Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Re: Apache2 - Certbot renew - The client lacks sufficient authorization :: Invalid response from
9 views
Skip to first unread message
Ph. Gras
Feb 20, 2019, 7:10:02 PM2/20/19
to
Salut la liste,
> Je n'arrive pas à renouveler mon certificat Certbot.
les certificats des sites ci-dessous mentionnés sont valables jusqu'au 20 mars, il est trop tôt pour les renouveler
et sans doute est-ce pour cette raison qu'une erreur a été générée.
>
> Merci aux spécialistes de Certbot de me conseiller dans la résolution de cette erreur :
> The client lacks sufficient authorization :: Invalid response from
Le ou les répertoires well-known sont mal renseignés dans ton Apache, les requêtes renvoient un beau 404 :-)
>
> 0- J'ai créé le certificat de la sorte : sudo certbot certonly --webroot --agree-tos --email vision...@free.fr -d green-nrj.com -d www.green-nrj.com -d unis-pour-le-climat.com -d www.unis-pour-le-climat.com -d unis-pour-la-planete.com -d www.unis-pour-la-planete.com -d visionduweb.fr -d www.visionduweb.fr -w /var/www/html --rsa-key-size 4096
L'année dernière, il y a eu une faille de sécurité qui a entraîné une régression et des bugs récurrents sur cette
commande à rallonge. Mais ce n'est pas le sujet aujourd'hui.
> 1- J'ai tenté "certbot-auto renew" mais le paquet "certbot-auto" ne semble pas présent.
> Faut t'il que je l'installe, est t'il présent sur Debian Stretch par défaut ?
la commande "certbot renew" suffit pour effectuer toutes les opérations à effectuer pour un renouvellement. De
toute façon, la lancer avant la mi-mars est prématuré.
On en reparle le moment venu et d'ici là, il convient de régler l'emplacement du répertoire well-known :-)
Bonne continuation,
Ph. Gras
> Je n'arrive pas à renouveler mon certificat Certbot.
les certificats des sites ci-dessous mentionnés sont valables jusqu'au 20 mars, il est trop tôt pour les renouveler
et sans doute est-ce pour cette raison qu'une erreur a été générée.
>
> Merci aux spécialistes de Certbot de me conseiller dans la résolution de cette erreur :
> The client lacks sufficient authorization :: Invalid response from
Le ou les répertoires well-known sont mal renseignés dans ton Apache, les requêtes renvoient un beau 404 :-)
>
> 0- J'ai créé le certificat de la sorte : sudo certbot certonly --webroot --agree-tos --email vision...@free.fr -d green-nrj.com -d www.green-nrj.com -d unis-pour-le-climat.com -d www.unis-pour-le-climat.com -d unis-pour-la-planete.com -d www.unis-pour-la-planete.com -d visionduweb.fr -d www.visionduweb.fr -w /var/www/html --rsa-key-size 4096
L'année dernière, il y a eu une faille de sécurité qui a entraîné une régression et des bugs récurrents sur cette
commande à rallonge. Mais ce n'est pas le sujet aujourd'hui.
> 1- J'ai tenté "certbot-auto renew" mais le paquet "certbot-auto" ne semble pas présent.
> Faut t'il que je l'installe, est t'il présent sur Debian Stretch par défaut ?
la commande "certbot renew" suffit pour effectuer toutes les opérations à effectuer pour un renouvellement. De
toute façon, la lancer avant la mi-mars est prématuré.
On en reparle le moment venu et d'ici là, il convient de régler l'emplacement du répertoire well-known :-)
Bonne continuation,
Ph. Gras
Damien TOURDE
Feb 21, 2019, 1:40:02 AM2/21/19
to
Bonjour,
Il me semble que certbot n'est plus dans les dépôts stable.
Il faut télécharger le script sur le site https://certbot.eff.org/
Cordialement,
Damien
Il me semble que certbot n'est plus dans les dépôts stable.
Il faut télécharger le script sur le site https://certbot.eff.org/
Cordialement,
Damien
--
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.
Daniel Caillibaud
Feb 21, 2019, 2:50:02 AM2/21/19
to
Le 21/02/19 à 07:31, Damien TOURDE <dam...@tourde.org> a écrit :
https://packages.debian.org/stretch/certbot
--
Daniel
Je fais deux régimes en même temps, parce qu'avec
un seul, j'avais pas assez à manger.
Coluche
> Il me semble que certbot n'est plus dans les dépôts stable.
Si si :
https://packages.debian.org/stretch/certbot
--
Daniel
Je fais deux régimes en même temps, parce qu'avec
un seul, j'avais pas assez à manger.
Coluche
Christophe Moille
Feb 21, 2019, 2:50:02 AM2/21/19
to
Le jeudi 21 févr. 2019 à 07:31:52 (+0100), Damien TOURDE a écrit :
> Bonjour,
>
> Il me semble que certbot n'est plus dans les dépôts stable.
>
> Il faut télécharger le script sur le site https://certbot.eff.org/
Salut,
> Bonjour,
>
> Il me semble que certbot n'est plus dans les dépôts stable.
>
> Il faut télécharger le script sur le site https://certbot.eff.org/
Il me semble bien qu'il y soit:
$ apt policy certbot
certbot:
Installé : (aucun)
Candidat : 0.28.0-1~deb9u1
Table de version :
0.31.0-1 50
50 tor+http://vwakviie2ienjx6t.onion/debian unstable/main amd64 Packages
50 tor+http://vwakviie2ienjx6t.onion/debian sid/main amd64 Packages
0.28.0-1~deb9u1 500
500 tor+http://vwakviie2ienjx6t.onion/debian stretch/main amd64 Packages
500 tor+http://vwakviie2ienjx6t.onion/debian stretch-updates/main amd64 Packages
0.28.0-1~bpo9+1 100
100 tor+http://vwakviie2ienjx6t.onion/debian stretch-backports/main amd64 Packages
100 tor+http://deb.debian.org/debian stretch-backports/main amd64 Packages
--
« _Si nous étions de la graine de voyous, comme le répétaient nos enseignants,
pourquoi nous planter là, au beau milieu du terreau fertile de la rue ?_ »
- Omar Benlaala, _Inspire_, 2015
Erwann Le Bras
Feb 21, 2019, 5:00:02 AM2/21/19
to
bonjour
Le 21/02/2019 à 01:09, Ph. Gras a écrit :
> Salut la liste,
>
>> Je n'arrive pas à renouveler mon certificat Certbot.
> les certificats des sites ci-dessous mentionnés sont valables jusqu'au 20 mars, il est trop tôt pour les renouveler
> et sans doute est-ce pour cette raison qu'une erreur a été générée.
Non, le message en cas de renouvellement inutile c'est le suivant (log
du 17 février)
Processingwww.vertyges.fr
+ Checking domain name(s) of existing cert... unchanged.
+ Checking expire date of existing cert...
+ Valid till May 10 22:00:22 2019 GMT Certificate will not expire
(Longer than 30 days). Skipping renew!
Processing vertyges.fr
+ Checking domain name(s) of existing cert... unchanged.
+ Checking expire date of existing cert...
+ Valid till May 10 22:00:53 2019 GMT Certificate will not expire
(Longer than 30 days). Skipping renew!
On peut renouveler 1 mois avant. Pour le 30 mars, on est bon.
>
>> Merci aux spécialistes de Certbot de me conseiller dans la résolution de cette erreur :
>> The client lacks sufficient authorization :: Invalid response from
> Le ou les répertoires well-known sont mal renseignés dans ton Apache, les requêtes renvoient un beau 404 :-)
c'est la cause de l'erreur, il a besoin de déposer puis lire un tag pour
s'assurer de la validité du site.
