Forum

Need some help? Ask our community for its assistance!

You are not logged in.

#1 03-03-2016 17:07:27

@Martin
Staff
Registered: 11-12-2013
Posts: 60

Let's encrypt avec simp_le sur alwaysdata

Let's encrypt est une autorité de certificats qui permet de générer en ligne de commande et gratuitement des certificats.

simp_le est une alternative au client officiel de let's encrypt qui se passe des droits root, il est donc tout indiqué pour alwaysdata.

Pour l'installer, on va installer localement (dans le compte) une version à jour de pip :

python2.7 -m ensurepip --user
export PATH=$HOME/.local/bin:$PATH

puis installer simp_le :

cd ~
git clone https://github.com/kuba/simp_le.git
cd simp_le
pip install --user -e .

Pour générer le certificat, on lance la commande :

simp_le --email abuse@alwaysdata.com -f account_key.json \
  -f fullchain.pem -f key.pem \
  -d www.mondomaine.net -d mondomaine.net \
   --tos_sha256 6373439b9f29d67a5cd4d18cbc7f264809342dbf21cb2ba2fc7588df987a6221 \
  --default_root /$HOME/www/

(Pour plus de détails, reportez-vous à l'aide de simp_le, par exemple avec simp_le -h).

où :

  • les arguments -f [...] correspondent aux fichiers que l'on veut générer,

  • les arguments -d  [...] aux domaines et sous domaines pour lesquels le certificat doit être valide,

  • --default_root est l'emplacement de la racine du site (qui correspond à celle indiquée dans la section "Sites")

Le script va créer un fichier qui permet d'authentifier le domaine dans $HOME/www/.well-known/... puis produire les fichiers demandés. Le certificat est donc fullchain.pem, la clé privée key.pem.

Vous pouvez supprimer le répertoire ".well-known" une fois que c'est fait :

rm -r $HOME/.well-known

Il ne vous reste qu'à configurer votre certificat comme indiqué dans l'aide :
https://help.alwaysdata.com/my-account/ssl/configure

edit: correction de fautes de frappe (pip --user et non pip -user, simp_le et non sim_ple)
edit: suppression du paragraphe sur la location d'IP dédiée, car ça n'est plus nécessaire.

Last edited by @Martin (03-11-2016 12:08:22)

Offline

#2 03-04-2016 21:45:32

tbnv
Membre
Registered: 20-01-2016
Posts: 4

Re: Let's encrypt avec simp_le sur alwaysdata

Merci pour la procédure simple et claire, ça fonctionne sans problème.

Il faut cependant apporter une petite correction au deuxième bloc de code, la troisième ligne devrait être ...

cd simp_le

... au lieu de ...

cd sim_ple

wink

Offline

#3 14-04-2016 11:25:45

lian
Membre
Registered: 05-03-2013
Posts: 94

Re: Let's encrypt avec simp_le sur alwaysdata

Wordpress annonce le SSL sur ses sites hébergés. Je me penche sur Let's Encrypt mais franchement, ça dépasse largement mes compétences techniques malgré le tuto - je ne me suis jamais fait à Linux et ses commandes. Est-ce qu'on ne pourrait pas imaginer une activation plus simple comme le proposent certains hébergeurs genre SiteGround ou Dreamhost ? http://www.wpbeginner.com/wp-tutorials/ … s-encrypt/

Offline

#4 14-04-2016 11:36:33

@Cyril
Staff
From: Paris
Registered: 06-02-2007
Posts: 5,665
Website

Re: Let's encrypt avec simp_le sur alwaysdata

C'est prévu, probablement dans le courant de l'année.

Offline

#5 14-04-2016 11:58:11

lian
Membre
Registered: 05-03-2013
Posts: 94

Re: Let's encrypt avec simp_le sur alwaysdata

@Cyril wrote:

C'est prévu, probablement dans le courant de l'année.

Yipiii yi. Bon, plus qu'à être patient.

Offline

#6 15-04-2016 15:34:53

Celectik
Membre
Registered: 15-04-2016
Posts: 4

Re: Let's encrypt avec simp_le sur alwaysdata

Suite aux conseils du support, je me permets de poster ici.
Merci également pour la procédure smile Par contre, je rencontre un petit problème au moment de générer le certificat :

test.mondomaine.com was not successfully self-verified. CA is likely to fail as well!

Puis

CA marked some of the authorizations as invalid, which likely means it could not access http://example.com/.well-known/acme-challenge/X. Did you set correct path in -d example.com:path or --default_root? Is there a warning log entry about unsuccessful self-verification? Are all your domains accessible from the internet? Failing authorizations

La commande avant exécution :

simp_le --email mail@mondomaine.com -f account_key.json \
  -f fullchain.pem -f key.pem \
  -d test.mondomaine.com \
  --default_root /$HOME/www/test

Ai-je loupé une étape?

