0

configurer nginx avec les bons chemins Letsencrypt suite à la mise à jour de Yunohost 2.5

Avant la mise à jour de la nouvelle version de Yunohost 2.5, qui embarque la gestion des domaines avec certificat TLS grâce à Letsencrypt, j’avais installé manuellement le paquet letsencrypt sous Debian et géré les domaines à la main.
Mais depuis la mise à jour, j’avais un problème concernant les dates de validité des certificats entre ce que Yunohost et ce que la commande openssl m’affichaient.
Après un petit diagnostique rapide, je me suis aperçu que les chemins des certificats dans les configurations Nginx n’étaient pas les bons.

Configurer les serveurs block nginx avec les nouveau chemins letsencrypt gérés par Yunohost

  • Exemple d’un extrait de server block nginx avant la mise à jour de Yunohost :
  • server {
        listen 443 ssl;
        server_name domaine.tld;
    
    ssl_certificate /etc/letsencrypt/live/certs/domaine.tld/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domaine.tld/privkey.pem;
    
  • Exemple d’un extrait de server block nginx après la mise à jour de Yunohost :
  • server {
        listen 443 ssl;
        server_name domaine.tld;
    
    ssl_certificate /etc/yunohost/certs/domaine.tld/crt.pem;
    ssl_certificate_key /etc/yunhost/certs/domaine.tld/key.pem;
    
  • Pour renseigner les bons chemins des certificats Letsencrypt gérés par Yunohost, un petit coup de sed et c’est tout bon :
  • sed -i -e "s/fullchain/cert/g" /etc/nginx/conf.d/*.conf
    sed -i -e "s/privkey/key/g"  /etc/nginx/conf.d/*.conf
    sed -i -e "s/letsencrypt\/live/yunohost\/certs/g" /etc/nginx/conf.d/*.conf
  • Vérifier si pas d’erreur :
  • nginx -t
    nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
    nginx: configuration file /etc/nginx/nginx.conf test is successful
    
  • Relancer le serveur web Nginx :
  • systemctl restart nginx

Bonus : vérifier la date de validité d’un certificat avec la commande openssl

Voici la commande que j’ai utilisé pour vérifier la date d’expiration de validé de mes certificats Letsencrypt :

openssl x509 -in /etc/yunohost/certs/domaine.tld/crt.pem -noout -enddate
notAfter=May 28 11:21:00 2017 GMT

Partager l'article :





fred

"Dire que l'on s'en fiche du droit à la vie privée sous prétexte qu'on a rien à cacher, c'est comme déclarer que l'on se fiche du droit à la liberté d'expression sous prétexte qu'on a rien à dire." Edward Snowden

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *