La procédure CERTIFICATS PERSONNALISES ne fonctionne plus

,

Bonjour,

Mon serveur YunoHost

Matériel: VPS acheté en ligne en 2020
Version de YunoHost: inconnue. Je n’ai plus connaissance des login/mdp pour me connecter au boitier
Je n’ai plus accès à mon serveur

Description du problème

Au moment de recharger la configuration NGINX après avoir effectué l’ensemble des commandes pour un certificat personnalisé, https://yunohost.org/fr/certificate_custom, NGINX ne se relance pas avec un message d’erreur concernant la clé ‘key.pem’ présente dans /etc/yunohost/certs/sante9naturel.fr.
L’erreur est : https://paste.yunohost.org/enuxuyiwit.
J’ai remarqué plusieurs problèmes.

D’abord une fois que le fichier ‘ssl.key’ est transformé en ‘key.pem’ avec la commande openssl rsa -in ae_certs/ssl.key -out key.pem -outform PEM, la forme du fichier obtenu ne correspond pas à ce qui est montré dans la procédure CERTIFICATS PERSONNALISES. Le fichier ne commence pas par -----BEGIN CERTIFICATE----- mais par -----RSA private key.

De plus quand j’essaye de l’afficher avec la commande openssl x509 -in key.pem -text -noout, le message d’erreur suivant s’affiche :

unable to load certificate
3069976592:error:0909006C:PEM routines:get_name:no start line:…/crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE

Le fichier ssl.key est pourtant bien la clé privée fournie par GANDI. Elle s’appelle myserver.key.

Un membre de la communauté utilise-t-il un certificat GANDI ? La procédure CERTIFICAT PERSONNALISES est-elle toujours d’actualité ? Les commandes sont-elles toujours les mêmes ? Autant de questions que je me pose.

Toute aide sera la bienvenue.

Bien à vous,

Philippe

Est-ce que tu es sur que ton certificat est toujours valide …

Bonjour Aleks,

Il a été généré très récemment. Donc j’ai envie de dire oui. Si je demande à GANDI de le regénérer cela va prendre plusieurs jours de validation encore et je ne suis pas sûr que le problème vienne du certificat lui-même. Que faire ?
Avez-vous installé un certificat autre que Let’s Encrypt sur YNH ?
Bien à vous,

Philippe

Bonsoir Aleks,

J’aimerai vous faire parvenir une copie d’écran de ma connexion à mon site ‘sante9naturel.fr’. Mozilla Firefox me signale que la connexion n’est pas sécurisée (j’ai rebasculé avec le certificat Let’s Encrypt). L’affichage est troublant. Il semble que le certificat Let’s Encrypt comporte les deux noms de domaine. Celui que j’ai acheté chez GANDI et le premier que j’avais activé chez YNH (sante0naturel.ynh.fr). Cela ne me semble pas correct.

Qu’en pensez-vous ?

Philippe

Apriori ça n’est pas ça le problème donc … Mais les logs que tu montraient semblaient quand même pointé vers un certificat qui n’est pas reconnu ('unable to load certificate ... Expecting: TRUSTED CERTIFICATE' et X509_check_private_key:key values mismatch)

Ça pourrait ressembler à un truc où tu as uploadé le certificat, mais pas la clef privée associée dans le dossier qui va bien …

Le certificat que tu montres est un certif auto-signé, pas un certif Lets Encrypt

Bonsoir,

Oui autant pour moi. Ceci dit l’affichage n’est pas correct ? Non ?

Philippe

En quoi l’affichage n’est pas correct ?

Bonjour Aleks,

Le nom de domaine 'sante0naturel.ynh.fr n’est plus sensé exister.

Philippe

Bonjour Aleks,

L’affichage de la console d’administration pour la partie Certificat SSL de mon domaine ‘sante9naturel.fr’ qui je rappelle est déclaré chez GANDI.

Bien à vous,

Philippe

Certes, mais pour des raisons techniques ça reste quand même le nom de l’autorité de certification locale pour les certificats autosignés … ce qui n’a généralement que peut d’importance puisque peu de gens utilisent un certif autosigné en pratique, et que même lorsqu’on l’utilise, le nom de l’autorité de certif n’est pas super critique

Bonjour Aleks,

Si j’en crois la console d’administration, ce n’est pas un certificat auto-signé. Est-ce un certificat Let’s Encrypt d’après l’affichage ? Il me semble qu’il y a bien un problème sur l’installation.

Bien à vous,

Philippe

Bonjour à toute la communauté,

Je suis coincé avec mon problème de certificat. Le message est :

connexion non sécurisée

Un petit coup de main pour essayer de comprendre et de remédier à cela m’aiderait grandement. Ce n’est pas un problème bloquant. Je ne peux cependant pas laisser les choses en l’état.

Bien à vous,

Philippe

Salut, je pense que le plus simple serait d’installer un certificat Let’s Encrypt sur ton domaine.
Premièrement il faut lancer un diagnostique, depuis la webadmin dans l’onglet “Diagnostic”.
Puis tu peux retourner sur la page “Domaines”, clic sur ton domaine puis “Certificat SSL” et enfin le premier bouton “Installer un certificat Let’s Encrypt”.

Bonjour Tagada et merci pour ton retour,

Alors tu trouveras le résultat du Diagnostic ici.

Ensuite, pour activer les certificats SSL via Lets’ Encrypt, je ne peux pas car je ne peux que retourner à un certificat auto-signé. Ce que je ne comprends pas !

Qu’en penses-tu ?

Philippe

Tu devrais pouvoir utiliser “Retourner à un certificat auto-signé”, une fois que la procédure aura terminé, tu auras à nouveau l’option “Installer un certificat Let’s Encrypt”.

Bonjour Tagada,

OK pour la réinstallation des certificats auto-signés, mais … impossible d’installer Let’s Encrypt.

Essaye de relancer un diagnostic. Si il n’y a pas d’erreurs bloquante pour Let’s Encrypt, le bouton devrait s’activer.

Bonjour Tagada,

Les mêmes erreurs que tout à l’heure. Rien de plus. Aucun idée de ce qui peut bloquer l’installation de LetsEncrypt.

Qu’en penses-tu ?

Ah en effet, j’étais passé à côté à la première lecture… Il semble que c’est l’accès en IPv6 qui bloque la procédure.
Le port 80 n’est pas accessible en IPv6 (ligne 96 du diag que tu as envoyé).

Oui, j’ai enlevé le parefeu IPv6 que j’avais activé sur ma box. Pour l’instant pas de changement ! Pour le reste, tous les ports sont redirigés pour toutes les IP source.