Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

site en https

sebastien31

Bonjour à tous,

Je souhaite passer mes sites en https.
Sous ubuntu 18.04 j'utilisais letsencrypt.

Sous ubuntu 20.04 j'utilise certbot (letsencryps pas dans les paquets).

Je lance la commande suivante:

sudo certbot --apache -d adpafrique.org

Et quand j'ouvre mon navigateur le site n'est pas sécurisé complètement, un gros message d'erreur sur le navigateur m'indiquant de ne pas continuer sur le site.

Pouvez-vous me dire comment securiser mon site ?
Merci d'avance.
Cordialement.

temps

Je viens de le faire sans probleme en modifiant les droit d'accès ou se trouve les .pem

mais avant toutes choses, peut-on avoir plus d'information ? en exemple la ligne pour générer, le le-ssl.conf ?

De plus la demande est un peu courte, ou se trouve le www ?
Une page qui m'a été utile après avoir essayé un gratuit en .tk
https://certbot.eff.org/docs/using.html#manual

sebastien31

Bonjour temps,
Merci pour ton éclaircissement mais j'ai des question concernant ta réponse.
1) ou se trouvent les fichiers .pem
2) Quel droits d'acces tu leurs donnent.

pour t'aider à comprendre mon probleme je ne sais pas ou se trouve la ligne qui genere le le-ssl.conf. et mes sites sont dans /srv/web.

Merci encore pour ton aide, mais comme tu le constate je suis débutant.
Bonne journée.

bruno

Il n' y a pas à toucher aux fichiers .pem, ni à modifier leurs droits.
Les clés et les certificats sont générés automatiquement par certbot (LetsEncrypt) dans le dossier /etc/letsencrypt avec des droits d'accès corrects. certbot génère également automatiquement un fichier de configuration pour l'hôte virtuel sur le port 443 (HTTPS) grâce à l'argument --apache

Quand on a un problème de configuration serveur il faut indiquer les commandes passées et leur retour, poster les fichier de configuration et donner les message d'erreurs exacts voire les fichiers de logs.

En l’occurrence il faut examiner les hôtes virtuels sous /etc/apache2/sites-available/ et bien lie la doc [doc]apache2[/doc] et aussi celle de certbot.

Si le site correspond au domaine indiqué dans le premier message, il fonctionne parfaitement en HTTPS :
https://adpafrique.org
Par contre avec l'autre domaine :
https://www.adpafrique.org
cela ne fonctionne pas avec un message d'erreur tout à fait explicite (gras ajouté) :

Firefox a écritFirefox ne fait pas confiance à ce site, car il utilise un certificat qui n’est pas valide pour www.adpafrique.org. Le certificat n’est valide que pour adpafrique.org.

Tu as toutes les infos pour résoudre toi-même le problème.

sebastien31

Bonjour Bruno,
Merci pour ton éclaircissement.

Je vais exposer mon problème plus clairement.
J'avais un serveur ou le certificat était bon, pas de problème.
j'ai migré le site sur mon nouveau serveur (Ubuntu 20.04)
et pour creer un certificat j ai lancé laz commande:

sudo certbot --apache -w /srv/web/adpa/ -d adpafrique.org

Code qui maintenant me renvoi le message d'erreur suivant:

voici mes fichiers hosts:

<VirtualHost *:80>
	# The ServerName directive sets the request scheme, hostname and port that
	# the server uses to identify itself. This is used when creating
	# redirection URLs. In the context of virtual hosts, the ServerName
	# specifies what hostname must appear in the request's Host: header to
	# match this virtual host. For the default virtual host (this file) this
	# value is not decisive as it is used as a last resort host regardless.
	# However, you must set it for any further virtual host explicitly.
	ServerName www.adpafrique.org

	ServerAdmin webmaster@localhost
	DocumentRoot /srv/web/adpa

	# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
	# error, crit, alert, emerg.
	# It is also possible to configure the loglevel for particular
	# modules, e.g.
	#LogLevel info ssl:warn

	<Directory /srv/web/adpa>
                AllowOverride FileInfo
        </Directory>

	ErrorLog ${APACHE_LOG_DIR}/error.log
	CustomLog ${APACHE_LOG_DIR}/access.log combined

	# For most configuration files from conf-available/, which are
	# enabled or disabled at a global level, it is possible to
	# include a line for only one particular virtual host. For example the
	# following line enables the CGI configuration for this host only
	# after it has been globally disabled with "a2disconf".
	#Include conf-available/serve-cgi-bin.conf
RewriteEngine on
RewriteCond %{SERVER_NAME} =www.adpafrique.org
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
<VirtualHost *:443>
	# The ServerName directive sets the request scheme, hostname and port that
	# the server uses to identify itself. This is used when creating
	# redirection URLs. In the context of virtual hosts, the ServerName
	# specifies what hostname must appear in the request's Host: header to
	# match this virtual host. For the default virtual host (this file) this
	# value is not decisive as it is used as a last resort host regardless.
	# However, you must set it for any further virtual host explicitly.
	ServerName www.adpafrique.org

	ServerAdmin webmaster@localhost
	DocumentRoot /srv/web/adpa

	# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
	# error, crit, alert, emerg.
	# It is also possible to configure the loglevel for particular
	# modules, e.g.
	#LogLevel info ssl:warn

	<Directory /srv/web/adpa>
                AllowOverride FileInfo
        </Directory>

	ErrorLog ${APACHE_LOG_DIR}/error.log
	CustomLog ${APACHE_LOG_DIR}/access.log combined

	# For most configuration files from conf-available/, which are
	# enabled or disabled at a global level, it is possible to
	# include a line for only one particular virtual host. For example the
	# following line enables the CGI configuration for this host only
	# after it has been globally disabled with "a2disconf".
	#Include conf-available/serve-cgi-bin.conf


Include /etc/letsencrypt/options-ssl-apache.conf
ServerAlias adpafrique.org
SSLCertificateFile /etc/letsencrypt/live/adpafrique.org/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/adpafrique.org/privkey.pem
</VirtualHost>
</IfModule>

Merci de votre aide.

bruno

Il faut être un minimum cohérent et logique dans ce que tu fais. Tu créés un certificat pour un domaine, tu configures ton serveur pour un autre…

Sous quel nom de domaine le site doit-il être accessible /www.adpafrique.org/, /adpafrique.org/ ou les deux ?

sebastien31

Je viens de modifier, peux-tu me dire si c'est mieux.

<IfModule mod_ssl.c>
<VirtualHost *:443>
	# The ServerName directive sets the request scheme, hostname and port that
	# the server uses to identify itself. This is used when creating
	# redirection URLs. In the context of virtual hosts, the ServerName
	# specifies what hostname must appear in the request's Host: header to
	# match this virtual host. For the default virtual host (this file) this
	# value is not decisive as it is used as a last resort host regardless.
	# However, you must set it for any further virtual host explicitly.
	ServerName www.adpafrique.org
	ServerAlias *adpafrique.org

	ServerAdmin webmaster@localhost
	DocumentRoot /srv/web/adpa

	# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
	# error, crit, alert, emerg.
	# It is also possible to configure the loglevel for particular
	# modules, e.g.
	#LogLevel info ssl:warn

	<Directory /srv/web/adpa>
                AllowOverride FileInfo
        </Directory>

	ErrorLog ${APACHE_LOG_DIR}/error.log
	CustomLog ${APACHE_LOG_DIR}/access.log combined

	# For most configuration files from conf-available/, which are
	# enabled or disabled at a global level, it is possible to
	# include a line for only one particular virtual host. For example the
	# following line enables the CGI configuration for this host only
	# after it has been globally disabled with "a2disconf".
	#Include conf-available/serve-cgi-bin.conf


Include /etc/letsencrypt/options-ssl-apache.conf
ServerAlias adpafrique.org
SSLCertificateFile /etc/letsencrypt/live/adpafrique.org/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/adpafrique.org/privkey.pem
</VirtualHost>
</IfModule>

bruno

Je ne vais pas faire la configuration à ta place.
Si le site doit répondre sur les deux noms de domaine, il faut mettre les deux dans la configuration du serveur, dans les deux hôtes virtuels :

	ServerName www.adpafrique.org
	ServerAlias adpafrique.org

sans balancer des caractères jokers au pif, ni mettre de directive en double…

La règle de réécriture dans le site sur le port 80 ne sert à rien et risque même de provoquer une boucle de redirection.

Et tu dois générer le certificat pour les deux noms de domaine.

temps

On en revient donc bien au le-ssl.conf
une page qui m'a été utile après avoir testé un .tk
https://certbot.eff.org/docs/using.html#manual

sebastien31

Merci a tous les deux pour votre aide
J'ai corrigé, relancé certboot, et plus de pb ca fonctionne.