Discussion :

[VV666]

Bonsoir à tous,
résumé : je n'arrive pas à créer un certificat avec Letsencrypt et je suppose que cela provient d'une erreur de configuration Apache.

Mon site est hébergé sur un VPS chez OVH. Ma config :

• Version de WordPress : 5.9.3
• Version de PHP : 7.3.27
• Version de MariaDB : 10.3.27
• Adresse du site : https://www.webcaf.fr/

J'ai un certificat valide pour le www mais pas pour la racine. Je voulais donc corriger cela, mais j'obtiens cette erreur lors de la génération du certificat :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
sudo certbot --apache -d webcaf.fr -d www.webcaf.fr
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for webcaf.fr
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. webcaf.fr (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: 51.178.138.45: Invalid response from http://webcaf.fr/.well-known/acme-challenge/HqZbdmwTkNiM061lvanQ_YvoN1Zx4BvAbi2NZuhp7PE: 404
 
IMPORTANT NOTES:
 - The following errors were reported by the server:
 
   Domain: webcaf.fr
   Type:   unauthorized
   Detail: 51.178.138.45: Invalid response from
   http://webcaf.fr/.well-known/acme-challenge/HqZbdmwTkNiM061lvanQ_YvoN1Zx4BvAbi2NZuhp7PE:
   404
 
   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address.

Ce qui est assez logique vu que http://webcaf.fr mène à un 404.
D'ailleurs, avant que je renomme le dossier html par défaut d'Apache, il pointait dessus o.O?

Voici le fichier VirtualHost d'apache2 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<VirtualHost *:80>
        ServerName webcaf.fr
        ServerAlias www.webcaf.fr
        DocumentRoot "/var/www/wp_webcaf"
        <Directory "/var/www/wp_webcaf">
                Options +FollowSymLinks
                AllowOverride all
                Require all granted
        </Directory>
        ErrorLog /var/log/apache2/error.webcaf.log
        CustomLog /var/log/apache2/access.webcaf.log combined
RewriteEngine on
RewriteCond %{SERVER_NAME} =webcaf.fr [OR]
RewriteCond %{SERVER_NAME} =www.webcaf.fr
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

Et voici ma zone DNS chez OVH :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
 
$TTL 3600
@	IN SOA dns104.ovh.net. tech.ovh.net. (2022050701 86400 3600 3600000 60)
                          IN NS     ns104.ovh.net.
                          IN NS     dns104.ovh.net.
                          IN MX     1 mx1.mail.ovh.net.
                          IN MX     5 mx2.mail.ovh.net.
                          IN MX     100 mx3.mail.ovh.net.
                          IN A      51.178.138.45
                      600 IN TXT    "v=spf1 include:mx.ovh.com ~all"
                      600 IN TXT    "google-site-verification=Gp-FghDGf3ynhaF15yzKZ8SrmzJZXG0okCq4bbNRg08"
                      600 IN TXT    "1|www.webcaf.fr"
_autodiscover._tcp        IN SRV    0 0 443 mailconfig.ovh.net.
_imaps._tcp               IN SRV    0 0 993 ssl0.ovh.net.
_submission._tcp          IN SRV    0 0 465 ssl0.ovh.net.
autoconfig                IN CNAME  mailconfig.ovh.net.
autodiscover              IN CNAME  mailconfig.ovh.net.
dijon                     IN A      51.178.138.45
ftp                       IN CNAME  webcaf.fr.
hebergement               IN A      51.178.138.45
imap                      IN CNAME  ssl0.ovh.net.
lourdes                   IN A      51.178.138.45
mail                      IN CNAME  ssl0.ovh.net.
pop3                      IN CNAME  ssl0.ovh.net.
smtp                      IN CNAME  ssl0.ovh.net.
tarbes                    IN A      51.178.138.45
vignettes                 IN A      51.178.138.45
www                       IN MX     1 mx1.mail.ovh.net.
www                       IN MX     5 mx2.mail.ovh.net.
www                       IN MX     100 mx3.mail.ovh.net.
www                       IN A      51.178.138.45
www                       IN TXT    "3|welcome"
www                       IN TXT    "l|fr"

Au besoin, le VH par défaut d'apache :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
 
<VirtualHost *:80>
        # The ServerName directive sets the request scheme, hostname and port that
        # the server uses to identify itself. This is used when creating
        # redirection URLs. In the context of virtual hosts, the ServerName
        # specifies what hostname must appear in the request's Host: header to
        # match this virtual host. For the default virtual host (this file) this
        # value is not decisive as it is used as a last resort host regardless.
        # However, you must set it for any further virtual host explicitly.
        #ServerName www.example.com
 
        ServerAdmin stephane@webcaf.fr
        DocumentRoot /var/www/html
 
        # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
        # error, crit, alert, emerg.
        # It is also possible to configure the loglevel for particular
        # modules, e.g.
        #LogLevel info ssl:warn
 
        LogFormat "%v %h %l %u %t \"%r\" %>s %b" common
 
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log common
 
        # For most configuration files from conf-available/, which are
        # enabled or disabled at a global level, it is possible to
        # include a line for only one particular virtual host. For example the
        # following line enables the CGI configuration for this host only
        # after it has been globally disabled with "a2disconf".
        #Include conf-available/serve-cgi-bin.conf
</VirtualHost>
 
# ######################################
# GLOBAL! deny bad bots and IP addresses
# ######################################
#
# should be set after <VirtualHost>s see https://httpd.apache.org/docs/2.4/sections.html#merging
<Location "/">
        # AND-combine with preceding configuration sections  
        AuthMerging And
        # include black list
        Include custom.d/globalblacklist.conf
</Location>
 
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

Ce que je ne comprends pas c'est que j'ai un autre site, hébergé sur le même serveur, lui aussi avec le nom de domaine chez OVH, avec la même config DNS et la même structure de fichier VH Apache2 et je n'ai pas eu de souci pour générer le certificat pour la racine et www.
Je suis sûr que c'est un truc simple que j'ai devant les yeux mais que je ne vois pas -_-

Je vous remercie d'avance pour votre aide.

[mathieu]

est ce que vous voulez que "webcaf.fr" redirige vers "www.webcaf.fr" ? si c'est ça, je pense que vous devez d'abord réparer cette redirection avant de créer le certificat.
essayez de commenter la réécriture d'url pour vérifier que vous voyez le site à l'url "webcaf.fr".

[VV666]

Merci pour votre réponse.

Non, pas vraiment, je préfère que www.webcaf.fr renvoie vers webcaf.fr
C'est d'ailleurs les paramètres de la zone DNS d'OVH.

La réécriture d'URL a été ajouté automatiquement par la génération du certificat pour www.webcaf.fr

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sudo certbot --apache -d www.webcaf.fr

J'ai testé en les commentant, mais sans succès.

[mathieu]

si vous voulez rediriger "www" vers "sans www", ça revient au même, il faut d'abord que le site s'affiche aux 2 urls.

et justement, je vois maintenant le site s'afficher à l'adresse https://webcaf.fr alors que ce matin, je voyais le message d'erreur d'apache donc vous avez réussi à corriger quelque chose.

[VV666]

Oui, je refait le certif pour www.webcaf.fr et comme il y a la réécriture d'URL, il accepte de rediriger https://webcaf.fr vers https://www.webcaf.fr mais avec une alerte ... c'est pas propre du tout.
Je ne peux toujours pas généré un certif pour webcaf.fr + www.webcaf.fr car il y a toujours un 404 pour http://webcaf.fr

C'est pour cela que j'essaie de comprendre pourquoi j'ai un 404 sur cette adresse.

[mathieu]

l'url sans www fonctionnait chez moi à 11 h 00, vous avez modifié quoi depuis ?

[VV666]

J'ai généré le certificat pour www.webcaf.fr hier soir, vers 1h pour ne pas laisser d'adresse invalide.

Vous parler de https://webcaf.fr ou de http://webcaf.fr ?

[mathieu]

Vous parler de https://webcaf.fr ou de http://webcaf.fr ?

ah zut, je n'avais pas vu la différence. c'est la 1re fois que je vois le domaine en https qui fonctionne alors que le domaine http ne fonctionne pas.

quand vous accédez à http://webcaf.fr, les messages d'accès et d'erreur sont dans quels journaux ?

[VV666]

J'ai l'erreur dans le log de la conf par défaut (j'ai filtré sur mon IP) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
sudo cat /var/log/apache2/access.log | grep 92.91.80.36
92.91.80.36 - - [07/May/2022:11:37:34 +0000] "GET / HTTP/1.1" 404 487

Dans les logs error.webcaf.fr, j'ai ceci (j'ai éliminé les tentative d'accès frauduleuse) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
sudo cat /var/log/apache2/error.webcaf.log
[Sat May 07 00:00:03.797581 2022] [ssl:warn] [pid 21283] AH01909: webcaf.fr:443:0 server certificate does NOT include an ID which matches the server name

Pourquoi l'erreur 404 est log dans le log de la conf par défaut d'apache2 et pas dans celle du VH webcaf ?

[mathieu]

essayez de rajouter une ligne "ServerName aaaaa" pour le VirtualHost par défaut.
peut-être que le VirtualHost par défaut s'accroche à webcaf.fr car il n'y a pas de domaine indiqué.

[VV666]

OUIIIIIII !!!

Il semble que c'était ça le problème !

http://webcaf.fr répond, donc j'ai pu généré un certificat valide avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sudo certbot --apache -d webcaf.fr -d www.webcaf.fr

Merci beaucoup ! C'était effectivement tout simple ... Mais je n'avais jamais rencontré le problème jusque là.

[mathieu]

j'ai pensé à ça en lisant la documentation pour savoir comment apache choisi quel domaine est demandé :
https://httpd.apache.org/docs/2.4/vh...ame-based.html

par contre ce changement de configuration a peut être changé l'accès en passant par l'adresse ip si vous vous en servez.

[VV666]

Effectivement, je suis passé à côté de cela. Merci !
Non, pas d'accès par IP sur ce VPS.
Encore merci :-)