Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 25/01/2018, à 19:09

Wilo98

[RESOLU] serveur LAMP, https et connexion réinitialisée

Bonjour tout le monde,

Je re-construit mon serveur@home et lui rajoute un service que je déléguait jusqu'à maintenant sur du mutualisé : le serveur web.

L'installation d'apache et mysql se sont bien déroulés, et la mise en place des virtualhost fonctionne pour les 3 sous domaine qui pointent sur mon serveur :
Les 3 sites sont accessibles, que ce soit depuis le réseau local ou le net via http://sous1.domaine.com/   http://sous2....

Le problème arrivent lorsque je souhaite sécuriser la navigation. Je test pour un 1° sous domaine, pour ça, j'utilise les services letsencrypt.org et de certbot.
La certification avec certbot fonctionne et ne renvoie pas de message d'erreur.

à partir de là, le site pour lequel j'ai créé un certificat est accessible depuis le réseau local : si je tape sous1.domaine.com dans mon navigateur, je suis automatiquement redirigé sur https://sous1.domaine.com/ (c'est ce que je veux wink) et la page s'affiche.
Mais si je tente depuis une connexion internet, je suis bien redirigé vers https, mon navigateur affiche une belle page d'erreur "connexion réinitialisée". Les autres sous domaines (sans SSL) reste accessibles normalement.

Quelques infos sur le serveur :
Il tourne sur Ubuntu 16.04.3 LTS, il est connecté via un routeur SAGEM (fourni par Red by SFR).
D'autres services (transmission, samba...) sont fonctionnels et accessibles.

J'ai beau reprendre tout depuis le début, paramétrer manuellement ou laisser certbot faire, j’obtiens le même résultat.
J'ai du oublié un petit quelque chose, mais je ne vois pas quoi. Un coup de main externe me serai utile.

Merci d'avance.

Dernière modification par Wilo98 (Le 04/02/2018, à 17:43)

Hors ligne

#2 Le 26/01/2018, à 10:22

bruno

Re : [RESOLU] serveur LAMP, https et connexion réinitialisée

Bonjour,

Donner ses fichiers de configuration vaut mieux qu'un long discours wink
Bon, mais cela semblant parfaitement fonctionner sur ton réseau local, on va supposer que la configuration est correcte.
Si la connexion en HTTPS ne fonctionne pas depuis une machine en dehors du réseau local, c'est peut-être simplement que cette machine là n'est pas compatible avec les protocoles de chiffrement utilisés.
Une bonne ressource pour configurer ses vhost avec TLS : https://mozilla.github.io/server-side-t … generator/

Tu peux utiliser curl et opensssl pour essayer de déboguer (depuis l'extérieur)

curl -I https://example.com

pour voir les en-rtes HTTP.

openssl s_client -connect example.com:443

pour voir les certificats et les protocoles de chiffrement utilisés.

Hors ligne

#3 Le 27/01/2018, à 11:34

Wilo98

Re : [RESOLU] serveur LAMP, https et connexion réinitialisée

Salut Bruno,
Et merci pour ton aide.

Tout d'abord, curl et oppensss n'ont pas l'air d'avoir de bonnes nouvelles pour moi.
curl -I https://example.com me renvoie :

curl: (35) gnutls_handshake() failed: Error in the push function.

quand à openssl s_client -connect example.com:443 :

CONNECTED(00000003)
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 305 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1517042341
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
--

Pour ce qui est de la configuration, mon /etc/apache2/sites-available/000-default.conf donne :

<VirtualHost *:80>
	ServerAdmin wilow@exemple.com
	ServerName home.exemple.com
	
	DocumentRoot /home/www-data/default
	<Directory />
		Options FollowSymLinks
		AllowOverride None
	</Directory>
	<Directory /home/www-data/default>
		Options Indexes FollowSymLinks MultiViews
		AllowOverride None
		Order allow,deny
		allow from all
	</Directory>

