IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Problème de certificat Startssl sur serveur Nginx


Sujet :

Sécurité

  1. #1
    Candidat au Club
    Homme Profil pro
    Intégrateur Web
    Inscrit en
    Mai 2015
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Intégrateur Web

    Informations forums :
    Inscription : Mai 2015
    Messages : 8
    Points : 4
    Points
    4
    Par défaut Problème de certificat Startssl sur serveur Nginx
    Bonjour,

    Cela fait plusieurs jours que je galère pour mettre en place le certificat StartSSL sur mon serveur Nginx (à jour) vue que l'ancien été arrivé à échéance.

    J'ai posté 1 post sur le forum StartCom, mais pour le moment pas d'aide plus que cela et je tourne en rond en cherchant ce qui ne vas pas...

    Post sur Forum StartCom

    j'en est fait un second sur ce forum mais je l'avoue sans grand succès.

    post sur forum Mondedie

    Pour résumer :

    j'ai fait via l'interface du site SartSSL.com mon certificat SSL composé de :

    • monDomaine.com.crt
    • cleServer.csr
    • cléPrive.key
    • server.key


    Tout est Ok pour cette partie.

    Puis j'ai créé les autres certificat OCSP

    • ca-certs.pem
    • intermediate.pem


    Pour Le 1er certificat ca-certs.pem
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
     wget -qc -O ca-certs.pem https://www.startssl.com/certs/ca.crt
    Pour le certificat intermédiare intermediate.pem
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    wget -qc -O intermediate.pem https://www.startssl.com/certs/sca.server1.crt
    et testé un demande ocsp envoyé à ocsp.startssl.com
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    openssl ocsp -issuer intermediate.pem -cert ca-certs.pem -url http://ocsp.startssl.com -header HOST ocsp.startssl.com -noverify -text

    Merci de votre aide !!

  2. #2
    Candidat au Club
    Homme Profil pro
    Intégrateur Web
    Inscrit en
    Mai 2015
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Intégrateur Web

    Informations forums :
    Inscription : Mai 2015
    Messages : 8
    Points : 4
    Points
    4
    Par défaut
    J'ai dans mon fichier error.log cette erreur:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    2017/03/03 20:37:34 [error] 16662#16662: OCSP_basic_verify() failed (SSL: error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:Verify error:unable to get local issuer certificate) while requesting certificate status, responder: ocsp.startssl.com
    Ma question est comment je peut vérifier mon certificat (local issuer certificate) ??
    Je suppose qu'il parle de celui-ci: monDomaine.com.crt-unified, celui créé sur le site Startssl.com

    Merci de votre aide !

  3. #3
    Membre actif
    Homme Profil pro
    Sysadmin Linux
    Inscrit en
    Mars 2017
    Messages
    76
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Sysadmin Linux

    Informations forums :
    Inscription : Mars 2017
    Messages : 76
    Points : 200
    Points
    200
    Par défaut Un peu plus d'infos
    Salut,

    Pourrais-tu fournir un peu plus de détails :

    - OS (distribution utilisé si Linux)
    - Version de Nginx
    - Block server configuration de nginx.conf (celui ou les options du certificat sont définies)

    Autre chose a tester pour cerner un peu plus le problème serait de générer un certificat letsencrypt et de l’essayer voir si le problème reste le même

    Es-tu sur d’avoir correctement généré le full_chain.pem en renseignant ton certificat comme uxadm t’as indiqué sur le forum de startcomca ?

  4. #4
    Candidat au Club
    Homme Profil pro
    Intégrateur Web
    Inscrit en
    Mai 2015
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Intégrateur Web

    Informations forums :
    Inscription : Mai 2015
    Messages : 8
    Points : 4
    Points
    4
    Par défaut
    Bonjour,

    Merci pour ton aide car là je galère et tourne en rond et je ne vois pas ce qui cloche.

    Pour répondre à tes questions, voici ce que j'ai :

    - Version Debian : 8.3
    - Version Nginx: 1.9.11

    Fichier ou sont définis les chemins des certificats (rutorrent.conf):

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    100
    101
    102
    103
    104
    105
    106
    107
    108
    109
    110
    111
    112
    113
    114
    115
    116
    117
    118
    119
    120
    121
    122
    123
    124
    125
    126
    127
    128
    129
    130
    131
    132
    133
    134
    135
    136
    137
    138
    139
    140
    141
    142
    143
    144
    145
    146
    147
    148
    149
    150
    151
    152
    153
    154
    155
    156
    157
    158
    159
    160
    161
    162
    163
    164
    165
    166
    167
    168
    169
    170
    171
    172
    173
    174
    175
    176
    177
    178
    179
    180
    181
    182
    183
    184
    185
    186
    187
    188
    189
    190
    191
    192
    193
    194
    195
    196
    197
    198
    199
    200
    201
    202
    203
    204
    205
    206
    207
    208
    209
    210
    211
     
    server {
    		## redirection url ##
            listen 80;
            server_name mydomaine.com www.mydomaine.com;
     
            ## redirection permanant HTTP: vers HTTPS: ##
            rewrite ^ https://$server_name$request_uri? permanent;
     
            ## inclure pages erreurs ##
        	# include /etc/nginx/conf.d/error_pages.conf;
    }
     
    server {
    	listen 443 default_server ssl http2;
    	server_name mydomaine.com www.mydomaine.com;
     
    	index index.html index.php;
    	charset utf-8;
    	client_max_body_size 10M;
     
    	## Début ##
     
    	## ssl on;
    	## ssl_certificate /etc/ssl/nginx/mydomaine.com.crt-unified;
    	## ssl_certificate_key /etc/ssl/nginx/server.key;
    	## ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    	## ssl_ciphers "EECDH+AESGCM:AES128+EECDH:AES256+EECDH";
     
    	## ssl_prefer_server_ciphers on;
    	## ssl_ecdh_curve secp384r1;
     
    	## ssl_session_cache   shared:SSL:10m;
    	## ssl_session_timeout 10m;
     
    	## ssl_stapling        on; ##
    	## ssl_stapling_verify on; ##
     
    	##################### Connexion Certificats SSL #########################
     
    	## ssl on;
    	## ssl_certificate /etc/ssl/nginx/Certificats/certif_mydomaine.com.crt-unified;
    	## ssl_certificate_key /etc/ssl/nginx/cles_privees_rsa/clePrivee.key;
    	## ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    	## ssl_ciphers "EECDH+AESGCM:AES128+EECDH:AES256+EECDH";
     
    	## Vérification OCSP Stapling validité Certificat SSL via StartCom ##
     
    	## ssl_stapling on;
    	## ssl_stapling_verify on;
    	## ssl_trusted_certificate /etc/ssl/nginx/Certificats/certif_mydomaine.com_ocs.pem;
     
    	ssl on;
    	ssl_certificate /etc/ssl/nginx/certif_mydomaine.com.crt-unified;
    	ssl_certificate_key /etc/ssl/nginx/clePrivee.key;
    	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    	ssl_ciphers "EECDH+AESGCM:AES128+EECDH:AES256+EECDH";
     
    	## Vérification OCSP Stapling validité Certificat SSL via StartCom ##
     
    	ssl_stapling on;
    	ssl_stapling_verify on;
    	ssl_trusted_certificate /etc/ssl/nginx/certif_mydomaine.com_ocs.pem;
     
    	## Test ##
     
    	## ssl_trusted_certificate /etc/ssl/certs/ca.crt;
     
    	## ssl_trusted_certificate /etc/ssl/nginx/sca.server1.crt;
     
    	## ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
     
    	## ssl_trusted_certificate /etc/ssl/nginx/ca-certs.pem;
     
    	## SSLCACertificateFile /etc/ssl/nginx/ca-certs.pem;
    	## SSLUseStapling on
     
    	## Fin ##
     
    	resolver 8.8.4.4 8.8.8.8 valid=300s;
    	resolver_timeout 10s;
     
    	add_header X-Frame-Options "SAMEORIGIN";
    	add_header X-Content-Type-Options "nosniff";
     
    	## Fin ##
     
    	## inclure pages erreurs ##
        include /etc/nginx/conf.d/error_pages.conf;
     
    	# On a neutralisés les lignes SSL et l'include ci-dessous car ajourt script ci-dessus
     
    	## ssl_certificate /etc/nginx/ssl/server.crt; ##
    	## ssl_certificate_key /etc/nginx/ssl/server.key; ##
     
    	# include /etc/nginx/conf.d/ciphers.conf; ##
     
    	access_log /var/log/nginx/rutorrent-access.log combined;
    	error_log /var/log/nginx/rutorrent-error.log error;
     