Merci smile

Offline

#7 15-04-2016 16:08:14

@Martin
Staff
Registered: 11-12-2013
Posts: 60

Re: Let's encrypt avec simp_le sur alwaysdata

Bonjour,

À priori, la commande est correcte, le problème est donc certainement ailleurs.
Let's encrypt vérifie que vous êtes le propriétaire du domaine en créant un fichier dans un répertoire donné à la racine de votre site, en l’occurrence, le résultat de http://example.com/.well-known/acme-challenge/X doit afficher le contenu du fichier www/test/.well-known/acme-challenge/X.

Le message d'erreur indique que le serveur de Let's encrypt n'a pas pu lire le fichier en question. Vous pouvez vérifier qu'en créant un fichier manuellement, il est bien accessible en http pour essayer.

Quelques pistes :
- le répertoire www/test n'est pas configuré comme étant la racine du site (dans la section "Sites" de l'administration),
- vous pouvez avoir des règles trop restrictives pour accéder au fichier dans un .htaccess (authentification, répertoires et fichiers commençant par un . interdits, etc),
- si vous utilisez l'URL rewriting (dans un .htaccess notamment), il est possible que la règle soit prioritaire sur le fichier existant dans le répertoire.

Offline

#8 15-04-2016 16:49:56

Celectik
Membre
Registered: 15-04-2016
Posts: 4

Re: Let's encrypt avec simp_le sur alwaysdata

Bien joué, c'était le --default_root qui n'était pas bon !

Pourtant j'avais repris ce que j'avais indiqué dans l'onglet Site. J'ai cherché un peu à comprendre où le .well-known était créer lorsque la commande était exécuté et en testant :

--default_root /$HOME/test/ et non --default_root /$HOME/www/test/

Le test est passé, test.mondomaine.com was successfully self-verified et mes 3 fichiers ont bien été créé

Je continue la suite du tuto, encore merci smile

Offline

#9 18-04-2016 10:14:59

Celectik
Membre
Registered: 15-04-2016
Posts: 4

Re: Let's encrypt avec simp_le sur alwaysdata

Bonjour,

Toute petite dernière question au niveau du fullchain.pem généré:

Ce dernier contient 2 -----BEGIN CERTIFICATE-----, j'imagine que le premier est à renseigner dans certificat et le deuxieme -----BEGIN CERTIFICATE----- dans certificat intermédiaire ?

Ou je renseigne les deux directements dans certificats ?

Merci

Offline

#10 18-04-2016 10:33:54

@Martin
Staff
Registered: 11-12-2013
Posts: 60

Re: Let's encrypt avec simp_le sur alwaysdata

En théorie, c'est mieux de mettre le premier certificat dans "Certificat" et les suivants dans "certificats intermédiaires".
En pratique, les deux sont concaténés dans tous les cas... donc à vrai dire, ça revient à la même chose smile

Offline

#11 18-04-2016 17:05:33

Celectik
Membre
Registered: 15-04-2016
Posts: 4

Re: Let's encrypt avec simp_le sur alwaysdata

Effectivement... Autant faire les choses proprement smile

Pour finir avec l'installation du SSL: le domaine est géré en externe par un registar. Avant la mise en place du certificat, j'avais un enregistrement de type

test IN A 178.32.28.114

Maintenant que j'ai lié la nouvelle adresse IP loué dans les paramètres du sous-domaine, je pense que je dois supprimer cet enregistrement pour la modifié en

test IN A nouvelleadresseip ?

Offline

#12 18-04-2016 17:15:42

@Martin
Staff
Registered: 11-12-2013
Posts: 60

Re: Let's encrypt avec simp_le sur alwaysdata

Oui, il faut effectivement mettre à jour la configuration DNS pour un domaine qui n'est pas géré par alwaysdata.

Offline

#13 23-04-2016 15:16:06

tbnv
Membre
Registered: 20-01-2016
Posts: 4

Re: Let's encrypt avec simp_le sur alwaysdata

Vu que ça n'a pas été corrigé, je me permets de re-signaler qu'il y a une petite erreur dans le tutoriel. ;-)
Cfr. https://forum.alwaysdata.com/viewtopic. … 855#p18855

Offline

#14 02-05-2016 11:22:42

@Martin
Staff
Registered: 11-12-2013
Posts: 60

Re: Let's encrypt avec simp_le sur alwaysdata

C'est corrigé.

Offline

#15 09-06-2016 00:42:30

nhoizey
Membre
Registered: 07-06-2016
Posts: 1

Re: Let's encrypt avec simp_le sur alwaysdata

Merci BEAUCOUP pour ce tutoriel efficace !

Il devrait à mon avis être repris dans la documentation officielle de la plateforme.

