Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 30/03/2016, à 18:37

shyboy

LetsEncrypt activation SSL difficile...

Bonsoir,

je me mets a configurer Apache en SSL en suivant ce tuto , qui me semblait très simple.

Tous les fichiers LetsEncrypt sont installés. Mais le gros est la config apache qui ne suit pas...

voici le contenu de monsite.conf (vitualhost)

<VirtualHost *:80>
        ServerAdmin webmaster@monsite.com
        ServerName www.monsite.fr
        ServerName monsite.fr
        DocumentRoot /var/www/html/public/wordpress2/wordpress

        
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
 <VirtualHost *:443>

 ServerAdmin webmaster@monsite.com

       ServerName  monsite.fr
       DocumentRoot /var/www/html/public/wordpress2/wordpress

       
       ErrorLog ${APACHE_LOG_DIR}/error.log
       CustomLog ${APACHE_LOG_DIR}/access.log combined


   SSLProtocol             all -SSLv2 -SSLv3
   SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-$
   SSLHonorCipherOrder     on

   SSLEngine on
   SSLCertificateFile /etc/letsencrypt/live/monsite.fr/fullchain.pem
   SSLCertificateKeyFile /etc/letsencrypt/live/monsite.fr/privkey.pem


.
 </VirtualHost>

a2ensite monsite.fr
service apache2 restart

Et j'obtiens cette ce message d'erreur: 

  ...fail!
 * The apache2 configtest failed.
Output of config test was:
AH00526: Syntax error on line 35 of /etc/apache2/sites-enabled/wordpress2.conf:
Invalid command '...', perhaps misspelled or defined by a module not included in the server configuration
Action 'configtest' failed.

pourtant le module SSl est bien inclut , les directives sont basiques... bref,  je comprends pas.


La commande grep ssl /etc/apache2/mods-enabled/*
me donne ça :

/etc/apache2/mods-enabled/ssl.conf:<IfModule mod_ssl.c>
/etc/apache2/mods-enabled/ssl.conf:     # block. So, if available, use this one instead. Read the mod_ssl User
/etc/apache2/mods-enabled/ssl.conf:     #SSLSessionCache                 dbm:${APACHE_RUN_DIR}/ssl_scache
/etc/apache2/mods-enabled/ssl.conf:     SSLSessionCache         shmcb:${APACHE_RUN_DIR}/ssl_scache(512000)
/etc/apache2/mods-enabled/ssl.conf:     #Mutex file:${APACHE_LOCK_DIR}/ssl_mutex ssl-cache
/etc/apache2/mods-enabled/ssl.conf:     #   ciphers(1) man page from the openssl package for list of all available
/etc/apache2/mods-enabled/ssl.load:LoadModule ssl_module /usr/lib/apache2/modules/mod_ssl.so

'il y a bien la directive "Listen 443"
grep -ri Listen /etc/apache2

/etc/apache2/ports.conf:Listen 80
/etc/apache2/ports.conf:        Listen 443
/etc/apache2/ports.conf:        Listen 443
/etc/apache2/apache2.conf:#   supposed to determine listening ports for incoming connections which can be
/etc/apache2/apache2.conf:# Include list of ports to listen on

Dernière modification par shyboy (Le 30/03/2016, à 19:05)

blog de Bretagne

Hors ligne

#2 Le 30/03/2016, à 20:52

bobe

Re : LetsEncrypt activation SSL difficile...

Il y a un point avant  </VirtualHost> dans le fichier de conf, typo ?
"SSLProtocol" est inutile. SSLv2 n'est plus pris en charge et SSLv3 est désactivé dans la config par défaut (mods-enabled/ssl.conf)

Les commandes pour inclure proprement les certificats et la clé :

SSLCertificateFile /etc/letsencrypt/live/monsite.fr/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/monsite.fr/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/monsite.fr/chain.pem

À quoi correspond la ligne 35 dont apache se plaint ?

Hors ligne

#3 Le 30/03/2016, à 21:07

shyboy

Re : LetsEncrypt activation SSL difficile...

