tous les combien?

3. je peux supprimer la redirection du port 80 sur ma freebox?

MERCI

Dominique

Oui, mais seulement si tu passes par l’adresse en https (sur le port 443 donc)

La pour le coup, je ne sais pas. Je suis encore avec un bon vierux cron toutes les semaines pour demander un renouvellement. Mais je veux ben l’info pour ceux qui savent.

Ca dépend de la méthode de renew de certbot. moi j’en ai besoin pour que letsencrypt identifie bien que c’est bien ma machine qui demande le renouvellement. Mais il y a d’autres méthodes.

Je ne vais pas prétendre que je sais, mais j’ai :
pi@raspberrypi:~ $ sudo certbot renew --dry-run
Saving debug log to /var/log/letsencrypt/letsencrypt.log

Processing /etc/letsencrypt/renewal/aubres.ovh.conf

Account registered.
Simulating renewal of an existing certificate for aubres.ovh

Congratulations, all simulated renewals succeeded:
/etc/letsencrypt/live/aubres.ovh/fullchain.pem (success)

pi@raspberrypi:~ $
Ce qui me dit, en fait ce que je crois comprendre!, que le renouvellement est bien prévu.
Par ailleurs dans OVH j’ai vu ‹ renouvellement automatique › et prochain février 2023.
J’ai lu (https://jeedomiser.fr/article/acceder-a-jeedom-depuis-lexterieur-et-en-https-avec-lets-encrypts-sur-son-raspberry-pi/) que le nouveau système prévoyait un renouvellement automatique.
C’est ce que le petit vieux peut dire… Bonne journée.

Pour ce qui est du port 80. Tu es obligé de le laisser car je crois que sinon le renouvellement ne se fera pas.

Un certificat est valable 90 jours. Ils recommandent de le renouveler tous les 60 jours.
Lorsque tu fais sudo certbot renew –dry-run il y a l’otion dry donc c’est une simulation, un test, cela ne renouvelle pas.
pour renouveler, c’est sudo certbot renew (ou certbot -q renew pour le faire « silencieusement »)

Si tu as utilisé cerbot (https://certbot.eff.org/) pour installer, le dispositif de renouvellement automatique est installé.
En fait, il crée un cron en plaçant dans /etc/cron.d/certbot
quelque chose du genre

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew

Edit, maintenant, il doit le mettre ailleurs je suppose car chez moi, il n’y a pas de fichier cerbot qui s’y trouve.

Sinon, si tu constates dans 60 jours que le renouvellement ne s’est pas fait, il faut que tu le fasse à la main.
Voir ici :

Pour le fait d’utiliser un port différent de 443, c’est une sécurité supplémentaire car les robots testent par priorité les port 80 et 443. Cela dit, c’est tellement pratique de garder les ports par défaut…

Bonjour,

Absolument pas convaincu. Il est tellement facile de voir quels sont les ports ouverts que changer du standard n’apporte rien sauf des ennuis avec d’autres plugins comme telegram

Moi non plus, pas convaincu à 100%, mais c’est ce qui se dit. Par exemple, sur un Nas d’une marque bien connu, si on laisse les ports d’origine, il nous donne un message de sécurité comme quoi on devrait les changer.

Ben je préfère pas tenter le diable et me bloquer sur d’autres trucs donc je laisse les ports standards pour le https

Avec un bon BSD devant ca le fait

BSD ? je ne connais pas.