Au passage, attention tout de même quand vous dites que l'on peut supprimer le dossier ".well-known", il est parfois déjà utilisé pour d'autres fichiers.

Offline

#16 13-09-2016 15:35:53

Frédéric
Membre
Registered: 16-05-2011
Posts: 8

Re: Let's encrypt avec simp_le sur alwaysdata

J'ai une erreur lors de la 1ère commande :

~$ python2.7 -m ensurepip --user
/usr/languages/python/2.7/bin/python: No module named ensurepip

En même temps pip a l'air d'être déjà installé alors je continue, mais j'ai une autre erreur :

~$ pip install --user -e .
Usage: /usr/local/bin/pip install [OPTIONS] PACKAGE_NAMES...

/usr/local/bin/pip install: error: no such option: --user

Pourvez-vous m'aider ?
J'ai un serveur dédié.

Offline

#17 13-09-2016 15:52:04

@Cyril
Staff
From: Paris
Registered: 06-02-2007
Posts: 5,665
Website

Re: Let's encrypt avec simp_le sur alwaysdata

La version de Python 2.7 n'est pas tout à fait la même sur certains serveurs, d'où l'erreur. Je vous ai apporté une solution directement par ticket.

Offline

#18 28-09-2016 00:15:57

mattab
Membre
Registered: 28-09-2016
Posts: 2

Re: Let's encrypt avec simp_le sur alwaysdata

Frédéric wrote:

J'ai une erreur lors de la 1ère commande :

~$ python2.7 -m ensurepip --user
/usr/languages/python/2.7/bin/python: No module named ensurepip

En même temps pip a l'air d'être déjà installé alors je continue, mais j'ai une autre erreur :

~$ pip install --user -e .
Usage: /usr/local/bin/pip install [OPTIONS] PACKAGE_NAMES...

/usr/local/bin/pip install: error: no such option: --user

Pourvez-vous m'aider ?
J'ai un serveur dédié.

Bonjour, je suis dans la meme situation. Je viens de demander au support de l'aide. Il serait top d'ajouter l'information dans ce thread directement pour les futurs utilisateurs qui ont le meme soucis :-)

Merci

Offline

#19 28-09-2016 11:47:50

mattab
Membre
Registered: 28-09-2016
Posts: 2

Re: Let's encrypt avec simp_le sur alwaysdata

FYI 0 ) Let's encrypt ne gere pas les certificats wildcard https://community.letsencrypt.org/t/ple … ates/258/1

FYI 1) quelque chose a changé et du coup il faut ajouter à la commande simp_le le parametre suivant:

--tos_sha256 6373439b9f29d67a5cd4d18cbc7f264809342dbf21cb2ba2fc7588df987a6221

Documente sur: https://github.com/kuba/simp_le/issues/114


FYI 2) Les certificats ne sont valides que seulement 90 jours ! Attention donc.

On compte fort sur Alwaysdata et l'excellente team, pour automatiser la creation et mise a jour des certificats automatiquement, dans les prochaines semaines, afin que nous n'ayons pas a copier coller les certificats manuellement dans l'interface AD, pour chaque sous domaine

Au plaisir et vive l'Internet.

Last edited by mattab (28-09-2016 11:48:23)

Offline

#20 28-09-2016 12:20:13

@Martin
Staff
Registered: 11-12-2013
Posts: 60

Re: Let's encrypt avec simp_le sur alwaysdata

Bonjour et merci pour les précisions.

Vous ne pouvez pas générer de certificat wildcard, mais vous pouvez normalement ajouter de nombreux hostnames comme "alternative name" et obtenir un certificat valable pour plusieurs domaines en même temps (une centaine de mémoire) : il suffit d'ajouter autant de -d [domaine] que vous le souhaitez. Ça marche même avec des domaines totalement différents (monsite.com, mon-site.com, mon-site.fr, etc).


Je vais modifier le post pour inclure ce sha256 qui a changé, notons que les certificats générés avant le 1er août doivent être régénérés sans ce paramètre.

Offline

#21 30-09-2016 12:01:01

tbnv
Membre
Registered: 20-01-2016
Posts: 4

Re: Let's encrypt avec simp_le sur alwaysdata

mattab wrote:

FYI 2) Les certificats ne sont valides que seulement 90 jours ! Attention donc.

On compte fort sur Alwaysdata et l'excellente team, pour automatiser la creation et mise a jour des certificats automatiquement, dans les prochaines semaines, afin que nous n'ayons pas a copier coller les certificats manuellement dans l'interface AD, pour chaque sous domaine

Au plaisir et vive l'Internet.

Je vote "pour" l'automatisation. smile

Last edited by tbnv (30-09-2016 12:01:18)

Offline

Board footer

Powered by FluxBB