Matériel: VPS acheté en ligne en 2020 Version de YunoHost: inconnue. Je n’ai plus connaissance des login/mdp pour me connecter au boitier Je n’ai plus accès à mon serveur
Description du problème
Au moment de recharger la configuration NGINX après avoir effectué l’ensemble des commandes pour un certificat personnalisé, https://yunohost.org/fr/certificate_custom, NGINX ne se relance pas avec un message d’erreur concernant la clé ‘key.pem’ présente dans /etc/yunohost/certs/sante9naturel.fr.
L’erreur est : https://paste.yunohost.org/enuxuyiwit.
J’ai remarqué plusieurs problèmes.
D’abord une fois que le fichier ‘ssl.key’ est transformé en ‘key.pem’ avec la commande openssl rsa -in ae_certs/ssl.key -out key.pem -outform PEM, la forme du fichier obtenu ne correspond pas à ce qui est montré dans la procédure CERTIFICATS PERSONNALISES. Le fichier ne commence pas par -----BEGIN CERTIFICATE----- mais par -----RSA private key.
De plus quand j’essaye de l’afficher avec la commande openssl x509 -in key.pem -text -noout, le message d’erreur suivant s’affiche :
unable to load certificate
3069976592:error:0909006C:PEM routines:get_name:no start line:…/crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
Le fichier ssl.key est pourtant bien la clé privée fournie par GANDI. Elle s’appelle myserver.key.
Un membre de la communauté utilise-t-il un certificat GANDI ? La procédure CERTIFICAT PERSONNALISES est-elle toujours d’actualité ? Les commandes sont-elles toujours les mêmes ? Autant de questions que je me pose.
Il a été généré très récemment. Donc j’ai envie de dire oui. Si je demande à GANDI de le regénérer cela va prendre plusieurs jours de validation encore et je ne suis pas sûr que le problème vienne du certificat lui-même. Que faire ?
Avez-vous installé un certificat autre que Let’s Encrypt sur YNH ?
Bien à vous,
J’aimerai vous faire parvenir une copie d’écran de ma connexion à mon site ‘sante9naturel.fr’. Mozilla Firefox me signale que la connexion n’est pas sécurisée (j’ai rebasculé avec le certificat Let’s Encrypt). L’affichage est troublant. Il semble que le certificat Let’s Encrypt comporte les deux noms de domaine. Celui que j’ai acheté chez GANDI et le premier que j’avais activé chez YNH (sante0naturel.ynh.fr). Cela ne me semble pas correct.
Apriori ça n’est pas ça le problème donc … Mais les logs que tu montraient semblaient quand même pointé vers un certificat qui n’est pas reconnu ('unable to load certificate ... Expecting: TRUSTED CERTIFICATE' et X509_check_private_key:key values mismatch)
Ça pourrait ressembler à un truc où tu as uploadé le certificat, mais pas la clef privée associée dans le dossier qui va bien …
Le certificat que tu montres est un certif auto-signé, pas un certif Lets Encrypt
Certes, mais pour des raisons techniques ça reste quand même le nom de l’autorité de certification locale pour les certificats autosignés … ce qui n’a généralement que peut d’importance puisque peu de gens utilisent un certif autosigné en pratique, et que même lorsqu’on l’utilise, le nom de l’autorité de certif n’est pas super critique
Si j’en crois la console d’administration, ce n’est pas un certificat auto-signé. Est-ce un certificat Let’s Encrypt d’après l’affichage ? Il me semble qu’il y a bien un problème sur l’installation.
Je suis coincé avec mon problème de certificat. Le message est :
connexion non sécurisée
Un petit coup de main pour essayer de comprendre et de remédier à cela m’aiderait grandement. Ce n’est pas un problème bloquant. Je ne peux cependant pas laisser les choses en l’état.
Salut, je pense que le plus simple serait d’installer un certificat Let’s Encrypt sur ton domaine.
Premièrement il faut lancer un diagnostique, depuis la webadmin dans l’onglet “Diagnostic”.
Puis tu peux retourner sur la page “Domaines”, clic sur ton domaine puis “Certificat SSL” et enfin le premier bouton “Installer un certificat Let’s Encrypt”.
Ensuite, pour activer les certificats SSL via Lets’ Encrypt, je ne peux pas car je ne peux que retourner à un certificat auto-signé. Ce que je ne comprends pas !
Tu devrais pouvoir utiliser “Retourner à un certificat auto-signé”, une fois que la procédure aura terminé, tu auras à nouveau l’option “Installer un certificat Let’s Encrypt”.
Ah en effet, j’étais passé à côté à la première lecture… Il semble que c’est l’accès en IPv6 qui bloque la procédure.
Le port 80 n’est pas accessible en IPv6 (ligne 96 du diag que tu as envoyé).
Oui, j’ai enlevé le parefeu IPv6 que j’avais activé sur ma box. Pour l’instant pas de changement ! Pour le reste, tous les ports sont redirigés pour toutes les IP source.