    	# error_page 500 502 503 504 /50x.html;
    	# location = /50x.html { root /usr/share/nginx/html; }
     
    	# auth_basic "seedbox";
    	auth_basic "mydomaine";
    	auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd";
     
    	location = /favicon.ico {
    		access_log off;
    		log_not_found off;
    	}
     
    	## début config accueil serveur ##
     
    	location ^~ / {
    	    root /var/www/base;
    	    include /etc/nginx/conf.d/php.conf;
    	    include /etc/nginx/conf.d/cache.conf;
    	    satisfy any;
    	    allow all;
    	}
     
    	## fin config accueil serveur ##
     
    	## début config proxy ##
     
    	location ^~ /proxy {
    	    root /var/www;
    	    include /etc/nginx/conf.d/php.conf;
    	    include /etc/nginx/conf.d/cache.conf;
    	}
     
    	## fin config proxy ##
     
    	## début config rutorrent ##
     
    	location ^~ /rutorrent {
    	    root /var/www;
    	    include /etc/nginx/conf.d/php.conf;
    	    include /etc/nginx/conf.d/cache.conf;
     
    	    location ~ /\.svn {
    		    deny all;
    	    }
     
    	    location ~ /\.ht {
    		    deny all;
    	    }
    	}
     
    	location ^~ /rutorrent/conf/ {
    		deny all;
    	}
     
    	location ^~ /rutorrent/share/ {
    		deny all;
    	}
     
    	## fin config rutorrent ##
     
    	## début config munin ##
     
    	location ^~ /graph {
    	    root /var/www;
    	    include /etc/nginx/conf.d/php.conf;
    	    include /etc/nginx/conf.d/cache.conf;
    	}
     
    	location ^~ /graph/img {
    	    root /var/www;
    	    include /etc/nginx/conf.d/php.conf;
    	    include /etc/nginx/conf.d/cache.conf;
    	    error_log /dev/null crit;
    	}
     
    	location ^~ /monitoring {
    	    root /var/www;
    	    include /etc/nginx/conf.d/php.conf;
    	    include /etc/nginx/conf.d/cache.conf;
    	}
     
    	## fin config munin ##
     
    	## début config seedbox-manager ##
     
    	location ^~ /seedbox-manager {
    	alias /var/www/seedbox-manager/public;
    	    include /etc/nginx/conf.d/php-manager.conf;
    	    include /etc/nginx/conf.d/cache.conf;
    	}
     
            ## fin config seedbox-manager ##
     
            ## config utilisateurs  ##
     
            location /USER1 {
                include scgi_params;
                scgi_pass 127.0.0.1:5001; #ou socket : unix:/home/username/.session/username.socket
                # auth_basic "seedbox";
                auth_basic "mydomaine";
                auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd_user1";
            }
     
            location /USER2 {
                include scgi_params;
                scgi_pass 127.0.0.1:5003; #ou socket : unix:/home/username/.session/username.socket
                # auth_basic "seedbox"; 
                auth_basic "mydomaine";
                auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd_user2";
            }
    }
    Pour ce qui concerne la génération d'un certificat letsencrypt je vais voir cela, pour le moment je te donne ce que j'ai fait pour le certificat OCSP

    Comment j'ai fait mon certificat full_chain.pem (qui se nome pour moi : certif_mydomaine.com_ocs.pem)

    Puis j'ai concaténé mon certificat "certif_mydomaine.com.crt" et "cassha2.pem" en certificat unifier

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    cat certif_mydomaine.com.crt ca-sha2.pem > certif_mydomaine.com.crt-unified
    J'ai dans un premier temps converti mon certificat "certif_mydomaine.com.crt" en certif_mydomaine.com_ocs.pem

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    openssl x509 -in certif_mydomaine.com.crt -out certif_bis_mydomaine.com_ocs.pem -outform PEM
    Puis j'ai créer mon certificat unifier (full_chain.pem) que j'ai nomé "certif_mydomaine.com_ocs.pem"

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    cat certif_mydomaine.com.crt-unifie  intermediate.pem > certif_mydomaine.com_ocs.pem
    Je ne suis pas certain que cela soit correct !?

  5. #5
    Membre actif
    Homme Profil pro
    Sysadmin Linux
    Inscrit en
    Mars 2017
    Messages
    76
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Sysadmin Linux

    Informations forums :
    Inscription : Mars 2017
    Messages : 76
    Points : 200
    Points
    200
    Par défaut
    Le certificat SSL de startcom est l'offre gratuite ?