Très certainement Apache ne sert pas ce répertoire correctement :
>
>> 0- J'ai créé le certificat de la sorte : sudo certbot certonly --webroot --agree-tos --email vision...@free.fr -d green-nrj.com -d www.green-nrj.com -d unis-pour-le-climat.com -d www.unis-pour-le-climat.com -d unis-pour-la-planete.com -d www.unis-pour-la-planete.com -d visionduweb.fr -d www.visionduweb.fr -w /var/www/html --rsa-key-size 4096
> L'année dernière, il y a eu une faille de sécurité qui a entraîné une régression et des bugs récurrents sur cette
> commande à rallonge. Mais ce n'est pas le sujet aujourd'hui.
>
>> 1- J'ai tenté "certbot-auto renew" mais le paquet "certbot-auto" ne semble pas présent.
>> Faut t'il que je l'installe, est t'il présent sur Debian Stretch par défaut ?
> la commande "certbot renew" suffit pour effectuer toutes les opérations à effectuer pour un renouvellement. De
> toute façon, la lancer avant la mi-mars est prématuré.
la commande que j'ai en crontab : certbot -q renew
Le paquet inclu un fichier /etc/cron.d/certbot, qui contient la
programmation nécessaire.
bon courage
Le 21/02/2019 à 01:09, Ph. Gras a écrit :
> Salut la liste,
>
>> Je n'arrive pas à renouveler mon certificat Certbot.
> les certificats des sites ci-dessous mentionnés sont valables jusqu'au 20 mars, il est trop tôt pour les renouveler
> et sans doute est-ce pour cette raison qu'une erreur a été générée.
du 17 février)
Processingwww.vertyges.fr
+ Checking domain name(s) of existing cert... unchanged.
+ Checking expire date of existing cert...
+ Valid till May 10 22:00:22 2019 GMT Certificate will not expire
(Longer than 30 days). Skipping renew!
Processing vertyges.fr
+ Checking domain name(s) of existing cert... unchanged.
+ Checking expire date of existing cert...
+ Valid till May 10 22:00:53 2019 GMT Certificate will not expire
(Longer than 30 days). Skipping renew!
On peut renouveler 1 mois avant. Pour le 30 mars, on est bon.
>
>> Merci aux spécialistes de Certbot de me conseiller dans la résolution de cette erreur :
>> The client lacks sufficient authorization :: Invalid response from
> Le ou les répertoires well-known sont mal renseignés dans ton Apache, les requêtes renvoient un beau 404 :-)
s'assurer de la validité du site.
Très certainement Apache ne sert pas ce répertoire correctement :
>
>> 0- J'ai créé le certificat de la sorte : sudo certbot certonly --webroot --agree-tos --email vision...@free.fr -d green-nrj.com -d www.green-nrj.com -d unis-pour-le-climat.com -d www.unis-pour-le-climat.com -d unis-pour-la-planete.com -d www.unis-pour-la-planete.com -d visionduweb.fr -d www.visionduweb.fr -w /var/www/html --rsa-key-size 4096
> L'année dernière, il y a eu une faille de sécurité qui a entraîné une régression et des bugs récurrents sur cette
> commande à rallonge. Mais ce n'est pas le sujet aujourd'hui.
>
>> 1- J'ai tenté "certbot-auto renew" mais le paquet "certbot-auto" ne semble pas présent.
>> Faut t'il que je l'installe, est t'il présent sur Debian Stretch par défaut ?
> la commande "certbot renew" suffit pour effectuer toutes les opérations à effectuer pour un renouvellement. De
> toute façon, la lancer avant la mi-mars est prématuré.
Le paquet inclu un fichier /etc/cron.d/certbot, qui contient la
programmation nécessaire.
bon courage
Daniel Caillibaud
Feb 22, 2019, 3:10:02 AM2/22/19
to
Le 21/02/19 à 10:55, Erwann Le Bras <erwann....@laposte.net> a écrit :
rien faire si /run/systemd/system existe), dans ce cas c'est
/etc/systemd/system/certbot.service qui fait le job.
