Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 14/09/2018, à 18:57

RidingAround

SSL certifié pour Owncloud

Bonjour à tous,

je suis en train de mettre en place un cloud privé.

J'utilise pour ceci un pc dédié avec une config largement suffisante, Raid 5 de 4 disques d'1To.
Le système est sur un 5ième disque, SSD de 120 Go.

J'ai utilisé Ubuntu server 18.04 avec MariaDB et Apache2; puis j'ai utilisé Ubuntu server 16.04 avec MySQL et Apache2, et enfin MySQL et NGINX.
J'ai toujours la même erreur quand il s'agit de mettre en place le SSL de ZEROSSL ou Letsencrypt, que ce soit par certbot ou bien à la main.

Déroulement :
- installation de apache2 ou nginx : ok (accès local et extérieur vers la page défaut)
- installation de la base sql ou maria : ok (+ création base ok)
- installation de php7.0 ou php7.1 avec toutes ses librairies complémentaires
- installation de Owncloud : ok (accès local et extérieur à l'interface de connexion, http et https)
- activation de tous les modules ssl pour apache2 : ok
- installation de certbot : ok (https://letsencrypt.org/getting-started/)
- DNS : ok
- run de certbot : KO =>

 sudo certbot --apache -d cloud.cdhjukiloopp.mx
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for cloud.cdhjukiloopp.mx
Enabled Apache rewrite module
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. cloud.cdhjukiloopp.mx (http-01): urn:ietf:params:acme:error:tls :: The server experienced a TLS error during domain verification :: Fetching https://cloud.cdhjukiloopp.mx/.well-known/acme-challenge/7O8pq5kpKhUzPiVIE7PB2YhdOdUb0lZ0wLEGjEdIM4M: remote error: tls: internal error

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: cloud.cdhjukiloopp.mx
   Type:   tls
   Detail: Fetching
   https://cloud.cdhjukiloopp.mx/.well-known/acme-challenge/7O8pq5kpKhUzPiVIE7PB2YhdOdUb0lZ0wLEGjEdIM4M:
   remote error: tls: internal error

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address. Additionally, please check that
   you have an up-to-date TLS configuration that allows the server to
   communicate with the Certbot client.

j'ai entre autres


ServerRoot "/etc/apache2"
ServerName cloud.cdhjukiloopp.mx

etc.

/etc/apache2/apache2.conf
<Directory /var/www/owncloud/>
        Options Indexes FollowSymLinks
        AllowOverride None
        Require all granted
</Directory>

etc.
nano /etc/apache2/sites-enabled/cdhjukiloopp.conf<VirtualHost *:80>
ServerAdmin contact@cdhjukiloopp.mx
ServerName cloud.cdhjukiloopp.mx
ServerAlias www.cloud.cdhjukiloopp.mx
DocumentRoot /var/www/owncloud
Errorlog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
nano /etc/apache2/sites-enabled/default-ssl.conf
<IfModule mod_ssl.c>
        <VirtualHost _default_:443>
                ServerAdmin contact@cdhjukiloopp.mx
                ServerName cloud.cdhjukiloopp.mx
                DocumentRoot /var/www/owncloud

                # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
                # error, crit, alert, emerg.
                # It is also possible to configure the loglevel for particular
                # modules, e.g.
                #LogLevel info ssl:warn

                ErrorLog ${APACHE_LOG_DIR}/error.log
                CustomLog ${APACHE_LOG_DIR}/access.log combined

                # For most configuration files from conf-available/, which are
                # enabled or disabled at a global level, it is possible to
                # include a line for only one particular virtual host. For example the
                # following line enables the CGI configuration for this host only
                # after it has been globally disabled with "a2disconf".
                #Include conf-available/serve-cgi-bin.conf

                #   SSL Engine Switch:
                #   Enable/Disable SSL for this virtual host.
                SSLEngine on

                #   A self-signed (snakeoil) certificate can be created by installing
                #   the ssl-cert package. See
                #   /usr/share/doc/apache2/README.Debian.gz for more info.
                #   If both key and certificate are stored in the same file, only the
                #   SSLCertificateFile directive is needed.
                SSLCertificateFile      /etc/ssl/certs/ssl-cert-snakeoil.pem
                SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

                #   Server Certificate Chain:
                #   Point SSLCertificateChainFile at a file containing the
                #   concatenation of PEM encoded CA certificates which form the
                #   certificate chain for the server certificate. Alternatively
                #   the referenced file can be the same as SSLCertificateFile
                #   when the CA certificates are directly appended to the server
                #   certificate for convinience.
                #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt

etc.

Il y a aussi sur https://zerossl.com/ la possibilité de tout faire à la main; dans ce as, je passe bien le test de vérification de présence des fichiers dans .well-known/acme-challenge (que j'ai placés dans /etc/apache2/ puis /var/www/owncloud), qui apparaissent dans le navigateur. Mais c'est exactement le même message.

Je précise que les certbot n'ont jamais créé .well-known

Dernière modification par RidingAround (Le 14/09/2018, à 19:16)


RAID 5 luks 4x1To - SSD M2 120 - RX 480 - 4x4 DDR4 - Xeon
24 ans de Linux ! Ubuntu aux particuliers -> puis aux entreprises -> monter des serveurs -> sécuriser les entreprises -> des armoires -> des clusters -> des conteneurs ... que du bonheur :}

Hors ligne

#2 Le 14/09/2018, à 19:03

bruno

Re : SSL certifié pour Owncloud

Bonjour,

On ne modifie pas le fichier apache2.conf. La configuration doit se faire dans l'hôte virtuel.
Il manque toute la partie TLS :

<VirtualHost *:443>
…

run de certbot : KO

Ca veut dire quoi ?
Il faut donner les retours de commandes complets et les messages d'erreurs complets.

La doc : https://doc.ubuntu-fr.org/apache2

Et aussi le retour de  :

sudo apache2ctl -t

Et est-ce que cloud.cdhjukiloopp.mx est réellement le nom de domaine que tu utilises ?

Dernière modification par bruno (Le 14/09/2018, à 19:15)

Hors ligne

#3 Le 14/09/2018, à 19:14

RidingAround

Re : SSL certifié pour Owncloud

voilà !

j'étais en train d'éditer pour coller du code

ah oui, et toute config ok:
Syntax OK

et le domaine n'est pas le vrai
est-ce que le nom des virtualhosts est important ? comment sont-ils liés à apache2.conf ?

le certbot fait-il (en théorie) tout le travail, ou bien faut-il modifier les chemins type

SSLCertificateFile      /etc/ssl/certs/ssl-cert-snakeoil.pem

dans le virtualhost ?

Dernière modification par RidingAround (Le 14/09/2018, à 19:19)


RAID 5 luks 4x1To - SSD M2 120 - RX 480 - 4x4 DDR4 - Xeon
24 ans de Linux ! Ubuntu aux particuliers -> puis aux entreprises -> monter des serveurs -> sécuriser les entreprises -> des armoires -> des clusters -> des conteneurs ... que du bonheur :}

Hors ligne

#4 Le 14/09/2018, à 19:21

bruno

Re : SSL certifié pour Owncloud

J'ai donné le lien vers la doc qui explique tout cela, y compris copmment utiliser HTTPS avec certbot.
Ton hôte virtuel sur le port 443 est incorrect. C'est presqu'à coup sûr a cause de celui-ci que certbot envoie une erreur.

Hors ligne

#5 Le 14/09/2018, à 19:24

RidingAround

Re : SSL certifié pour Owncloud

Je ne trouve pas de lien en rapport de ta part.
En quoi mon hôte est-il incorrect ?

merci


RAID 5 luks 4x1To - SSD M2 120 - RX 480 - 4x4 DDR4 - Xeon
24 ans de Linux ! Ubuntu aux particuliers -> puis aux entreprises -> monter des serveurs -> sécuriser les entreprises -> des armoires -> des clusters -> des conteneurs ... que du bonheur :}

Hors ligne

#6 Le 15/09/2018, à 07:20

bruno

Re : SSL certifié pour Owncloud

bruno a écrit :

Désactive l'hôte virtuel par défaut pour TLS :

sudo a2dissite default-ssl

Remet le fichier apache2.conf comme il était à l'origine.

Modifie ton hôte virtuel ainsi :

<VirtualHost *:80>
    ServerAdmin contact@cdhjukiloopp.mx
    ServerName cloud.cdhjukiloopp.mx
    ServerAlias www.cloud.cdhjukiloopp.mx
    DocumentRoot /var/www/owncloud
    Errorlog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
    <Directory /var/www/owncloud/>
        Options +Indexes +FollowSymLinks
        AllowOverride all
        Require all granted
    </Directory>
</VirtualHost>

Relance apache :
sudo systemctl restart apache2

Et utilise certbot comme indiqué dans la doc (avec le plugin apache).

Hors ligne

#7 Le 15/09/2018, à 16:02

RidingAround

Re : SSL certifié pour Owncloud

Ok, merci, j'ai tout fait tel quel, et ça donne ça :

sudo certbot --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: cloud.cdhjukiloopp.mx
2: www.cloud.cdhjukiloopp.mx
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for cloud.cdhjukiloopp.mx
Enabled Apache rewrite module
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. cloud.cdhjukiloopp.mx (http-01): urn:ietf:params:acme:error:tls :: The server experienced a TLS error during domain verification :: Fetching https://cloud.cdhjukiloopp.mx/.well-known/acme-challenge/mx3iajzgHnFUNnrHvqYwfR4X3bAp2HOUGV1bnmYK0Wo: remote error: tls: internal error

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: cloud.cdhjukiloopp.mx
   Type:   tls
   Detail: Fetching
   https://cloud.cdhjukiloopp.mx/.well-known/acme-challenge/mx3iajzgHnFUNnrHvqYwfR4X3bAp2HOUGV1bnmYK0Wo:
   remote error: tls: internal error

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address. Additionally, please check that
   you have an up-to-date TLS configuration that allows the server to
   communicate with the Certbot client.

C'est ce message que j'avais depuis plusieurs essais.
Je précise que le DNS a été vérifié, et pointe bien. Il s'agit d'un domaine gandi transféré chez 1and1.

Précision, suite à cela j'ai dans sites-available :
000-default.conf  cdhjukiloopp.conf  default-ssl.conf

et le conf contient :

<VirtualHost *:80>
    ServerAdmin contact@cdhjukiloopp.mx
    ServerName cloud.cdhjukiloopp.mx
    ServerAlias www.cloud.cdhjukiloopp.mx
    DocumentRoot /var/www/owncloud
    Errorlog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
    <Directory /var/www/owncloud/>
        Options +Indexes +FollowSymLinks
        AllowOverride all
        Require all granted
    </Directory>
</VirtualHost>

et dans sites-enabled :
cdhjukiloopp.conf
qui contient

<VirtualHost *:80>
    ServerAdmin contact@cdhjukiloopp.mx
    ServerName cloud.cdhjukiloopp.mx
    ServerAlias www.cloud.cdhjukiloopp.mx
    DocumentRoot /var/www/owncloud
    Errorlog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
    <Directory /var/www/owncloud/>
        Options +Indexes +FollowSymLinks
        AllowOverride all
        Require all granted
    </Directory>
</VirtualHost>

et default-ssl.conf contient :

<IfModule mod_ssl.c>
        <VirtualHost _default_:443>
                ServerAdmin contact@cdhjukiloopp.mx
                ServerName cloud.cdhjukiloopp.mx
                DocumentRoot /var/www/owncloud

                # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
                # error, crit, alert, emerg.
                # It is also possible to configure the loglevel for particular
                # modules, e.g.
                #LogLevel info ssl:warn

                ErrorLog ${APACHE_LOG_DIR}/error.log
                CustomLog ${APACHE_LOG_DIR}/access.log combined

                # For most configuration files from conf-available/, which are
                # enabled or disabled at a global level, it is possible to
                # include a line for only one particular virtual host. For example the
                # following line enables the CGI configuration for this host only
                # after it has been globally disabled with "a2disconf".
                #Include conf-available/serve-cgi-bin.conf

                #   SSL Engine Switch:
                #   Enable/Disable SSL for this virtual host.
                SSLEngine on

etc .

Dernière modification par RidingAround (Le 15/09/2018, à 16:17)


RAID 5 luks 4x1To - SSD M2 120 - RX 480 - 4x4 DDR4 - Xeon
24 ans de Linux ! Ubuntu aux particuliers -> puis aux entreprises -> monter des serveurs -> sécuriser les entreprises -> des armoires -> des clusters -> des conteneurs ... que du bonheur :}

Hors ligne

#8 Le 15/09/2018, à 16:44

bruno

Re : SSL certifié pour Owncloud

Je t'ai dit de désactiver default-ssl.conf au message #6. C'est lui qui provoque l'erreur avec certbot.

Dernière modification par bruno (Le 15/09/2018, à 16:46)

Hors ligne

#9 Le 15/09/2018, à 16:56

RidingAround

Re : SSL certifié pour Owncloud

Je l'avais fait

Site default-ssl already disabled

Dernière modification par RidingAround (Le 15/09/2018, à 16:57)


RAID 5 luks 4x1To - SSD M2 120 - RX 480 - 4x4 DDR4 - Xeon
24 ans de Linux ! Ubuntu aux particuliers -> puis aux entreprises -> monter des serveurs -> sécuriser les entreprises -> des armoires -> des clusters -> des conteneurs ... que du bonheur :}

Hors ligne

#10 Le 15/09/2018, à 20:44

bruno

Re : SSL certifié pour Owncloud

Dans ce cas :

sudo rm /etc/apache2/sites-enabled/default-ssl.conf

mais ce n'est pas normal d'avoi à faire cela.

Hors ligne

#11 Le 15/09/2018, à 21:25

RidingAround

Re : SSL certifié pour Owncloud

Ok, j'ai tout vidé, recréé un unique conf dans sites-available
activé ce site par
sudo a2ensite monsite.conf
le lien est bien dans sites-enabled
sudo a2dismod ssl
sudo systemctl reload apache2
sudo a2enmod ssl
sudo systemctl reload apache2
sudo certbot --apache

=> même erreur

Depui mon navigateur, accès ok en http, et erreur qui suit en https forcé :
Une erreur est survenue pendant une connexion à 10.0.0.100. SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée. Code d’erreur : SSL_ERROR_RX_RECORD_TOO_LONG

même erreur depuis l'extérieur.

Dernière modification par RidingAround (Le 15/09/2018, à 21:28)


RAID 5 luks 4x1To - SSD M2 120 - RX 480 - 4x4 DDR4 - Xeon
24 ans de Linux ! Ubuntu aux particuliers -> puis aux entreprises -> monter des serveurs -> sécuriser les entreprises -> des armoires -> des clusters -> des conteneurs ... que du bonheur :}

Hors ligne

#12 Le 16/09/2018, à 08:26

bruno

Re : SSL certifié pour Owncloud

Il ya toujours une erreur de configuration TLS.
Il faut vérifier les ports en écoute :

cat /etc/apache2/ports.conf

et

netstat -tlnp

La configuration d'apache :
- vérifier que le fichier /etc/apache2/apache2.conf est bien celui d'origine.
- donner le contenu complet de tous les fichiers sous /etc/apache2/sites-enabled

Hors ligne

#13 Le 16/09/2018, à 17:30

RidingAround

Re : SSL certifié pour Owncloud

Bonjour,

j'ai décidé de tout supprimer sur le serveur.
J'ai réinstallé un lamp avec
sudo apt install lamp-server^
=>ok
j'ai fait tourner directement le certbot sans passer par l'installation d'Owncloud
et ... :

sudo certbot --apache -d cloud.cdhjukiloopp.mx
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for cloud.cdhjukiloopp.mx
Enabled Apache rewrite module
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. cloud.cdhjukiloopp.mx (http-01): urn:ietf:params:acme:error:tls :: The server experienced a TLS error during domain verification :: Fetching https://cloud.cdhjukiloopp.mx/.well-known/acme-challenge/7-hwDEEDyo14CS1YSfJlw6P-RtkrJgwqhq3jfBD7usA: remote error: tls: internal error

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: cloud.cdhjukiloopp.mx
   Type:   tls
   Detail: Fetching
   https://cloud.cdhjukiloopp.mx/.well-known/acme-challenge/7-hwDEEDyo14CS1YSfJlw6P-RtkrJgwqhq3jfBD7usA:
   remote error: tls: internal error

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address. Additionally, please check that
   you have an up-to-date TLS configuration that allows the server to
   communicate with the Certbot client.

cat /etc/apache2/ports.conf donne :

# If you just change the port or add more ports here, you will likely also
# have to change the VirtualHost statement in
# /etc/apache2/sites-enabled/000-default.conf