    Si oui, vu que j'ai un vps sous Debian avec Nginx, vais reproduire pour mon ndd les etapes et faire un mini "How to" pour t'aider sur ton prob

  6. #6
    Candidat au Club
    Homme Profil pro
    Intégrateur Web
    Inscrit en
    Mai 2015
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Intégrateur Web

    Informations forums :
    Inscription : Mai 2015
    Messages : 8
    Points : 4
    Points
    4
    Par défaut
    Oui emutramp c'est la version gratuite, le truc que je ne comprends pas c'est la composition, la structure de ce fameux certificat OCSP stapling,
    il doit avec 2 certificats (certificat de monDomaine.pem) et le certificat intermédiaire (intermediate.pem) dans cet ordre ?
    ou avec les 2 certificats les 2 que je viens de nommé plus celui racine (root.pem) ?
    Est j'ai épluché le net, les forums mais cette structure n'est pas précisée.

    Mon certificat fonction mais pas la partie vérification OCSP

    Nom : test_ssl.jpg
Affichages : 428
Taille : 69,4 Ko

    Merci de votre aide

  7. #7
    Candidat au Club
    Homme Profil pro
    Intégrateur Web
    Inscrit en
    Mai 2015
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Intégrateur Web

    Informations forums :
    Inscription : Mai 2015
    Messages : 8
    Points : 4
    Points
    4
    Par défaut
    j'ai mis dans mon fichier OCSP.pem 2 certificats, le root et l'imtermédiaire

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    -----BEGIN CERTIFICATE-----
    ...CA ROOT PEM certificate here...
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    ...CA intermediate PEM certificate here...
    -----END CERTIFICATE-----
    Me reste plus que l'erreure status CRL

    Nom : crl_status.jpg
Affichages : 393
Taille : 70,0 Ko

  8. #8
    Candidat au Club
    Homme Profil pro
    Intégrateur Web
    Inscrit en
    Mai 2015
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Intégrateur Web

    Informations forums :
    Inscription : Mai 2015
    Messages : 8
    Points : 4
    Points
    4
    Par défaut
    La compagnie startssl.com chez qui j'ai pris mon certificat m'a dit :

    Due to the Mozilla and Google's sanction, Firefox and chrome have blocked our root certs in their latest version, for those certs issued after 21st Oct, and Apple has distrusted our roots, all certs issued after 1st Dec 2016 will meet with such revoked or invalid authority error. Opera also distrust our certs due to the use of the Chromium core.
    We are creating new roots, but it may take several months. We will keep you informed of our new update.
    Please accept our apologies for the inconvenience.

    Donc je ne peux rien faire pour ce certificat ou en prendre un ailleurs...

  9. #9
    Membre actif
    Homme Profil pro
    Sysadmin Linux
    Inscrit en
    Mars 2017
    Messages
    76
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Sysadmin Linux

    Informations forums :
    Inscription : Mars 2017
    Messages : 76
    Points : 200
    Points
    200
    Par défaut
    Salut,

    Effectivement, j'avais lu ca d'ou mon post te demandant d'essayer de generer un autre certif. Tu as de la chance depuis quelques annees, letsencrypt offre la generation de cert SSL gratuit et illimite

    https://www.digitalocean.com/communi...sl-certificate

    5 a 10 minutes maximum pour obtenir ton cerf, je viens de le faire a l'instant et ca fonctionne au poil

    Si tu as des soucis concernant letsencrypt, fais le moi savoir

Discussions similaires

  1. [WS 2012 R2] RDS - Problème de certificats - Avertissement sur identification Serveur et RemoteApp
    Par deltro40 dans le forum Windows Serveur
    Réponses: 6
    Dernier message: 15/01/2019, 22h55
  2. Certificats / SSL sur serveur dédié
    Par onime_no_squat dans le forum 1&1
    Réponses: 2
    Dernier message: 03/01/2011, 18h38
  3. Problème Curl en upload sur serveur FTP actif
    Par aquafiestas dans le forum Administration système
    Réponses: 2
    Dernier message: 16/10/2008, 06h45
  4. Probléme de méthode webdav sur Serveur exchange
    Par djorfe dans le forum Serveurs (Apache, IIS,...)
    Réponses: 1
    Dernier message: 18/03/2008, 15h55
  5. Problème d'accès données sur serveur externe
    Par clegosles dans le forum IIS
    Réponses: 0
    Dernier message: 21/02/2008, 12h03

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo