[TUTORIEL] - Passage de Gladys en HTTPS via Let's Encrypt

tutoriel

#21

@aiaalm je vient de le faire donc je vais t’expliquer comme je peut aussi moi mon adresse pour avoir acces a gladys est : https://xxxxxx.ddns.net/ tu a quel hébergeur FAI ?


#22

je suis pas chez free :slight_smile:
j’ai tenter en https://xxxx.ddns.net mais il me dit d enlever le https


#23

non enlever pas il faut que tu ouvre tes port sur ta box tous sur ip de la machine qui fait tourner gladys

192.168.1.xx
TCP : 8080
TCP : 80
TCP :443


#24

@aiaalm le non de ta box sait quoi ?


#25

je suis chez bouygues

si je tape https://XXXX.ddns.net:433 j arrive depuis lexterieur sur gladys


#26

pour cela j’ai du faire une redirection de port


#27

Équipement du réseau local tu peut pas mettre IP de Gladys en ipv4 = 192.168.1.xx
pour le port ouvre le 8080 et le 80 et ton port externe est en 433 au lieu de 443


#28

c’est l ip de gladys


#29

Tu dois rediriger ton port 443 de box sur le port 443 de Gladys (au moins le temps du tuto).
Certbot essai de se connecter à https://XXXX.ddns.net pour valider ton certificat.
Le port par défaut pour HTTPS étant 443, tu dois faire cette redirection.

Libre à toi de le rechanger après (a refaire pour le renouvellement du certificat quand même).

@Pti_Nico : Merci pour la review, c’est ajouté pour le site accessible et corrigé pour le cron :slight_smile:
Je vais aussi ajouter une petite note sur le fait que le port 443 doit être accessible depuis l’extérieur.


#30

oui effectivement ca marche mieux du coup merci


#31

de rien s’est avec plaisir


#32

@aiaalm, ne met pas de redirection sur le port 22, car une personne mal intentionnée pourrait prendre la main sur ton RPI en SSH (surtout que tu a laissé l’utilisateur et le password par défaut. J’ai essayé et bingo !!! :smile:).

Et édite ton post plus haut, il y a ton adresse en claire…


#33

oui mais du coup moi non plus j peut plus me connect en ssh depuis l exterrieur


#34

SSH, c’est pour bidouiller Gladys, donc de chez soi.

Si tu le souhaites vraiment, change le password par défaut :wink:
Mais je ne te le recommande pas.


#35

J’ai édité tes post @aiaalm il y avait trop d’info visible !
J’ai réussi à accéder à ton PI comme @Pti_Nico
Fait attention la prochaine fois ^^


#36

bha j’ai changer de password, j avais un peu la flemme, vu que gladys est encore en devloppement/grosse bidouille/reinstall chez moi


#37

Bonjour tout le monde, je suis aussi nouveau dans le monde du RASPBERRY et encore plus de GLADYS.
Merci pour toutes ces explications. Effectivement au début j’avais changé les ports entre l’extérieur et l’intérieur et ça ne marchait pas.
Pour faire le test j’ai fait comme indiqué et ça marche mieux.
Cependant pour avoir un “domain”, je passe par dtdns.net et maintenant j’ai l’erreur suivante:

sudo ./certbot-auto --standalone certonly -d toto.dtdns.net
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Obtaining a new certificate
Performing the following challenges:
tls-sni-01 challenge for toto.dtdns.net
Waiting for verification…
Cleaning up challenges
An unexpected error occurred:
There were too many requests of a given type :: Error creating new cert :: too many certificates already issued for: dtdns.net
Please see the logfiles in /var/log/letsencrypt for more details.

Pensez vous que c’est mort pour moi avec dtdns.net et que je devrais passer par ddns.net?

Autre question (j’en profite un peu). Je n’aime pas laisser les ports par défauts, je me fait une petite table de correspondance, par exemple pour le SSH (en plus d’avoir changé mes mots de passe (pi et root pour @aiaalm )) qui utilise le port 22 par défaut, pour me connecter à distance, j’utilise un autre port.
Donc ma question, est ce qu’une fois mon certificat obtenu je peux changer les ports extérieurs? Sachant que crontab va relancer tous les jours la commande de re-génération de certificat

Merci d’avance


#38

Salut,
Super tuto, tout à bien fonctionner pour moi!
Mais j’avais une question, pourquoi régénérer le certificat tout les jours et pas tous les 3 mois?


#39

Merci pour le retour :slight_smile:
@gauthierpic : je dirais qu’effectivement ça va être foutu pour dtdns.net visiblement trop de requêtes pour ce domaine :confused:
J’avoue ne pas utiliser ddns.net mais mon domaine perso. Tu peux essayer, la procédure doit-être la même :wink:
Tu peux changer les ports mais tu auras une erreur pour la génération du certificat tout les jours car le script attends une réponse sur le port 443, en vrai c’est lets encrypt qui vérifie qu’il y a quelque chose derrière le port puis qui valide au script que tout est ok.

@WolfVic : En fait, le cron lance une commande qui ne régénère pas le certificat tous les jours. Il y a un check avant puis, si nécessaire, le certificat est régénéré.
Le check est lancé tous les jours pour ne pas louper la date. Sachant que la procédure ne coute rien et ne prends aucune ressource si ras. Aucune raison de s’en priver.
J’ai tendance à préférer le lancer régulièrement et ne plus me soucier de rien (mémoire de poisson rouge ^^)
Après libre à toi d’adapter si tu penses cela plus judicieux :wink:


#40

D’accord, je comprend mieux, merci ^^