Page 1 sur 1

Problème Cerbot debian 10 [RESOLU]

Posté : mar. 15 oct. 2019 17:02
par Sima
Bonjour,

Après avoir installé cerbot sur un serveur sous Debian 10 j'ai un message d'erreur lors que je lance la commande "# certbot --apache"

Code : Tout sélectionner

# certbot --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: site-01.fr
2: www.site-01.fr
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for site-01.fr
Enabled Apache rewrite module
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. site-01.fr (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://chispa.fr/.well-known/acme-challenge/JMLrPi_y3P2Wm5geTLTvizU_9HlOCcNljE9wD_zH5HA [xxx.xxx.xx.xxx]: "<!DOCTYPE HTML PUBLIC \"-//IETF//DTD HTML 2.0//EN\">\n<html><head>\n<title>403 Forbidden</title>\n</head><body>\n<h1>Forbidden</h1>\n<p"

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: site-01.fr
   Type:   unauthorized
   Detail: Invalid response from
   http://site-01.fr/.well-known/acme-challenge/JMLrPi_y3P2Wm5geTLTvizU_9HlOCcNljE9wD_zH5HA
   [82.64.157.10]: "<!DOCTYPE HTML PUBLIC \"-//IETF//DTD HTML
   2.0//EN\">\n<html><head>\n<title>403
   Forbidden</title>\n</head><body>\n<h1>Forbidden</h1>\n<p"

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address.
Je ne trouve pas la solution...
Merci d'avance

Re: Problème Cerbot debian 10 [...]

Posté : mer. 16 oct. 2019 05:32
par benzo
slt Sima,

D'après ton log, je vois que t'essayes de signer le domaine "site-01.fr" ? Je ne pense pas que tu aies acheté ce domaine et que tu aies envie de générer un certif pour lui :lol:
Du coup , le script certbot tente de résoudre le challenge avec l'adresse suivante:
http://site-01.fr/.well-known/acme-chal ... E9wD_zH5HA
Si tu la tapes dans un navigateur tu te feras jeté car le domaine site-01.fr n'existe pas ! c'est normal puisque tu ne possèdes pas ce nom

[exemple]
Il faut que le dossier de ton site porte le nom (ou sous nom) de domaine que tu possèdes.

Sur ton serveur, les fichiers de ton site web seront dans:

Code : Tout sélectionner

/var/www/blog.chispa.fr
(je ne détaille pas ici la conf d'apache, mais faudra bien configurer le vhost blog.chispa.fr)
Certbot va te proposer de signer:
blog.chispa.fr

Evidemment sur ton registrar (celui qui te loue ton nom de domaine chispa.fr) faudra que tu crées ton enregistrement dns "blog.chispa.fr"

Re: Problème Cerbot debian 10 [...]

Posté : mer. 16 oct. 2019 15:55
par Sima
benzo a écrit :
mer. 16 oct. 2019 05:32
je vois que t'essayes de signer le domaine "site-01.fr" ? Je ne pense pas que tu aies acheté ce domaine
Bon, j'ai mis site-01.fr pour l'exemple, mais il s'agit chispa.fr (tu remplaces site-01.fr par chispa.fr) nom de domaine que j'ai acheté.
Pour arriver:

Code : Tout sélectionner

/var/www/
Où là j'ai un fichier "index" en html.

Je n'ai rien changé à la config Gandi, à part l'IP et ça fonctionne en http.
J'ai la même config du vhost ssl qu'avant????
Pour l'instant je n'ai que 2 Vhosts une pour le 80 l'autre pour le 443.
Je ne vais pas faire des vhosts pour les autres sites tant que ce n'ai pas résolu pour le basique.

Re: Problème Cerbot debian 10 [...]

Posté : mer. 16 oct. 2019 16:13
par benzo
hmmm... bah pour t'aider faudrait avoir le contenu du log avec les infos non modifiées...Et si yavait une info à virer dedans ce serait bien l'@ip de ta box ;)
Tant qu'on y est ,si tu peux mettre le contenu de ta conf apache..

Re: Problème Cerbot debian 10 [R]

Posté : mer. 16 oct. 2019 16:33
par Sima
Bon, c'est résolu.
J'ai fait:

Code : Tout sélectionner

# a2dissite 000-default.conf
J'ai entièrement ré-écrit /etc/apache2/sites-available/000-default.conf
Ensuite:

Code : Tout sélectionner

# a2ensite 000-default.conf
# systemctl reload apache2
# certbot --apache
Et là, ça fonctionne ! :P

J'en ai profité pour ajouter au "000-default-le-ssl.conf"

Code : Tout sélectionner

    SSLProtocol -ALL -SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2
    SSLHonorCipherOrder On
    SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
:P :P