How to: Install Let’s Encrypt certificates

scith · January 11, 2016, 6:25pm

OK c’est partiiiii

n00dl3 · January 11, 2016, 6:30pm

“I don’t often test my code, but when i do it, i do it in production.”

scith · January 11, 2016, 6:52pm

En effet #YOLO
Aucun message d’erreur, Let’s Encrypt activé sur tous mes domaines! Yeepi

https://framapic.org/Lrp9b3vqUypn/4fXRpqNbqVQK.jpg

Merci pour ce fabuleux travail !

Aleks · January 11, 2016, 6:55pm

Haha okay c’est cool ! Merci pour le test

Je vais voir pour merger ça dans la branche principale.

yunorasp · January 13, 2016, 5:04pm

Testé et approuvé pour 3 domaines !
Merci pour le package !
(Pas encore regardé du côté du cron si y’a tout ce qu’il faut mais on est déjà bon pour 3 mois)

Toubib · January 21, 2016, 8:55am

Merci pour ce tuto !
Mais je ne m’en suis pas aussi bien sorti que les autres…

Je me suis retrouvé avec ce message d’erreur après l’exécution de ./letsencrypt-auto --help:

An unexpected error occurred:
ImportError: Unable to import libaugeas!

Et je n’ai rien trouvé sur internetà propose de libaugeas et YunoHost, juste qu’il en existait un package Ruby sur Debian.

Je ne sais pas si ça a quelque chose à voir, mais mon site a planté la même aprèm, sûrement à cause d’un problème avec nginx que j’ai pas encore résolu…

Quelqu’un.e aurait une idée pour m’aider?

n00dl3 · January 21, 2016, 8:01pm

Try this:

sudo apt-get install libaugeas0

nino · January 22, 2016, 10:59am

Bonjour,
Super boulot, je viens d’installer et ça fonctionne impeccable.

Une question cependant.
Comme cela se passe le renouvellement du certificat au niveau des différents clients.

Par exemple est-ce transparent pour firefox ou autre navigateur ?

Sur android j’utilise un client de messagerie type k9, l’agenda intégré connecté à mon instance owncloud, le client owncloud, total commander etc …

Lors du renouvellement du certificat, il me semble qu’il va falloir passer sur tous ces programmes, soit pour le faire le ménage de l’ancien certificat ou pour revalider la connexion, non ?

Nino

Aleks · January 22, 2016, 11:04am

Salut,

je ne connais pas exactement comment les navigateurs ou clients gèrent les choses, mais normalement du point de vue admin du serveur, c’est pas ton problème : si le navigateur/client est bien fait, il détecte que le certificat a changé et du coup le prends en compte.

Le seul problème subtil qu’il peut y avoir, c’est si tu as mis en place un mode de HTTPS (je ne connais pas le truc exact :s ) pour empêcher un navigateur d’accepter un nouveau certificat avant la date d’expiration de celui qu’il connait, par exemple.

nino · January 22, 2016, 11:06am

Merci pour ce retour rapide,
J’attend le renouvellement pour confirmer

Nino

n00dl3 · January 22, 2016, 11:07am

Non, en fait ce qui pose problème c’est lorsque le CA (certificate authority) est inconnu du client, il manifeste alors son mécontentement en nous disant qu’il ne fait pas confiance à ce CA. Une fois que l’on a ajouté le CA aux autorités de confiances (ajouter une exception de sécurité comme ils disent dans firefox), plus de problème.

Le CA de Let’s encrypt est connu, enfin pour l’instant les certificats sont contre-signé par Identrust, en attendant que le CA soit reconnu par un nombre assez important de client. Ce qui veut dire qu’il n’y a pas besoin de rajouter une exception, car les navigateurs/clients X ou Y lui font confiance nativement. Et comme ils font confiance à l’autorité de certification, ils font confiance aux certificats.

Donc pour répondre à ta question, non, pas de problème.

nino · January 22, 2016, 11:12am

Merci pour ces retours,
C’est un peu ce que je soupçonnai, vu les pb rencontrés à chaque modification ou évolution de mon serveur yunohost, c’est une excellente nouvelle.

Si nécessaire je ferai un petit point lors du renouvellement dans 30j.

Nino

Toubib · January 23, 2016, 7:35pm

Merci @n00dl3 !
J’aurais dû faire un apt-cache search au lieu d’un apt-cache policy…

n00dl3 · January 24, 2016, 10:00pm

@CaptainSqrt2 Peux-tu modifier ton tuto pour être plus explicite vis à vis de la modification de /etc/ssowat/conf.json.persistent, deux utilisateurs se sont trompés sur la syntaxe d’un JSON :

Aleks · January 25, 2016, 2:18pm

C’est fait, merci, désolé pour les problèmes que ça a causé

Bachy · January 29, 2016, 10:54am

Salut,
letsencrypt_ynh tout juste installé sur mon serveur, pas de problème ça fonctionne bien!
ça m’a permis de débloqué movim qui crashait au lancement avec le certificat auto-signé.
à voir à l’usage.
merci beaucoup!

tiennou44 · February 20, 2016, 5:36pm

Une petite (toute petite …) remarque :

Il faut taper /etc/init.d/nginx restart et non nginx restart

Du moins, chez moi …

Sinon, ça fonctionne super.
Merci.

tomdereub · February 21, 2016, 7:36pm

Salut,
J’avais fait un test il y a 2-3 semaines et ça n’avait pas marché, j’ai réessayé cette semaine et ça fonctionne nikel, merci ! J’ai juste lancé l’install du script, c’est encore plus facile que d’installer un certificat classique.
Par contre je viens d’ajouter un nom de domaine (enfin, un sous-domaine), comment faire pour qu’il soit pris en compte avec let’s encrypt ?

yunorasp · February 22, 2016, 10:25pm

Il y a quelques semaines quand j’ai essayé ce package, créer un nouveau sous-domaine n’était pas pris en compte.
J’ai donc désinstallé le package, puis l’ai réinstallé.
Attention cependant aux limites actuelles de Let’s encrypt: pas le droit de demander plus de 5 certificats pour 1 domaine et ses sous-domaines par semaine glissante.

skiant · February 23, 2016, 2:37pm

Gros merci pour le package et les scripts d’installation, c’est simplement nickel.

En éventuel complément je dirais que j’aimerais bien avoir la possibilité de forcer un refresh quand on vient de rajouter un domaine, mais c’est assez accessoire.