La ligne 35 , c'est  : SSLProtocol             all -SSLv2 -SSLv3 ... 
ça a l'air tout simple sur les tutos sysadmin , mais de quel module , il parle dans le msg d'erreur ? je dois peut -être faire un include dans mon Vhost ?
Je vais retester demain.

blog de Bretagne

Hors ligne

#4 Le 30/03/2016, à 21:45

bobe

Re : LetsEncrypt activation SSL difficile...

Et bien c'est ce que je dis dans mon message précédent. SSLv2 n'est plus supporté par apache. La valeur "-SSLv2" dans ta ligne SSLProtocol n'est pas valide. Enlève simplement cette directive (rappel: SSLProtocol all -SSLv3 est déjà le réglage par défaut, du moins sur apache 2.4; à vérifier dans mods-enabled/ssl.conf).

Dernière modification par bobe (Le 30/03/2016, à 21:46)

Hors ligne

#5 Le 31/03/2016, à 11:34

bruno

Re : LetsEncrypt activation SSL difficile...

hum,

Cette ligne :

SSLProtocol All -SSLv3 -SSLv2

ne devrait pas provoquer d'erreur même si effectivement le protocole SSL ne doit plus être utilisé. Je l'utilise sur un serveur sous Ubuntu 14.04 (apache 2.4) et cela fonctionne parfaitement.

Vérifie bien la ligne qui provoque une erreur et donne nous le retour complet de :

sudo apache2ctl configtest

#6 Le 31/03/2016, à 15:48

shyboy

Re : LetsEncrypt activation SSL difficile...

Merci pour votre assistance, le Vhost est correct, la commande: 

sudo apache2ctl configtest

me dit 

Syntax OK

Seul problème : pas de cadenas, mes pages ne sont pas encore sécurisé.. il y surement un truc a activé ou inclure que j'ai oublié, mais je ne sais quoi...   Je tourne aussi sur Ubuntu 14.04 Apache 2.4.

Quand je lance le site dans le navigateur avec Https://monsite.fr

ça me répond:
Ce site ne peut pas fournir de connexion sécurisée...

Dernière modification par shyboy (Le 31/03/2016, à 15:59)

blog de Bretagne

Hors ligne

#7 Le 31/03/2016, à 15:56

bobe

Re : LetsEncrypt activation SSL difficile...

vérifie que apache écoute bien sur le port 443 :

$ netstat -tpl

Que se passe t-il lorsque tu contactes ton site en https ?
Tu as bien redémarré apache ?

Dernière modification par bobe (Le 31/03/2016, à 15:57)

Hors ligne

#8 Le 31/03/2016, à 16:06

shyboy

Re : LetsEncrypt activation SSL difficile...

Bonjour blob

netstat -tpl me donne:

 PID/Program name
tcp        0      0 localhost:domain        *:*                     LISTEN      925/named       
tcp        0      0 *:ssh                   *:*                     LISTEN      880/sshd        
tcp        0      0 *:smtp                  *:*                     LISTEN      1075/master     
tcp        0      0 localhost:953           *:*                     LISTEN      925/named       
tcp        0      0 localhost:mysql         *:*                     LISTEN      933/mysqld      
tcp6       0      0 [::]:http               [::]:*                  LISTEN      2048/apache2    
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN      880/sshd        
tcp6       0      0 [::]:smtp               [::]:*                  LISTEN      1075/master     
tcp6       0      0 localhost:953           [::]:*                  LISTEN      925/named       
tcp6       0      0 [::]:https              [::]:*                  LISTEN      2048/apache2

Je vois pas le port 443...

blog de Bretagne

Hors ligne

#9 Le 31/03/2016, à 16:09

bruno

Re : LetsEncrypt activation SSL difficile...

Si tu as corrigé tes directives SSL comme l'indiquait bobe en #3 cela devrait fonctionner en utilisant https://www.monsite.fr

Apache est bien en éécoute sur le port 443 :

tcp6       0      0 [::]:https              [::]:*                  LISTEN      2048/apache2

Et s'il s'agit de ton blog en signature, tu as pour l'instant un petit problème de sécurité car je peux parcourir tout tes répertoires /html/private et /html/public…

Dernière modification par bruno (Le 31/03/2016, à 16:21)

#10 Le 31/03/2016, à 16:13

shyboy

Re : LetsEncrypt activation SSL difficile...