Listen 80

<IfModule ssl_module>
	Listen 443
</IfModule>

<IfModule mod_gnutls.c>
	Listen 443
</IfModule>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

netstat -tlnp donne

netstat -tlnp
(Tous les processus ne peuvent être identifiés, les infos sur les processus
non possédés ne seront pas affichées, vous devez être root pour les voir toutes.)
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       PID/Program name
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      -               
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      -               
tcp6       0      0 :::80                   :::*                    LISTEN      -               
tcp6       0      0 :::22                   :::*                    LISTEN      -  

sudo ufw status donne

État : inactif

Dernière modification par RidingAround (Le 16/09/2018, à 17:31)


RAID 5 luks 4x1To - SSD M2 120 - RX 480 - 4x4 DDR4 - Xeon
24 ans de Linux ! Ubuntu aux particuliers -> puis aux entreprises -> monter des serveurs -> sécuriser les entreprises -> des armoires -> des clusters -> des conteneurs ... que du bonheur :}

Hors ligne

#14 Le 16/09/2018, à 17:45

RidingAround

Re : SSL certifié pour Owncloud

Ok,
perte du ssh, c'est pas la première fois.
je démonte le raid.
Je mets des disques neufs, je réinstalle tout le système et je poste un rapport.


RAID 5 luks 4x1To - SSD M2 120 - RX 480 - 4x4 DDR4 - Xeon
24 ans de Linux ! Ubuntu aux particuliers -> puis aux entreprises -> monter des serveurs -> sécuriser les entreprises -> des armoires -> des clusters -> des conteneurs ... que du bonheur :}

Hors ligne

#15 Le 16/09/2018, à 17:49

bruno

Re : SSL certifié pour Owncloud

Je ne vois aucun service en écoute sur le port 443.
Est-ce que le module ssl d'apache est bien activé ?

sudo a2emod ssl

en donnant le reoutour complet de la commande.

Hors ligne

#16 Le 16/09/2018, à 19:02

RidingAround

Re : SSL certifié pour Owncloud

Je viens de réinstaller le serveur.

sudo apt install lamp-server^
sudo add-apt-repository ppa:certbot/certbot
sudo apt update
sudo apt-get install python-certbot-apache
sudo a2enmod ssl
sudo service apache2 restart


et ...

sudo certbot --apache -d cloud.cdhjukiloopp.mx
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for cloud.cdhjukiloopp.mx
Enabled Apache rewrite module
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. cloud.cdhjukiloopp.mx (http-01): urn:ietf:params:acme:error:tls :: The server experienced a TLS error during domain verification :: Fetching https://cloud.cdhjukiloopp.mx/.well-known/acme-challenge/YX1UmwDmzbhCKGE25K5EcL41GI09gK7o9Nzo33VZ3II: remote error: tls: internal error

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: cloud.cdhjukiloopp.mx
   Type:   tls
   Detail: Fetching
   https://cloud.cdhjukiloopp.mx/.well-known/acme-challenge/YX1UmwDmzbhCKGE25K5EcL41GI09gK7o9Nzo33VZ3II:
   remote error: tls: internal error

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address. Additionally, please check that
   you have an up-to-date TLS configuration that allows the server to
   communicate with the Certbot client.

alors que

cat /etc/apache2/ports.conf
# If you just change the port or add more ports here, you will likely also
# have to change the VirtualHost statement in
# /etc/apache2/sites-enabled/000-default.conf

Listen 80

<IfModule ssl_module>
	Listen 443
</IfModule>

<IfModule mod_gnutls.c>
	Listen 443
</IfModule>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet
netstat -tlnp
(Tous les processus ne peuvent être identifiés, les infos sur les processus
non possédés ne seront pas affichées, vous devez être root pour les voir toutes.)
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       PID/Program name
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      -               
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      -               
tcp6       0      0 :::80                   :::*                    LISTEN      -               
tcp6       0      0 :::22                   :::*                    LISTEN      -               
tcp6       0      0 :::443                  :::*                    LISTEN      -   

Je précise que le https auto-proclamé d'Owncloud fonctionne parfaitement.

Dernière modification par RidingAround (Le 16/09/2018, à 19:12)


RAID 5 luks 4x1To - SSD M2 120 - RX 480 - 4x4 DDR4 - Xeon
24 ans de Linux ! Ubuntu aux particuliers -> puis aux entreprises -> monter des serveurs -> sécuriser les entreprises -> des armoires -> des clusters -> des conteneurs ... que du bonheur :}

Hors ligne

#17 Le 16/09/2018, à 19:58

bruno

Re : SSL certifié pour Owncloud

RidingAround a écrit :

Je précise que le https auto-proclamé d'Owncloud fonctionne parfaitement.

C'est quoi le « https auto-proclamé » ?

N.B. : ce n'est pas en réinstallant que tu vas résoudre le problème…

Dernière modification par bruno (Le 16/09/2018, à 19:58)

Hors ligne

#18 Le 16/09/2018, à 20:04

RidingAround

Re : SSL certifié pour Owncloud

L'HTTPS d'Owncloud avec certificat non validé par CA était OK si on passait l'avertissement du navigateur sur mes dernières installations.

J'ai réinstallé car vieux disque dur instable.

Owncloud est réinstallé en dernier lieu.
La base sql est prête.
Connexion en HTTP => OK
Connexion en HTTPS => mon Firefox à jour dit :

Échec de la connexion sécurisée
Une erreur est survenue pendant une connexion à 10.0.0.100. SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée. Code d’erreur : SSL_ERROR_RX_RECORD_TOO_LONG

Cependant, il me manque des modules complémentaires php introuvables si je suis cette doc https://www.digitalocean.com/community/ … untu-16-04 en les installant individuellement.
J'ai donc fait :

sudo apt install php7.0-*

le pc me dit :

Les paquets supplémentaires suivants seront installés :
  aspell aspell-en autoconf automake autotools-dev binutils build-essential cpp cpp-5 debhelper dh-php dh-strip-nondeterminism dictionaries-common dpkg-dev emacsen-common enchant fakeroot
  firebird2.5-common firebird2.5-common-doc freetds-common g++ g++-5 gcc gcc-5 gettext hunspell-en-us intltool-debian libalgorithm-diff-perl libalgorithm-diff-xs-perl libalgorithm-merge-perl
  libarchive-zip-perl libasan2 libaspell15 libasprintf-dev libatomic1 libc-client2007e libc-dev-bin libc6-dev libcc1-0 libcilkrts5 libcroco3 libdpkg-perl libenchant1c2a libexporter-tiny-perl
  libfakeroot libfbclient2 libfile-fcntllock-perl libfile-stripnondeterminism-perl libgcc-5-dev libgettextpo-dev libgettextpo0 libgomp1 libhunspell-1.3-0 libisl15 libitm1 liblist-moreutils-perl
  liblsan0 libltdl-dev libltdl7 libmail-sendmail-perl libmcrypt4 libmpc3 libmpx0 libodbc1 libpcre16-3 libpcre3-dev libpcre32-3 libpcrecpp0v5 libpq5 libqdbm14 libquadmath0 librecode0 libsensors4
  libsnmp-base libsnmp30 libssl-dev libssl-doc libstdc++-5-dev libsybdb5 libsys-hostname-long-perl libtidy-0.99-0 libtool libtsan0 libubsan0 libunistring0 linux-libc-dev m4 make manpages-dev mlock
  php-pear pkg-php-tools po-debconf shtool zlib1g-dev

ah ouais, rien que ça !

Dernière modification par RidingAround (Le 16/09/2018, à 20:08)


RAID 5 luks 4x1To - SSD M2 120 - RX 480 - 4x4 DDR4 - Xeon
24 ans de Linux ! Ubuntu aux particuliers -> puis aux entreprises -> monter des serveurs -> sécuriser les entreprises -> des armoires -> des clusters -> des conteneurs ... que du bonheur :}

Hors ligne

#19 Le 16/09/2018, à 20:18

RidingAround

Re : SSL certifié pour Owncloud

Reboot : installation ok
J'ai pu terminer l'installation d'owncloud sur sa page d'accueil en choisissant un user, la base et en validant. Interface fonctionnelle.
Pour accéder depuis l'extérieur, j'ai ajouté mon trusted domain dans le fichier config situé dans /var/www/owncloud/config
Mais, car il y a toujours un mais :
si l'accès est ok dedans comme dehors en HTTP, lorsqu'on demande du HTTPS sous Firefox :

Échec de la connexion sécurisée
Une erreur est survenue pendant une connexion à 10.0.0.100. SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée. Code d’erreur : SSL_ERROR_RX_RECORD_TOO_LONG