--
Daniel
Ce n'est pas que j'ai peur de mourir.
Je veux juste ne pas être là quand ça arrivera.
Woody Allen.
> Le paquet inclu un fichier /etc/cron.d/certbot, qui contient la
> programmation nécessaire.
Attention, avec systemd ce /etc/cron.d/certbot ne fait rien (il sort sans
> programmation nécessaire.
rien faire si /run/systemd/system existe), dans ce cas c'est
/etc/systemd/system/certbot.service qui fait le job.
--
Daniel
Ce n'est pas que j'ai peur de mourir.
Je veux juste ne pas être là quand ça arrivera.
Woody Allen.
Ph. Gras
Feb 23, 2019, 10:00:03 AM2/23/19
to
Bonjour,
> Avec quel outil arrivez vous à voire que" Le ou les répertoires
en ce qui me concerne, j'ai utilisé un navigateur Web. On peut aussi le faire
avec cURL ou n'importe quel autre outil adéquat pour effectuer une requête
$ curl -I https://www.visionduweb.fr/.well-known
HTTP/1.1 404 Not Found
Date: Sat, 23 Feb 2019 14:43:50 GMT
Server: Apache/2.4.38 (Debian)
Set-Cookie: f4e8b27a5048454220760e16fe525d93=8idqkijsneosm2jn9pcua411r0; path=/; HttpOnly
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
X-Frame-Options: SAMEORIGIN
Referrer-Policy: no-referrer-when-downgrade
Feature-Policy: geolocation none;midi none;notifications none;push none;sync-xhr self;microphone none;camera none;magnetometer none;gyroscope none;speaker self;vibrate none;fullscreen self;payment none;
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
Access-Control-Allow-Origin: default-src 'self' https://www.visionduweb.fr https://www.youtube.com
Content-Security-Policy: default-src 'self' https://www.visionduweb.fr; script-src 'self' 'unsafe-eval' 'unsafe-inline' https://www.visionduweb.fr https://www.youtube.com https://s.ytimg.com https://www.google.com https://www.gstatic.com; object-src 'self' https://www.visionduweb.fr; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; img-src 'self' https://www.visionduweb.fr https://i.ytimg.com https://secure.gravatar.com; media-src 'self' https://www.visionduweb.fr https://youtu.be; frame-src 'self' https://www.visionduweb.fr https://www.youtube.com https://www.coingecko.com https://hackbbs.org:7777 https://www.spreaker.com https://widget.spreaker.com https://www.google.com; font-src 'self' 'unsafe-inline' https://www.visionduweb.fr https://fonts.gstatic.com data:; connect-src 'self' https://www.visionduweb.fr
Content-Type: text/html; charset=UTF-8
$ curl -I https://www.visionduweb.fr
HTTP/1.1 200 OK
Date: Sat, 23 Feb 2019 14:46:38 GMT
Server: Apache/2.4.38 (Debian)
Expires: Wed, 17 Aug 2005 00:00:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: f4e8b27a5048454220760e16fe525d93=dorlrt1jn3pjcq0795bk9k3dqf; path=/; HttpOnly
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
X-Frame-Options: SAMEORIGIN
Referrer-Policy: no-referrer-when-downgrade
Feature-Policy: geolocation none;midi none;notifications none;push none;sync-xhr self;microphone none;camera none;magnetometer none;gyroscope none;speaker self;vibrate none;fullscreen self;payment none;
Last-Modified: Sat, 23 Feb 2019 14:46:43 GMT
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
Access-Control-Allow-Origin: default-src 'self' https://www.visionduweb.fr https://www.youtube.com
Content-Security-Policy: default-src 'self' https://www.visionduweb.fr; script-src 'self' 'unsafe-eval' 'unsafe-inline' https://www.visionduweb.fr https://www.youtube.com https://s.ytimg.com https://www.google.com https://www.gstatic.com; object-src 'self' https://www.visionduweb.fr; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; img-src 'self' https://www.visionduweb.fr https://i.ytimg.com https://secure.gravatar.com; media-src 'self' https://www.visionduweb.fr https://youtu.be; frame-src 'self' https://www.visionduweb.fr https://www.youtube.com https://www.coingecko.com https://hackbbs.org:7777 https://www.spreaker.com https://widget.spreaker.com https://www.google.com; font-src 'self' 'unsafe-inline' https://www.visionduweb.fr https://fonts.gstatic.com data:; connect-src 'self' https://www.visionduweb.fr
Content-Type: text/html; charset=utf-8
Le thermomètre comme outil, n'est jamais en cause pour remédier à un problème. Il ne fait que l'identifier.
Après, tu fais ce que tu veux mais si tu ne résous pas ce problème, tu ne renouvelleras jamais ton certif :-)
Bon week-end,
Ph. Gras
> Avec quel outil arrivez vous à voire que" Le ou les répertoires
> well-known sont mal renseignés dans ton Apache, les requêtes renvoient
> un beau 404 " ?
en ce qui me concerne, j'ai utilisé un navigateur Web. On peut aussi le faire
avec cURL ou n'importe quel autre outil adéquat pour effectuer une requête
$ curl -I https://www.visionduweb.fr/.well-known
HTTP/1.1 404 Not Found
Date: Sat, 23 Feb 2019 14:43:50 GMT
Server: Apache/2.4.38 (Debian)
Set-Cookie: f4e8b27a5048454220760e16fe525d93=8idqkijsneosm2jn9pcua411r0; path=/; HttpOnly
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
X-Frame-Options: SAMEORIGIN
Referrer-Policy: no-referrer-when-downgrade
Feature-Policy: geolocation none;midi none;notifications none;push none;sync-xhr self;microphone none;camera none;magnetometer none;gyroscope none;speaker self;vibrate none;fullscreen self;payment none;
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
Access-Control-Allow-Origin: default-src 'self' https://www.visionduweb.fr https://www.youtube.com
Content-Security-Policy: default-src 'self' https://www.visionduweb.fr; script-src 'self' 'unsafe-eval' 'unsafe-inline' https://www.visionduweb.fr https://www.youtube.com https://s.ytimg.com https://www.google.com https://www.gstatic.com; object-src 'self' https://www.visionduweb.fr; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; img-src 'self' https://www.visionduweb.fr https://i.ytimg.com https://secure.gravatar.com; media-src 'self' https://www.visionduweb.fr https://youtu.be; frame-src 'self' https://www.visionduweb.fr https://www.youtube.com https://www.coingecko.com https://hackbbs.org:7777 https://www.spreaker.com https://widget.spreaker.com https://www.google.com; font-src 'self' 'unsafe-inline' https://www.visionduweb.fr https://fonts.gstatic.com data:; connect-src 'self' https://www.visionduweb.fr
Content-Type: text/html; charset=UTF-8
$ curl -I https://www.visionduweb.fr
HTTP/1.1 200 OK
Date: Sat, 23 Feb 2019 14:46:38 GMT
Server: Apache/2.4.38 (Debian)
Expires: Wed, 17 Aug 2005 00:00:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: f4e8b27a5048454220760e16fe525d93=dorlrt1jn3pjcq0795bk9k3dqf; path=/; HttpOnly
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
X-Frame-Options: SAMEORIGIN
Referrer-Policy: no-referrer-when-downgrade
Feature-Policy: geolocation none;midi none;notifications none;push none;sync-xhr self;microphone none;camera none;magnetometer none;gyroscope none;speaker self;vibrate none;fullscreen self;payment none;
Last-Modified: Sat, 23 Feb 2019 14:46:43 GMT
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
Access-Control-Allow-Origin: default-src 'self' https://www.visionduweb.fr https://www.youtube.com
Content-Security-Policy: default-src 'self' https://www.visionduweb.fr; script-src 'self' 'unsafe-eval' 'unsafe-inline' https://www.visionduweb.fr https://www.youtube.com https://s.ytimg.com https://www.google.com https://www.gstatic.com; object-src 'self' https://www.visionduweb.fr; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; img-src 'self' https://www.visionduweb.fr https://i.ytimg.com https://secure.gravatar.com; media-src 'self' https://www.visionduweb.fr https://youtu.be; frame-src 'self' https://www.visionduweb.fr https://www.youtube.com https://www.coingecko.com https://hackbbs.org:7777 https://www.spreaker.com https://widget.spreaker.com https://www.google.com; font-src 'self' 'unsafe-inline' https://www.visionduweb.fr https://fonts.gstatic.com data:; connect-src 'self' https://www.visionduweb.fr
Content-Type: text/html; charset=utf-8
Le thermomètre comme outil, n'est jamais en cause pour remédier à un problème. Il ne fait que l'identifier.
Après, tu fais ce que tu veux mais si tu ne résous pas ce problème, tu ne renouvelleras jamais ton certif :-)
Bon week-end,
Ph. Gras
Yann Serre
Feb 23, 2019, 11:00:02 AM2/23/19
to
Dans mes souvenirs :
- mettre une config apache correcte pour joindre la racine publique du
site en http
- vérifier les autorisations d'écriture à la racine publique du site
- créer le certificat (qui va générer .well-known à la racine)
- modifier la config apache pour forcer la racine publique du site en https
- mettre une config apache correcte pour joindre la racine publique du
site en http
- vérifier les autorisations d'écriture à la racine publique du site
- créer le certificat (qui va générer .well-known à la racine)
- modifier la config apache pour forcer la racine publique du site en https
Frédéric MASSOT
Feb 23, 2019, 7:10:02 PM2/23/19
to
Le 23/02/2019 à 15:42, G2PC a écrit :
> Le 21/02/2019 à 01:09, Ph. Gras a écrit :
> Le 21/02/2019 à 01:09, Ph. Gras a écrit :
>> On en reparle le moment venu et d'ici là, il convient de régler l'emplacement du répertoire well-known
>
> Comme indiqué dans ma précédente réponse :
>
> Pouvez vous me dire comment vous avez pu observer que le répertoire
> well-know est mal renseigné et renvoie une erreur 404 ?
>
>
> De mon côté, je suppose avoir trouvé LA raison de ce problème.
> J'avais généré un seul certificat pour un ensemble de domaines, qui
> pointaient vers /var/www/html/
>
> Hors, entre temps, j'ai déplacé le site visionduweb.fr dans le dossier
> /var/www/visionduweb.fr
> J'ai fais les modifications dans le VHost.
> J'utilise le même certificat que celui créé initialement.
Oui, tu associes bien le dossier racine de ton site web avec une
directive de la configuration de ton vhost géré par ton serveur web.
Mais ici il y a un élément en plus, le renouvellement de ton certificat
par certbot. Il faut prendre en compte la configuration de certbot.
Est-ce que tu as lu la doc de certbot ?
https://certbot.eff.org/docs/using.html
> Ainsi, je suppose que le certificat est " erroné " du fait du changement
> d'emplacement du site visionduweb.fr ?
> Pour résoudre cela, faut t'il impérativement que je révoque le certificat ?
Oui et non, c'est une possibilité, mais tu peux aussi modifier la
configuration de certbot, comme tu l'as fais pour ton serveur web.
> Procédure de résolution du problème envisagée :
> Je modifie temporairement le VHost de visionduweb.fr pour le refaire
> pointer vers /var/www/html/
> Je révoque le certificat.
> Je modifie le VHost de visionduweb.fr pour le faire pointer au bon
> endroit vers /var/www/visionduweb.fr
> Je crée deux certificats :
> - un certificat unique, pour tous les domaines.
> - un seul certificat pour visionduweb.fr / www.visionduweb.fr qui pointe
> vers son propre répertoire.
>
>
--
==============================================
| FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto:fred...@juliana-multimedia.com |
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |
===========================Debian=GNU/Linux===
Damien TOURDE
Feb 24, 2019, 3:40:02 PM2/24/19
to
Bonjour,
Ha oui en effet, c'est en fait sur old-stable qu'il est présent mais
plus recommandé par l'EFF.
Toutes mes confuses ;)
Damien
Ha oui en effet, c'est en fait sur old-stable qu'il est présent mais
plus recommandé par l'EFF.
Toutes mes confuses ;)
Damien
Daniel Caillibaud
Feb 25, 2019, 7:00:02 AM2/25/19
to
Le 23/02/19 à 16:49, Yann Serre <debian-us...@eml.ovh> a écrit :
porte (à priori seul celui qui déploie doit pouvoir écrire, et personne
d'autre, notamment pas le user qui fait tourner le serveur web ni celui qui
fait tourner un éventuel php/cgi/xxx)
> - créer le certificat (qui va générer .well-known à la racine)
> - modifier la config apache pour forcer la racine publique du site en
> https
sauf pour .well-known !
Le principe de certbot (avec l'option --webroot) est qu'il crée un fichier
xxx là où on lui dit (avec -w ou --webroot-path), et ensuite letsencrypt.org
fait un appel vers http://domaine.tld/.well-known/xxx (noter le http sans
s) pour vérifier qu'on est bien gestionnaire du domaine
Il faut donc configurer le serveur web pour qu'il aille
chercher .well-known/xxx là où certbot l'a écrit, mais c'est pas du tout
obligé de mettre ça dans le docroot du site concerné !
Par ex
- un /var/www/certbot/ dans lequel certbot peut écrire (peut être n'importe
où), qui peut servir pour tous les domaines
- dans la conf du serveur web, créer un alias pour que /.well-known pointe
sur /var/www/certbot/ (ça peut être qq lignes de configuration génériques
à tous les domaines)
- ajouter éventuellement une redirection http => https pour toutes les urls
autres que /.well-known (idem)
- appeler certbot en cli en lui précisant `--webroot -w /var/www/certbot`
--
Daniel
Quand les événements nous dépassent,
feignons d'en être les organisateurs.
Pierre Desproges
> Dans mes souvenirs :
> - mettre une config apache correcte pour joindre la racine publique du
> site en http
> - vérifier les autorisations d'écriture à la racine publique du site
Ça je déconseillerais, moins y'a de monde qui peut écrire là et mieux on se
> - mettre une config apache correcte pour joindre la racine publique du
> site en http
> - vérifier les autorisations d'écriture à la racine publique du site
porte (à priori seul celui qui déploie doit pouvoir écrire, et personne
d'autre, notamment pas le user qui fait tourner le serveur web ni celui qui
fait tourner un éventuel php/cgi/xxx)
> - créer le certificat (qui va générer .well-known à la racine)
> - modifier la config apache pour forcer la racine publique du site en
> https
Le principe de certbot (avec l'option --webroot) est qu'il crée un fichier
xxx là où on lui dit (avec -w ou --webroot-path), et ensuite letsencrypt.org
fait un appel vers http://domaine.tld/.well-known/xxx (noter le http sans
s) pour vérifier qu'on est bien gestionnaire du domaine
Il faut donc configurer le serveur web pour qu'il aille
chercher .well-known/xxx là où certbot l'a écrit, mais c'est pas du tout
obligé de mettre ça dans le docroot du site concerné !
Par ex
- un /var/www/certbot/ dans lequel certbot peut écrire (peut être n'importe
où), qui peut servir pour tous les domaines
- dans la conf du serveur web, créer un alias pour que /.well-known pointe
sur /var/www/certbot/ (ça peut être qq lignes de configuration génériques
à tous les domaines)
- ajouter éventuellement une redirection http => https pour toutes les urls
autres que /.well-known (idem)
- appeler certbot en cli en lui précisant `--webroot -w /var/www/certbot`
--
Daniel
Quand les événements nous dépassent,
feignons d'en être les organisateurs.
Pierre Desproges
Frédéric MASSOT
Feb 26, 2019, 6:50:02 AM2/26/19
to
Le 25/02/2019 à 12:50, Daniel Caillibaud a écrit :
> Le 23/02/19 à 16:49, Yann Serre <debian-us...@eml.ovh> a écrit :
>> Dans mes souvenirs :
>> - mettre une config apache correcte pour joindre la racine publique du
>> site en http
>> - vérifier les autorisations d'écriture à la racine publique du site
>
> Ça je déconseillerais, moins y'a de monde qui peut écrire là et mieux on se
> porte (à priori seul celui qui déploie doit pouvoir écrire, et personne
> d'autre, notamment pas le user qui fait tourner le serveur web ni celui qui
> fait tourner un éventuel php/cgi/xxx)
>
>> - créer le certificat (qui va générer .well-known à la racine)
>> - modifier la config apache pour forcer la racine publique du site en
>> https
>
> sauf pour .well-known !
>
> Le principe de certbot (avec l'option --webroot) est qu'il crée un fichier
> xxx là où on lui dit (avec -w ou --webroot-path), et ensuite letsencrypt.org
> fait un appel vers http://domaine.tld/.well-known/xxx (noter le http sans
> s) pour vérifier qu'on est bien gestionnaire du domaine
>
> Il faut donc configurer le serveur web pour qu'il aille
> chercher .well-known/xxx là où certbot l'a écrit, mais c'est pas du tout
> obligé de mettre ça dans le docroot du site concerné !
>
> Par ex
> - un /var/www/certbot/ dans lequel certbot peut écrire (peut être n'importe
> où), qui peut servir pour tous les domaines
Le dossier ".well-known" est actuellement utilisé par Let's Encrypt,
> Le 23/02/19 à 16:49, Yann Serre <debian-us...@eml.ovh> a écrit :
>> Dans mes souvenirs :
>> - mettre une config apache correcte pour joindre la racine publique du
>> site en http
>> - vérifier les autorisations d'écriture à la racine publique du site
>
> Ça je déconseillerais, moins y'a de monde qui peut écrire là et mieux on se
> porte (à priori seul celui qui déploie doit pouvoir écrire, et personne
> d'autre, notamment pas le user qui fait tourner le serveur web ni celui qui
> fait tourner un éventuel php/cgi/xxx)
>
>> - créer le certificat (qui va générer .well-known à la racine)
>> - modifier la config apache pour forcer la racine publique du site en
>> https
>
> sauf pour .well-known !
>
> Le principe de certbot (avec l'option --webroot) est qu'il crée un fichier
> xxx là où on lui dit (avec -w ou --webroot-path), et ensuite letsencrypt.org
> fait un appel vers http://domaine.tld/.well-known/xxx (noter le http sans
> s) pour vérifier qu'on est bien gestionnaire du domaine
>
> Il faut donc configurer le serveur web pour qu'il aille
> chercher .well-known/xxx là où certbot l'a écrit, mais c'est pas du tout
> obligé de mettre ça dans le docroot du site concerné !
>
> Par ex
> - un /var/www/certbot/ dans lequel certbot peut écrire (peut être n'importe
> où), qui peut servir pour tous les domaines
mais d'autres usages vont arriver.
Une RFC est sortie sur ce dossier :
https://tools.ietf.org/html/rfc5785
Certain l'utilise déjà pour y stocker les favicons, robots.txt, sitemap...
https://github.com/nhoizey/nicolas-hoizey.com/tree/master/.well-known
https://github.com/nhoizey/nicolas-hoizey.com/blob/master/.htaccess#L724-L748
https://github.com/fvsch/scripts-and-snippets/blob/master/apache/rewrite-well-known.conf
Si vous voulez utiliser un dossier commun pour tous les sites, il faut
que l'alias soit sur l'adresse "/.well-known/acme-challenge".
0 new messages