[Résolu] Erreur avec un certificat letsencrypt • Forum • Zeste de Savoir

pierre_24, mercredi 13 janvier 2021 à 22h23
Modifié

Bonsoir,

Pour une association, j’ai accepté de mettre mes modestes compétences pour mettre à jour leur site web qui avait besoin d’un bon coup de pinceau (la dernière mise à jour datait de 2008). Si tôt dit, si tôt fait, https://annemarienihoul.be est remis au goût du jour. Bien entendu, je ne manque pas de rajouter un certificat SSL, géré par letsencrypt.

Problème, firefox m’indique que ce certificat périme le 7 février, et c’est également ce que m’indique https://www.ssllabs.com/ssltest/index.html. Pour ne rien arranger, j’ai reçu un mail de letsencrypt m’indiquant que mon certificat allait bientôt expirer. Sauf que si je regarde le résultat de certbot, il est déjà à jour :

$ sudo certbot renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/annemarienihoul.be.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert not yet due for renewal

(...)

The following certs are not due for renewal yet:
  /etc/letsencrypt/live/annemarienihoul.be/fullchain.pem expires on 2021-04-08 (skipped)
  (...)
No renewals were attempted.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

et bien entendu, j’utilise le bon certificat dans ma config nginx:

$ cat /etc/nginx/sites-available/annemarienihoul.be 
server {
    listen 443 ssl;
    server_name annemarienihoul.be www.annemarienihoul.be;

    access_log /home/amn/website-data/nginx-access.log;
    error_log /home/amn/website-data/nginx-error.log;
    
   include snippets/ssl-config.conf;

   location / {
        client_max_body_size 15M;
        proxy_pass http://unix:/home/amn/website-data/AM-Nihoul-website/amn.sock;

    # used by Flask to sort up things
        proxy_set_header   Host                 $host;
        proxy_set_header   X-Real-IP            $remote_addr;
        proxy_set_header   X-Forwarded-For      $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Proto    $scheme;
    }


    ssl_certificate /etc/letsencrypt/live/annemarienihoul.be/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/annemarienihoul.be/privkey.pem; # managed by Certbot
}

# Redirect HTTP requests to HTTPS
server {  
    listen 80;
    server_name annemarienihoul.be www.annemarienihoul.be;
    return 301 https://$host$request_uri;
}

… Autrement dit, je n’ai aucune idée d’où peu venir le problème. Est ce que quelqu’un aurait une idée ?

D’avance merci,

Pierre

13/01/21 à 22h23
Modifié

#JeSuisToujoursArius • Docteur, mais en chimie ⚗️ • dev' quand il peut.

+0 -0

anonyme, mercredi 13 janvier 2021 à 22h43

Masqué par anonyme — HS

13/01/21 à 22h43

Situphen, mercredi 13 janvier 2021 à 22h44

C’est en effet étonnant ! Premièrement, as-tu bien rafraîchi nginx avec sudo nginx -s reload ?

Sinon, tu peux déjà regarder si le certificat dans /etc/letsencrypt/live/annemarienihoul.be pointe bien vers le dernier certificat avec ces deux commandes :

$ sudo ls -lh /etc/letsencrypt/live/annemarienihoul.be
total 4.0K
lrwxrwxrwx 1 root root  45 Dec 27 21:33 cert.pem -> ../../archive/annemarienihoul.be/cert2.pem
lrwxrwxrwx 1 root root  46 Dec 27 21:33 chain.pem -> ../../archive/annemarienihoul.be/chain2.pem
lrwxrwxrwx 1 root root  50 Dec 27 21:33 fullchain.pem -> ../../archive/annemarienihoul.be/fullchain2.pem
lrwxrwxrwx 1 root root  48 Dec 27 21:33 privkey.pem -> ../../archive/annemarienihoul.be/privkey2.pem
-rw-r--r-- 1 root root 692 Dec 27 21:13 README
$ sudo ls -lh /etc/letsencrypt/archive/annemarienihoul.be
total 32K
-rw-r--r-- 1 root root 2.4K Dec 27 21:13 cert1.pem
-rw-r--r-- 1 root root 2.4K Dec 27 21:33 cert2.pem
-rw-r--r-- 1 root root 1.6K Dec 27 21:13 chain1.pem
-rw-r--r-- 1 root root 1.6K Dec 27 21:33 chain2.pem
-rw-r--r-- 1 root root 4.0K Dec 27 21:13 fullchain1.pem
-rw-r--r-- 1 root root 4.0K Dec 27 21:33 fullchain2.pem
-rw------- 1 root root 3.2K Dec 27 21:13 privkey1.pem
-rw------- 1 root root 3.2K Dec 27 21:33 privkey2.pem

Dans le cas présent, on voit bien que les fichiers dans live/ pointent vers les derniers fichiers dans archive/.

13/01/21 à 22h44

Corruptible avec des crêpes au sirop d’érable

+0 -0

pierre_24, mercredi 13 janvier 2021 à 22h54

Arf, bien vu pour le redémarrage de NGINX … C’est plutôt chiant, j’étais convaincu que certbot s’occupait de ça (j’ai une pelletée de sites sur cette instance, et je n’ai pas l’impression que je redémarre nginx tant que ça). Je vais garder ça en tête

13/01/21 à 22h54

#JeSuisToujoursArius • Docteur, mais en chimie ⚗️ • dev' quand il peut.

+0 -0

Situphen, mercredi 13 janvier 2021 à 23h08

Tout dépend de comment tu as créé le certificat. Si tu l’as créé avec sudo certbot --nginx ou sudo certbot certonly --nginx je suppose qu’il s’occupe de rafraîchir nginx automatiquement. Si tu l’as créé sans le paramètre --nginx, alors il faut ajouter le paramètre --post-hook comme ceci : sudo nginx renew --post-hook "nginx -s reload". Sinon je suppose que tu peux ajouter à la main une ligne post_hook = nginx -s reload dans la partie [renewalparams] du fichier de configuration /etc/letsencrypt/renewal/annemarienihoul.be.conf.

13/01/21 à 23h08

Corruptible avec des crêpes au sirop d’érable

+1 -0

Erreur avec un certificat letsencrypt

Pas encore membre ?