Chromium me donne:
Ce site ne peut pas fournir de connexion sécurisée
10.0.0.100 a envoyé une réponse incorrecte.
ERR_SSL_PROTOCOL_ERROR

Dernière modification par RidingAround (Le 16/09/2018, à 20:23)


RAID 5 luks 4x1To - SSD M2 120 - RX 480 - 4x4 DDR4 - Xeon
24 ans de Linux ! Ubuntu aux particuliers -> puis aux entreprises -> monter des serveurs -> sécuriser les entreprises -> des armoires -> des clusters -> des conteneurs ... que du bonheur :}

Hors ligne

#20 Le 16/09/2018, à 20:32

RidingAround

Re : SSL certifié pour Owncloud

Ah !

Après avoir fait un

sudo a2ensite default-ssl
sudo service apache2 reload

Je n'ai plus cette erreur, mais juste :
La connexion n’est pas sécurisée
Les propriétaires de 10.0.0.100 ont mal configuré leur site web. Pour éviter que vos données ne soient dérobées, Firefox ne s’est pas connecté à ce site web.

Donc j'ai bien une redirection correcte de ma requète en port 443.
Je vais corriger mon default-ssl car il m'envoie actuellement sur la page defaut d'apache... il me suffit de donner le chemin /var/www/owncloud pour la ligne DocumentRoot

sudo service apache2 reload

Et c'est ok, toujours en faisant une exception de sécurité.

Alors, plein d'espoir, je tente un nouveau et ultime :

sudo certbot --apache -d cloud.xxxxxxxxx.mx
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for cloud.xxxxxxxxx.mx
Enabled Apache rewrite module
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. cloud.xxxxxxxxx.mx (http-01): urn:ietf:params:acme:error:tls :: The server experienced a TLS error during domain verification :: Fetching https://cloud.xxxxxxxxx.mx/.well-known/acme-challenge/ipExOlp6ROsiPYKGmiIq5Iw2AnFTrjaxr40wgmcV-s0: remote error: tls: internal error

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: cloud.xxxxxxxxx.mx
   Type:   tls
   Detail: Fetching
   https://cloud.xxxxxxxxx.mx/.well-known/acme-challenge/ipExOlp6ROsiPYKGmiIq5Iw2AnFTrjaxr40wgmcV-s0:
   remote error: tls: internal error

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address. Additionally, please check that
   you have an up-to-date TLS configuration that allows the server to
   communicate with the Certbot client.

Ben voyons.

Dernière modification par RidingAround (Le 16/09/2018, à 20:36)


RAID 5 luks 4x1To - SSD M2 120 - RX 480 - 4x4 DDR4 - Xeon
24 ans de Linux ! Ubuntu aux particuliers -> puis aux entreprises -> monter des serveurs -> sécuriser les entreprises -> des armoires -> des clusters -> des conteneurs ... que du bonheur :}

Hors ligne

#21 Le 17/09/2018, à 08:40

bruno

Re : SSL certifié pour Owncloud

J'ai l'impression que tu commets la même erreur à chaque fois mais j'ai du mal à suivre ce que tu fais.

Si tu essaies d'accèder à ton site en HTTPS alors qu'il n'est pas encore configuré pour cela (hôte virtuel sur le port 443 avec un certificat valide), c'est normal que tu aies cette erreur.

Je t'ai dit à plusieurs reprises de désactiver default-ssl. Ce n'est pas pour rien. Si l'hôte virtuel est déjà configuré en https avec un certificat auto-signé ou autre c'est normal que certbot échoue avec le plugin apache.
(SI tu veux utiliser le plugin webroot et faire la configuration manuellement, je l'ai documenté ici : https://doc.ubuntu-fr.org/tutoriel/secu … _avec_ssl)

D'autre part il me semble, mais ce n'est pas clair, que tu installes owncloud en utilisant un paquet deb et que celui-ci installe ses propres fichiers de configuration sous /etc/apache2. Ce n'est pas la méthode que je recommande. Il est préférable d'installer ce type d'application en téléchargeant les sources. Et ce qui serait encoore mieux c'est d'utiliser Nextcloud plutôt que Owncloud.


Au passage :

sudo apt install php7.0-*

n'était vriament pas une bonne idée. Je doute que tu aies besoin de tous les modules PHP et en procédant ainsi il vont être marqués comme installés manuellement ce qui ne facilitera pas une éventuelle mise à niveau.

Pour résumer avant d'utiliser certbot, tu dois t'assurer :
- que ton nom de domaine est bien résolu avec ton IPv4 publique (et éventuellement l'IPV6) ;
- que tu n'as pas déjà un hôte virtuel pour le domaine à certifier sur le port 443 qui viendrait interférer ;
- que le paquet owncloud n'a pas créé des éléments de configuration sous /etc/apache2qui peuvent interférer.

Dernière modification par bruno (Le 17/09/2018, à 08:41)

Hors ligne

#22 Le 17/09/2018, à 10:28

HPIR40

Re : SSL certifié pour Owncloud

Bonjour

et si tu crée ton certificat en suivant le tuto suivant?

https://forum.ubuntu-fr.org/viewtopic.php?id=2012936)

Hors ligne

#23 Le 18/09/2018, à 23:12

RidingAround

Re : SSL certifié pour Owncloud

Bonsoir,

bruno, tu m'avais dit de désactiver default-ssl, je l'ai fait juste dessous, et j'avais toujours des problèmes.

Ce que je ne comprends pas, c'est que j'ai dû suivre 3 tutoriels différents qui disent exactement la même chose, et aussi 2 vidéos, en ayant toujours le même problème.
Les gars te disent
1 lamp
2 base
3 owncloud
4 certbot

J'ai tout simplement fait ça à chaque fois. Avec toujours le même message d'erreur. J'ai rien inventé.
J'ai juste la dernière fois sauté l'étape 3. Idem, alors que Owncloud n'était pas présent, donc.

Pour PHP7.0, j'avais encore des messages de modules manquants après avoir cherché à installer ce qui était demandé un par un les machins. Mais il y en avait deux qu'il ne trouvait pas dans les dépôts, je ne sais plus lesquels.
Ce n'est qu'en installant tout que j'ai vu qu'il manquait des quantités de dépendances; pourquoi ? J'en sais rien, là encore, les tutos n'en parlent pas.

Pour ces gars, c'est très simple (et ça l'est vraiment en fait) et tout va bien. Moi, pc neuf, config neuve, je reproduis stricto sensu la doc, le tuto, la vidéo, peu importe quoi, et c'est Mission:Impossible avec un message d'erreur rare et compris par personne !

Dernière modification par RidingAround (Le 18/09/2018, à 23:15)


RAID 5 luks 4x1To - SSD M2 120 - RX 480 - 4x4 DDR4 - Xeon
24 ans de Linux ! Ubuntu aux particuliers -> puis aux entreprises -> monter des serveurs -> sécuriser les entreprises -> des armoires -> des clusters -> des conteneurs ... que du bonheur :}

Hors ligne

#24 Le 18/09/2018, à 23:20

RidingAround

Re : SSL certifié pour Owncloud

HPIR40

je vais tester ça après-demain, ça me paraît être viable, car j'ai remarqué que mon certbot :
- ne crée rien qui ressemble à .well-know, on sait pas pourquoi
- ne prend aucun hôte virtuel en charge
contrairement à ce qu'il devrait faire si j'ai bien compris, étant donné que nulle part on doive se taper des modifs d'hôtes virtuels ssl dans les différentes sources que j'ai utilisées.
Si le bot ne fait rien, alors je vais le faire et je vous dirai.


RAID 5 luks 4x1To - SSD M2 120 - RX 480 - 4x4 DDR4 - Xeon
24 ans de Linux ! Ubuntu aux particuliers -> puis aux entreprises -> monter des serveurs -> sécuriser les entreprises -> des armoires -> des clusters -> des conteneurs ... que du bonheur :}

Hors ligne

#25 Le 19/09/2018, à 07:39

bruno

Re : SSL certifié pour Owncloud

Si tu donnais ton vrai nom de domaine cela permettrait déjà de voir si tout est correct au niveau des DNS et des accès.

Et aussi tu n'as pas précisé si ton serveur était derrière un routeur ou une box et si les parts 80 et 443 sont bien redirigés vers ton serveur.
Parce que sir les DNS sont bons et que ta configuration est correcte, la seule possibilité qui reste c'est que ton serveur ne soit pas accessible depuis l’Internet (ce qui expliquerait que certbot ne créé mêùe pas .well-known)

Dernière modification par bruno (Le 19/09/2018, à 19:10)

Hors ligne