	ErrorLog /home/www-data/data/log/home.exemple.com-error.log
	# Possible values include: debug, info, notice, warn, error, crit alert, emerg.
	LogLevel warn
	CustomLog /home/www-data/data/log/home.exemple.com-access.log combined

	RewriteEngine on
	RewriteCond %{SERVER_NAME} =home.exemple.com
	RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]

</VirtualHost>

Pour le 000-default-ssl.conf :

<IfModule mod_ssl.c>
<VirtualHost *:443>
	ServerAdmin wilow@exemple.com
	ServerName home.exemple.com
	
	DocumentRoot /home/www-data/default
	<Directory />
		Options FollowSymLinks
		AllowOverride None
	</Directory>
	<Directory /home/www-data/default>
		Options Indexes FollowSymLinks MultiViews
		AllowOverride None
		Order allow,deny
		allow from all
		Require all granted
	</Directory>

	ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
	<Directory "/usr/lib/cgi-bin">
		AllowOverride None
		Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
		Order allow,deny
		Allow from all
	</Directory>

	ErrorLog /home/www-data/data/log/home.exemple.com-error.log
	# Possible values include: debug, info, notice, warn, error, crit alert, emerg.
	LogLevel warn
	CustomLog /home/www-data/data/log/home.exemple.com-access.log combined

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128

    </Directory>

SSLCertificateFile /etc/letsencrypt/live/home.exemple.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/home.exemple.com/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf

</VirtualHost>
</IfModule>

Et /etc/letsencrypt/options-ssl-apache.conf contient :

# This file contains important security parameters. If you modify this file
# manually, Certbot will be unable to automatically provide future security
# updates. Instead, Certbot will print and log an error message with a path to
# the up-to-date file that you will need to refer to when manually updating
# this file.

SSLEngine on

# Intermediate configuration, tweak to your needs
SSLProtocol             all -SSLv2 -SSLv3
SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder     on
SSLCompression          off

SSLOptions +StrictRequire

# Add vhost name to log entries:
#LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" vhost_combined
#LogFormat "%v %h %l %u %t \"%r\" %>s %b" vhost_common

#CustomLog /var/log/apache2/access.log vhost_combined
#LogLevel warn
#ErrorLog /var/log/apache2/error.log

# Always ensure Cookies have "Secure" set (JAH 2012/1)
#Header edit Set-Cookie (?i)^(.*)(;\s*secure)??((\s*;)?(.*)) "$1; Secure$3$4"

Si il a besoin d'autres infos, je suis pas loin wink

Dernière modification par Wilo98 (Le 27/01/2018, à 11:45)

Hors ligne

#4 Le 27/01/2018, à 15:17

bruno

Re : [RESOLU] serveur LAMP, https et connexion réinitialisée

Simplifie et corrige tes fichiers d'hôtes virtuels :

<VirtualHost *:80>
	ServerAdmin wilow@exemple.com
	ServerName home.exemple.com
	DocumentRoot /home/www-data/default

	ErrorLog /home/www-data/data/log/home.exemple.com-error.log
	# Possible values include: debug, info, notice, warn, error, crit alert, emerg.
	LogLevel warn
	CustomLog /home/www-data/data/log/home.exemple.com-access.log combined

	Redirect permanent / https://home.exemple.com/

</VirtualHost>
<IfModule mod_ssl.c>
    Include /etc/letsencrypt/options-ssl-apache.conf
<VirtualHost *:443>
	ServerAdmin wilow@exemple.com
	ServerName home.exemple.com
	DocumentRoot /home/www-data/default

	<Directory /home/www-data/default>
		Options Indexes FollowSymLinks MultiViews
		AllowOverride None
		Order allow,deny
		allow from all
		Require all granted
	</Directory>

	ErrorLog /home/www-data/data/log/home.exemple.com-error.log
	# Possible values include: debug, info, notice, warn, error, crit alert, emerg.
	LogLevel warn
	CustomLog /home/www-data/data/log/home.exemple.com-access.log combined

        SSLEngine on
        SSLCertificateFile /etc/letsencrypt/live/home.exemple.com/fullchain.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/home.exemple.com/privkey.pem

</VirtualHost>
</IfModule>

Assure-toi que les hôtes virtuels sont bien activés :

sudo a2ensite 000-default.conf
sudo a2ensite  000-default-ssl.conf 

Que le mod_ssl est bien activé :

sudo a2enmod ssl

Recharge la configuration d'Apache :

sudo systemctl restart apache2

Cela devrait fonctionner.

Dernière modification par bruno (Le 27/01/2018, à 15:18)

Hors ligne

#5 Le 30/01/2018, à 19:08

Wilo98

Re : [RESOLU] serveur LAMP, https et connexion réinitialisée

Re, et encore merci pour le coup de main.

Mais l'instruction

Include /etc/letsencrypt/options-ssl-apache.conf

doit être dans la balise <VirtualHost *:443>, sinon ça bug : le serveur ne répond plus sur aucun port (http ou https).

J'ai simplifié mes scripts, mais j'obtiens le même résultat. Je poursuit mes recherches.

Hors ligne

#6 Le 30/01/2018, à 19:22

bruno

Re : [RESOLU] serveur LAMP, https et connexion réinitialisée

La configuration étant supposée correcte, il faut regarder si tu n'as pas un pare(feu quelque part qui bloque les connexions sur le port 443, ou un routeur qui ne redirige pas correctement les requêtes vers le port 443 du serveur.

Dernière modification par bruno (Le 30/01/2018, à 19:22)

Hors ligne

#7 Le 30/01/2018, à 21:21

Wilo98

Re : [RESOLU] serveur LAMP, https et connexion réinitialisée

Je me suis fait la même réflexion.

Il n'y a aucune règle pour iptable :

wilow@lola:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Je redirige bien le trafic du port 80 et 443 sur l'ip local du serveur. J'ai fouillé les options du routeur pour y désactiver le firewall et autre sécurité éventuelle qui pourrait bloquer le trafic.
Et j'ai toujours le même résultat sad

Dans mes vhost, j'ai mis le LogLevel  à debug. Lors des tentative de connexions externes, les logs n'enregistrent aucune entrée.

Je me demande si il ne manque pas une entrée dans la zone DNS.
A l'heure actuel, j'ai un seul champs de type A pointant vers mon ip public.
La Délégation Sécurisée - DNSSEC est activée, et l'ip du serveur principal correspond à celle du serveur mutualisé actuellement en production. DNSSEC ne bloquerai-t-il pas mes tentatives de connexion?

Dernière modification par Wilo98 (Le 30/01/2018, à 21:38)

Hors ligne

#8 Le 31/01/2018, à 08:54

bruno

Re : [RESOLU] serveur LAMP, https et connexion réinitialisée

Là je sèche…
Ta commande openssl en #3 montre bien qu'aucun certificat n'est disponible. Il faudrait voir le résultat en interne (sur le serveur lui-même ou une autre machine du réseau local).

Il faut aussi essayer de commenter la ligne :

Include /etc/letsencrypt/options-ssl-apache.conf

Hors ligne

#9 Le 03/02/2018, à 18:52

Wilo98

Re : [RESOLU] serveur LAMP, https et connexion réinitialisée

re Bruno,
pour Curl, il renvoie :

wilow@lola:~$ curl -I https://home.exemple.com
HTTP/1.1 200 OK
Date: Sat, 03 Feb 2018 17:41:45 GMT
Server: Apache
Last-Modified: Tue, 23 Jan 2018 23:18:03 GMT
ETag: "84d-56379c22a8140"
Accept-Ranges: bytes
Content-Length: 2125
Vary: Accept-Encoding
Content-Type: text/html

