Activez le HTTPS sur votre box Jeedom ! (Nouvelle Version)

Bonjour à tous !

Mon certificat SSL arrive à son terme, par conséquent, il me faut le renouveler.

Afin de faire une suite à mon premier article et surtout à la faille de sécurité de Let’s Encrypt.

Nous allons passer notre certificat sur leur nouvelle norme le HTTP-01.

1*/ Révocation et suppression du certificat présent

On commence par supprimer notre ancien certificat avec la commande suivante. Attention bien remplacer : « VOTRE-DOMAINE » par votre domaine réel.

sudo /opt/letsencrypt/letsencrypt-auto revoke --cert-path /etc/letsencrypt/live/VOTRE-DOMAINE/fullchain.pem

Vous obtiendrez ceci :

On relance Apache avec la commande suivante :

sudo /etc/init.d/apache2 restart

Apache devrais redémarrer correctement.

Cependant j’ai rencontré un problème, Apache indique failed au redémarrage.

Donc comme le message le dit, on pianote :

systemctl status apache2.service

Il m’indique que le fichier SSL dans /etc/letsencrypt….. n’est plus présent.

Pas d’inquiétude ! Nous allons désactivé le site HTTPS d’Apache avec la commande :

sudo a2dissite default-ssl.conf

Puis on relance Apache2.

Si vous avez d’autres erreurs n’hésitez pas à commenter l’article

2*/ Mise a jour du CERT-BOT

On se rends dans le dossier /etc puis on télécharge Certbot et on le rends exécutable afin de créer les certificats.

cd /etc
sudo wget https://dl.eff.org/certbot-auto
sudo chmod a+x ./certbot-auto

On crée notre certificat :

./certbot-auto --apache -d VOTRE-DOMAINE

Le script va vous poser une question concernant la redirection. Répondez le choix 2.

En cliquant sur le lien …. vous obtiendrez ceci :

3*/ Automatisation du renouvellement

Comme a l’accoutumé, nous allons reprendre l’automatisation du renouvellement via Crontab comme indiqué dans notre précédent guide.

Nous ouvrons Crontab avec la commande :

sudo nano crontab -e

et tout en bas du fichier, on ajoute la commande :

0 3 * * 0 /etc/certbot-auto renew
OU
0 3 * * SUN /etc/certbot-auto renew

J’effectue une tentative de renouvellement à 3h tous les dimanches, ce qui me permet de ne pas trop m’en soucier 🙂

Si vous voulez, vous pouvez modifier le crontab en allant sur ce site : https://crontab.guru/

A bientôt pour un prochain tutoriel 🙂

2 commentaires

  1. Eliott Répondre

    Bon bah j’ai suivi le tuto et j’ai crashé mon apache !

    Une idée ? :

    root@Domofamily:~# systemctl status apache2.service
    ● apache2.service – The Apache HTTP Server
    Loaded: loaded (/lib/systemd/system/apache2.service; enabled; vendor preset: enabled)
    Drop-In: /etc/systemd/system/apache2.service.d
    └─privatetmp.conf
    Active: failed (Result: exit-code) since Tue 2019-11-12 23:18:15 CET; 26s ago
    Process: 12349 ExecStart=/usr/sbin/apachectl start (code=exited, status=1/FAILURE)
    Main PID: 726 (code=exited, status=0/SUCCESS)

    Nov 12 23:18:15 Domofamily systemd[1]: Starting The Apache HTTP Server…
    Nov 12 23:18:15 Domofamily apachectl[12349]: AH00526: Syntax error on line 9 of /etc/apache2/sites-enabled/000-default-le-ssl.conf:
    Nov 12 23:18:15 Domofamily apachectl[12349]: SSLCertificateFile: file ‘/etc/letsencrypt/live/jeedom.domofamily.ovh/fullchain.pem’ does not exist or is empty
    Nov 12 23:18:15 Domofamily apachectl[12349]: Action ‘start’ failed.
    Nov 12 23:18:15 Domofamily apachectl[12349]: The Apache error log may have more information.
    Nov 12 23:18:15 Domofamily systemd[1]: apache2.service: Control process exited, code=exited status=1
    Nov 12 23:18:15 Domofamily systemd[1]: Failed to start The Apache HTTP Server.
    Nov 12 23:18:15 Domofamily systemd[1]: apache2.service: Unit entered failed state.
    Nov 12 23:18:15 Domofamily systemd[1]: apache2.service: Failed with result ‘exit-code’.
    root@Domofamily:~#

    • guillaume Auteur de l’articleRépondre

      Le fichier créé par lets encrypt n’existe pas ou et vide et tu a l’air d’avoir une erreur dans le fichier 000-default-le-ssl.conf a la ligne 9

      Pourrais tu me la donner ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *