Blog de dada

DevOps, bidouilleur et routard plein de logiciels libres

Attention, ce billet se traine depuis plus de 3 mois. Les informations qu'il contient ne sont peut-être plus à jour.


Nginx et Let's Encrypt

Rédigé par dada / 22 décembre 2016 / 3 commentaires


Ces derniers temps, j'ai changé pas mal de choses sur ce serveur. Ceci étant, je ne me suis pas rendu compte tout de suite que j'avais cassé le flux RSS de ce blog en configurant Nginx en proxy pour le SSL. #Boulette. Pourtant, j'avais bien remarqué que les applications Wallabag et EasyRSS ne fonctionnaient plus. Ça aurait du me mettre la puce à l'oreille.

M'enfin, Cypouz m'a gentiment remonté le bug en m'envoyant un message privé sur diaspora* pour me rappeler que je devais faire quelque chose, l'erreur suivante commençant à se voir :
cURL error 60: SSL certificate problem: unable to get local issuer certificate [https://www.dadall.info/blog/feed.php?rss]
C'est maintenant chose faite et voici l'astuce : Let's Encypt dans Nginx demande un peu plus de lignes pour fonctionner qu'avec un Apache :

        ssl_certificate /chemin/vers/letsencrypt/live/dadall.info/fullchain.pem;
        ssl_certificate_key /chemin/vers/letsencrypt/live/dadall.info/privkey.pem;
 
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /chemin/vers/letsencrypt/live/dadall.info/fullchain.pem;

Voila !

Vous remarquerez que le certificat est délivré par le fullchain.pem et non le cert.pem.

Bon, je n'ai pas incroyablement creusé la question, mais comme j'ai l'habitude de dire : chez moi ça marche ;-)

3 commentaires

#1  - Framasky a dit :

Moi je n'ai besoin que de
```
ssl_certificate /chemin/vers/letsencrypt/live/domain.tld/fullchain.pem;
ssl_certificate_key /chemin/vers/letsencrypt/live/domain.tld/privkey.pem;
```

Je mets aussi du stapling parce que c'est bien pour la sécu mais ce n'est pas nécessaire.

Après, si tu n'utilisais que le cert.pem, c'est sûr que ça marche mieux avec le fullchain.pem :-)

Répondre
#2  - dada a dit :

Ouai, c'était la raison du souci. Du coup, j'ai fait une conf un peu plus sérieuse :o)

Répondre
#3  - Harvester a dit :

L'option "ssl_trusted_certificate" n'est pas nécessaire avec Let's Encrypt :)

Si vous utilisez l'OCSP Stapling, n'oubliez pas d'utiliser l'option "--must-staple" dans certbot ou dans votre outil de demande de certificat :)

Répondre

Fil RSS des commentaires de cet article

Écrire un commentaire

Quelle est la quatrième lettre du mot escbzt ?