Et Openssl lui me donne une belle erreur :

wilow@lola:~$ openssl s_client -connect home.exemple.fr:443
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = home.exemple.com
verify return:1
---
Certificate chain
 0 s:/CN=home.exemple.com
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFATCCA+mgAwIBAgISA8H3YJDX4WGjVxsoH20fYLGiMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0xODAxMjUxNDM2MDZaFw0x
ODA0MjUxNDM2MDZaMBoxGDAWBgNVBAMTD2hvbWUuY2hlenRlby5mcjCCASIwDQYJ
KoZIhvcNAQEBBQADggEPADCCAQoCggEBALeSSaTUUkoFXlrd5zRRSYHN69OIPUby
xcgiylCuodhPUzisN6fpzlWGxd8ifzx7gteK7/ArQeGzVpXb9sxpJ6RsMhtqdXVZ
aD8FPOyTYkM33FhtJpkVPBb1gmkJUWZjJBg1HYkugSfRaWvkAKwkOJG+eIymkHLf
PCbLLJOFSRRwUx/IZ8Bn7kStyFmxLOXdweVLzJpvvVjm1mFR78MPwW3NNMn7kgbG
dUXzp9l7ZXy81n2w20I/2Sc340JMSAFIU9dYQiOOJjcmVzwODFCxzGm6MnJFLTWX
0MeCYvlHuOvsXHjVwJoqlLpj7vBpTcpQ/qNBGyAeJ3hnOCcBDhUaXfcCAwEAAaOC
Ag8wggILMA4GA1UdDwEB/wQEAwIFoDAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYB
BQUHAwIwDAYDVR0TAQH/BAIwADAdBgNVHQ4EFgQUC4WCfDiiG9gkC72wdtPlw+jt
PbowHwYDVR0jBBgwFoAUqEpqYwR93brm0Tm3pkVl7/Oo7KEwbwYIKwYBBQUHAQEE
YzBhMC4GCCsGAQUFBzABhiJodHRwOi8vb2NzcC5pbnQteDMubGV0c2VuY3J5cHQu
b3JnMC8GCCsGAQUFBzAChiNodHRwOi8vY2VydC5pbnQteDMubGV0c2VuY3J5cHQu
b3JnLzAaBgNVHREEEzARgg9ob21lLmNoZXp0ZW8uZnIwgf4GA1UdIASB9jCB8zAI
BgZngQwBAgEwgeYGCysGAQQBgt8TAQEBMIHWMCYGCCsGAQUFBwIBFhpodHRwOi8v
Y3BzLmxldHNlbmNyeXB0Lm9yZzCBqwYIKwYBBQUHAgIwgZ4MgZtUaGlzIENlcnRp
ZmljYXRlIG1heSBvbmx5IGJlIHJlbGllZCB1cG9uIGJ5IFJlbHlpbmcgUGFydGll
cyBhbmQgb25seSBpbiBhY2NvcmRhbmNlIHdpdGggdGhlIENlcnRpZmljYXRlIFBv
bGljeSBmb3VuZCBhdCBodHRwczovL2xldHNlbmNyeXB0Lm9yZy9yZXBvc2l0b3J5
LzANBgkqhkiG9w0BAQsFAAOCAQEAh9hEQp0SiDMiGdv+XtIhfz7I0CFooz1IjpPi
h3jkmqU7+Jdd80J5V9QtrXygN2qc7ge4pCFiXvp5hGSeje0ZBh2HN0oKZ/u1+s6X
vBl8TRLu158+qHO1rgDfUY8f56hJte0Ock7Cb4GBnsl/o+fUm6oReLWIzTmEc0nb
I0LBEUJ8pi2LXxLgzxjx4koxY6SzkWEIywYUatMk4MKGaOtb6w7MroAZQxxyNW94
ev7jTpqxXMV3h8s/auHkanfdJIzpEoLG1RVkjX59pHpkTrKsRrlcHm9QtDc5uKxz
vSzNA0Ip+lv/dgmvnkrZ9VEsv6O5APmGiGWyc1bHCHOcixgoMw==
-----END CERTIFICATE-----
subject=/CN=home.exemple.com
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 3153 bytes and written 431 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES128-GCM-SHA256
    Session-ID: 01BCBE4DDBF2AE3B606BE39311002D855098848938029A44BC9967ACECD5A62F
    Session-ID-ctx:
    Master-Key: 954DE633E6464D2DA8CCEA2AF25C468DF17B227DB68AF069C43B278CC8AD3CF9D66CAF9981FBF110C89DD86A894369DC
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 91 a5 00 4b 7c fb d4 9d-83 16 b2 1d f1 bd 21 a5   ...K|.........!.
    0010 - be 2d 27 1e 39 27 72 1c-2a 66 ee db b7 77 54 62   .-'.9'r.*f...wTb
    0020 - 15 4c 32 26 c0 b0 83 b6-96 67 b1 51 67 57 33 aa   .L2&.....g.QgW3.
    0030 - 9c 55 66 1a f5 33 6e d0-cc 5e 3c 68 a1 59 0a 15   .Uf..3n..^<h.Y..
    0040 - 82 0f 6a 0c 05 72 ad 7d-8d 7d a9 d0 60 6f ed 08   ..j..r.}.}..`o..
    0050 - 29 47 26 3a 49 14 5e d8-ff 63 73 43 71 91 c2 6b   )G&:I.^..csCq..k
    0060 - 57 0b d2 69 ca a2 61 6e-2c 55 be 62 fc ef 35 18   W..i..an,U.b..5.
    0070 - b3 be 57 68 c9 47 71 7d-a3 95 2e 70 98 52 92 21   ..Wh.Gq}...p.R.!
    0080 - d8 ff 5d 3f f9 a5 d7 2d-d9 61 9e a9 22 31 f9 a8   ..]?...-.a.."1..
    0090 - 7f ac 9e 16 b9 64 7b 23-78 af 02 c1 ce 5c be 0e   .....d{#x....\..
    00a0 - e7 ed a1 ea 3e 31 e6 e2-aa 3d 4e 77 aa 71 11 a6   ....>1...=Nw.q..
    00b0 - fb 78 fb 4d c7 8c 0c 59-c3 9f cb 53 22 3b f5 80   .x.M...Y...S";..