Ce site ne peut pas fournir de connexion sécurisée

sad

blog de Bretagne

Hors ligne

#11 Le 31/03/2016, à 16:21

bobe

Re : LetsEncrypt activation SSL difficile...

Là, ce qui serait bien, c'est qu'on puisse avoir un visuel, donc que tu donnes l'adresses du-dit site. C'est possible ?

Sinon, fais le test avec le client openssl pour voir :

$ openssl s_client -connect tonsite.fr:443

vois si le site envoie bien son certificat et le certificat parent.
Tu dois avoir "Verify return code: 0 (ok)" à la fin. Ensuite, ctrl+c pour stopper la commande.

Hors ligne

#12 Le 31/03/2016, à 16:27

shyboy

Re : LetsEncrypt activation SSL difficile...

openssl s_client -connect monsite.fr:443

CONNECTED(00000003)
139864311264928:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:795:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 295 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE

HS

je bricole https sur  mon Piwik

Bref pas is facile le tuto de l'expert

Dernière modification par shyboy (Le 31/03/2016, à 16:34)

blog de Bretagne

Hors ligne

#13 Le 31/03/2016, à 16:39

bobe

Re : LetsEncrypt activation SSL difficile...

C'est comme si SSLEngine était à off ou quelque chose comme ça. Vérifie bien ce point (SSLEngine on dans ton virtualhost) et que le mod ssl est chargé (mais ce doit être le cas sinon il t'indiquerait une erreur de syntaxe dans ta configuration).

edit: montre nous la configuration de tes virtualhost telle qu'elle est maintenant, ainsi que le contenu du fichier ports.conf

edit2: et bien tu sembles avoir réglé le problème.

Dernière modification par bobe (Le 31/03/2016, à 16:49)

Hors ligne

#14 Le 31/03/2016, à 16:48

shyboy

Re : LetsEncrypt activation SSL difficile...

nickel pour Piwik, j'avais oublié le   SSLEngine on du coup  https fonctionne

This page is secure (valid HTTPS).

merci pour l'assistance bobe et Bruno.

blog de Bretagne

Hors ligne

#15 Le 31/03/2016, à 16:50

bobe

Re : LetsEncrypt activation SSL difficile...

bonne configuration : https://www.ssllabs.com/ssltest/analyze … alades.com
Si c'est pour un accès perso, c'est bon, mais si tu prévois que d'autres personnes puissent se connecter, tu peux envisager d'activer aussi tls 1.1, voir 1.0.

N'oublie pas d'ajouter [résolu] au début du sujet de ce topic.

Dernière modification par bobe (Le 31/03/2016, à 16:50)

Hors ligne

#16 Le 31/03/2016, à 16:51

shyboy

Re : LetsEncrypt activation SSL difficile...

Sinon comment rediriger automatiquement l'internaute vers HTTPS au lieu de HTTP quand il arrive sur une page web ? (j'abuse , je sais Google est mon ami , quoique pas si vrai de nos jours.. etc...).

blog de Bretagne

Hors ligne

#17 Le 31/03/2016, à 16:54

bobe

Re : LetsEncrypt activation SSL difficile...

<VirtualHost *:80>
    ServerName tonsite.fr
    Redirect / https://tonsite.fr/
</VirtualHost>

Hors ligne

#18 Le 31/03/2016, à 17:10

shyboy

Re : LetsEncrypt activation SSL difficile...

Encore une question, quand le certificat prend fin (c'est en juin pour moi) , je dois le reactiver et changer les valeurs des directives dans

SSLProtocol           
SSLCipherSuite         
SSLHonorCipherOrder

la procédure d'automatisation, indiqué dans la plupart des tuto sur LetsEncrypt le gère pas  tout seul à ma place ?? ( j'ai découvert letsencrypt hier).

blog de Bretagne

Hors ligne

#19 Le 31/03/2016, à 17:16

bobe

Re : LetsEncrypt activation SSL difficile...

Il n'est pas nécessaire de modifier ces directives après un renouvellement de certificat. C'est le cas seulement pour SSLCertificateFile, SSLCertificateKeyFile et SSLCertificateChainFile si les noms/chemins de fichier ont changé (+ recharger la config apache).

Dernière modification par bobe (Le 31/03/2016, à 17:16)

Hors ligne

Pages : 1