How to: Install Let’s Encrypt certificates

j’ai dit!!! :stuck_out_tongue_winking_eye:
Le plus drôle c’est que je viens de me souvenir que j’ai utilisé ça pour générer mon fichier :astonished:

D’ailleurs, vous savez si on peut renouveler avec une clé de taille différente ?
Je m’y attaque dans une semaine quand le quota sera de nouveau à 0, en regardant pour un meilleur Diffie-Hellman aussi :smile:

@roylockhart: aucune idée
@scith: merci, j’ai édité.

Bon, alors par contre je m’en était pas rendu compte mais j’ai redémarré mon serveur (après 6 mois d’uptime, quand même :slight_smile: ). Ça m’a niqué la config d’openVPN, je posterai donc une solution quand j’aurai trouvé le problème…

Bien sûr je m’en rend compte seulement quand j’en ai un besoin urgent… :confounded:

Bon alors vu la façon dont est faite l’application openvpn : ce sont les mêmes certificats qui chiffrent le https et le VPN. J’ai préféré revenir au CA interne pour ce domaine. Du coup peut-être que revenir au fichier listant les domaines serait préférable dans mon script de cron, ou alors préciser les domaines à ignorer en paramètre… Quelle est ton opinion, @scith et tout le monde ?

Salut,

du coup je suis pas sur de comprendre quel est le probleme exactement : pourquoi est-ce que OpenVPN ne marche plus ? (perso je n’ai pas d’experience avec) Est-ce que ce ne serait pas un probleme de permissions par exemple ?

Non non c’est que le CA ne correspond plus vu qu’on utilise celui de let’s encrypt. Mais ça n’a pas de sens d’utiliser un CA externe pour openvpn.
Btw joyeux Noël à tous !

I’ve updated the instructions with now a config file for letsencrypt-auto to replace the many flags of the command line. I also included some instructions on how to setup a cron job to automatically renew the certificate when needed. The script I propose also automatically sends an alert if the renewal fails.

All of this is now included in letsencrypt_ynh as well. Tested it on my side, it seems to work. Testers would be very much welcome !

1 Like

Essai osé: en ssh sur mon téléphone, loin de mon serveur maison:
sudo yunohost app install https://github.com/alexAubin/letsencrypt_ynh
Succes!
Un essai depuis un firefox sur un poste windows: Succes!
Détails du certificat généré:

Emis pour
CN: mondomaine.tld
O:
OU:

Emis par:
CN: Let’s Encrypt Authority X1
O: Let’s Encrypt
OU:

Validité:
Emis le 26/12/2015
Valable jusqu’au 25/03/2016

Merci pour la facilitation du script et tout le boulot!

Julien

Thanks a lot for the test and feedback !

You might want to apply this small patch to the renewer script in /etc/cron.weekly/.

Done, thank you again!

Merci beacoup pour ce post !

Je ne sais pas si c’est encore valide mais je me souviens que le point (.) dans les fichiers cron étaient prohibés. Peut-être que ce n’est plus un souci aujourd’hui. Personellement je n’en met pas et comme ca j’ai pas de doute. Du coup les scripts qui finissent en .sh par example ne fonctionnaient pas. J’imagine que ce guide a été testé et fonctionne correctement de toutes façons.

Je viens de tester le script shell pour le renouvèlement automatique des certificats. Je n’avais pas bc d’installé du coup le script a planté et a décidé de renouveler les certificats fraichement installés. J’ai re-testé le script après un apt-get install bc et il a fonctionné parfaitement.

Peut être qu’il serait intéressant de mettre une notice de dépendance a bc.

Testé … testé … c’est un grand mot :stuck_out_tongue:

En effet … je viens de tester avec run-parts -v --test /etc/cron.weekly et le script n’est pas pris en compte. En enlevant le .sh à la fin du nom ça marche. Je vais fixer ça.

Damned, je pensais que c’était installé dans toutes les distro par défaut :o. Je vais fixer ça aussi.

Merci pour le feedback :slight_smile: !

Edit : fixed original post + fixed package, see this commit.

Excellent! Merci pour le travail!

Testé et approuvé sur un de mes domaines !
Merci !

Pour mettre à jour l’application let’encrypt il suffit de passer la moulinette ?
Une MAJ de prévue pour gérer tous les domaines d’une install Yunohost ?

Pour la mise à jour, je ne suis pas trop familier avec comment ca se passe dans Yunohost … en tout cas le script d’upgrade est vide pour le moment :/. Je ne suis pas sur de savoir si le script d’upgrade est censé juste upgrade le client let’s encrypt ou plutot l’application entière ?

Oui, c’est discuté ici. Pour le moment la fonctionnalité est dans une branche. J’ai testé ca dans une VM mais j’aimerais bien avoir d’autre feedback (mais c’est pas super facile a tester si c’est pas un environnement de prod… i.e. il faut au moins 2 domaines avec un nom de domaine qui marche pour que le fetch des certificat fonctionne) avant de merger ca dans le master.

Avant que j’y aille et que je teste en prod sur plusieurs domaines, peux-tu me confirmer que le script remove remet les choses comme avant au niveau des certificats ?
Merci :smile:

Hm oui normalement le script remove sur la branch multiDomainInstall fait le job :slight_smile: . En tout cas il me semble que je l’avais testé sur 1 ou 2 cas de figure. Au pire tu peux backup ton /etc/yunohost/certs/ qui est vraiment la partie critique.