    Start Time: 1517679584
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

HTTP/1.1 400 Bad Request
Date: Sat, 03 Feb 2018 17:39:46 GMT
Server: Apache
Content-Length: 226
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
</body></html>
closed

Pour ce qui est de la ligne Include /etc/letsencrypt/options-ssl-apache.conf, j'obtiens le même résultat, qu'elle soit commentée ou pas.

Je ne sais plus ni quoi, ni où chercher sad

@+

Dernière modification par Wilo98 (Le 03/02/2018, à 18:54)

Hors ligne

#10 Le 03/02/2018, à 20:00

bruno

Re : [RESOLU] serveur LAMP, https et connexion réinitialisée

Il faudrait voir avec ton vrai nom de domaine mais là tu te connectes sur home.exemple.fr et le certificat est pour home.exemple.com

Hors ligne

#11 Le 04/02/2018, à 00:03

Wilo98

Re : [RESOLU] serveur LAMP, https et connexion réinitialisée

bruno a écrit :

Il faudrait voir avec ton vrai nom de domaine mais là tu te connectes sur home.exemple.fr et le certificat est pour home.exemple.com

Juste une coquille au moment de masquer le véritable nom de domaine wink

Pour rappel, le nom de domaine et www, ont déjà leur certificat, géré par une autre autorité (celle de mon registar), avec un certificat fournie avec une garantie (payante). Ce domaine et www pointe sur le serveur mutualisé.
Mon serveur @home est atteint par d'autres sous domaine du domaine principale (ip différente du mutualisé).

Cette situation ne peut elle pas me bloquer?

Hors ligne

#12 Le 04/02/2018, à 07:59

bruno

Re : [RESOLU] serveur LAMP, https et connexion réinitialisée

Que tu aies un autre certificat pour un autre domaine n'est pas un problème.

En résumé cela fonctionne bien en local (même si la commande openssl génère un code HTTP 400), depuis l'Internet les connexions sur le port 80 fonctionnent, mais pas sur le port 443.
On en renvient donc au problème évoqué en #6 : le port 443 n'est pas accessible de l'extérieur à cause d'un pare-feu ou d'un mauvais paramétrage de la redirection de ports.

Hors ligne

#13 Le 04/02/2018, à 14:21

J5012

Re : [RESOLU] serveur LAMP, https et connexion réinitialisée

2 tutos d'install de letsencrypt vis-a-vis d'apache + vhost
→ l'un utilise l'include "options-ssl-apache.conf"
https://www.grafikart.fr/formations/ser … etsencrypt

- l'autre n'utilise aucun include
https://www.memoinfo.fr/tutoriels-linux … pt-apache/

Hors ligne

#14 Le 04/02/2018, à 14:47

bruno

Re : [RESOLU] serveur LAMP, https et connexion réinitialisée

Le problème c'est que son port 443 n'est pas accessible de l'extérieur.

La configuration est correcte même si je préfère me référer au site officiel pour Let'sEncrypt : https://certbot.eff.org/#ubuntuxenial-other et ne pas laisser certbot suggérer ou modifier la configuration d'Apache.

Je n'ai pas regardé le premier tuto, mais le second a tout de même pas mal de défauts :
1. il vaut mieux utiliser le paquet certbot des dépôts officiels ;
2. forcer le HTTPS à coup de RewriteRule, c'est inutile et lourd, Redirect 301 c'est simple et propre (cf. #4) ;
3. SSLCertificateChainFile est obsolète depuis apache 2.4.8 ;
4. toutes les directives sur le protocole TLS concernant les modes et les types de chiffrement devrait être définies au niveau du serveur et non des hôtes virtuels, sauf besoins particuliers pour des sites devant être compatibles avec de vieux navigateurs par exemple ;
5. les directives NameVirtualHost sont obsolètes depuis Apache 2.3
6. si on utilise certbot en suivant la doc officielle, une tâche cron est créée automatiquement pour gérer le renouvellement des certificats.

Dernière modification par bruno (Le 04/02/2018, à 14:48)

Hors ligne

#15 Le 04/02/2018, à 15:05

Wilo98

Re : [RESOLU] serveur LAMP, https et connexion réinitialisée

bruno a écrit :

...
La configuration est correcte même si je préfère me référer au site officiel pour Let'sEncrypt : https://certbot.eff.org/#ubuntuxenial-other et ne pas laisser certbot suggérer ou modifier la configuration d'Apache.

Tu me coupes l'herbe sous le pied. D'autant plus qu'une récente évolution de Let's Encrypt rend obsolète les commandes décrites dans ses tutos (voir dans leurs commentaires).

bruno a écrit :

Le problème c'est que son port 443 n'est pas accessible de l'extérieur.

Je soupçonne mon modem d'intercepter le trafic entrant sur ce port, pour rendre son interface d'administration accessible depuis le net. Cette option est pourtant désactivée.

Hors ligne

#16 Le 04/02/2018, à 17:40

Wilo98

Re : [RESOLU] serveur LAMP, https et connexion réinitialisée

Bingo !

C'est bien mon modem/routeur qui foutait le bordel.
Lire ce topic sur le forum de Red pour plus de détails.

J'ai rebooté la bête, elle s'est mise à jour et depuis, j'accède à son interface d'administration uniquement en http (accès uniquement en local) mais mes site https sont accessibles depuis l'extérieur.

Je vais pouvoir poursuivre le développement de mon server@home.

Un grand MERCI à toi Bruno de m'avoir accompagné.

Hors ligne