Erreur avec un certificat letsencrypt

Le problème exposé dans ce sujet a été résolu.

Bonsoir,

Pour une association, j’ai accepté de mettre mes modestes compétences pour mettre à jour leur site web qui avait besoin d’un bon coup de pinceau (la dernière mise à jour datait de 2008). Si tôt dit, si tôt fait, https://annemarienihoul.be est remis au goût du jour. Bien entendu, je ne manque pas de rajouter un certificat SSL, géré par letsencrypt.

Problème, firefox m’indique que ce certificat périme le 7 février, et c’est également ce que m’indique https://www.ssllabs.com/ssltest/index.html. Pour ne rien arranger, j’ai reçu un mail de letsencrypt m’indiquant que mon certificat allait bientôt expirer. Sauf que si je regarde le résultat de certbot, il est déjà à jour :

$ sudo certbot renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/annemarienihoul.be.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert not yet due for renewal

(...)

The following certs are not due for renewal yet:
  /etc/letsencrypt/live/annemarienihoul.be/fullchain.pem expires on 2021-04-08 (skipped)
  (...)
No renewals were attempted.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

et bien entendu, j’utilise le bon certificat dans ma config nginx:

$ cat /etc/nginx/sites-available/annemarienihoul.be 
server {
    listen 443 ssl;
    server_name annemarienihoul.be www.annemarienihoul.be;

    access_log /home/amn/website-data/nginx-access.log;
    error_log /home/amn/website-data/nginx-error.log;
    
   include snippets/ssl-config.conf;

   location / {
        client_max_body_size 15M;
        proxy_pass http://unix:/home/amn/website-data/AM-Nihoul-website/amn.sock;

    # used by Flask to sort up things
        proxy_set_header   Host                 $host;
        proxy_set_header   X-Real-IP            $remote_addr;
        proxy_set_header   X-Forwarded-For      $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Proto    $scheme;
    }


    ssl_certificate /etc/letsencrypt/live/annemarienihoul.be/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/annemarienihoul.be/privkey.pem; # managed by Certbot
}

# Redirect HTTP requests to HTTPS
server {  
    listen 80;
    server_name annemarienihoul.be www.annemarienihoul.be;
    return 301 https://$host$request_uri;
}

… Autrement dit, je n’ai aucune idée d’où peu venir le problème. Est ce que quelqu’un aurait une idée ?

D’avance merci,

Pierre

+0 -0

C’est en effet étonnant ! Premièrement, as-tu bien rafraîchi nginx avec sudo nginx -s reload ?

Sinon, tu peux déjà regarder si le certificat dans /etc/letsencrypt/live/annemarienihoul.be pointe bien vers le dernier certificat avec ces deux commandes :

$ sudo ls -lh /etc/letsencrypt/live/annemarienihoul.be
total 4.0K
lrwxrwxrwx 1 root root  45 Dec 27 21:33 cert.pem -> ../../archive/annemarienihoul.be/cert2.pem
lrwxrwxrwx 1 root root  46 Dec 27 21:33 chain.pem -> ../../archive/annemarienihoul.be/chain2.pem
lrwxrwxrwx 1 root root  50 Dec 27 21:33 fullchain.pem -> ../../archive/annemarienihoul.be/fullchain2.pem
lrwxrwxrwx 1 root root  48 Dec 27 21:33 privkey.pem -> ../../archive/annemarienihoul.be/privkey2.pem
-rw-r--r-- 1 root root 692 Dec 27 21:13 README
$ sudo ls -lh /etc/letsencrypt/archive/annemarienihoul.be
total 32K
-rw-r--r-- 1 root root 2.4K Dec 27 21:13 cert1.pem
-rw-r--r-- 1 root root 2.4K Dec 27 21:33 cert2.pem
-rw-r--r-- 1 root root 1.6K Dec 27 21:13 chain1.pem
-rw-r--r-- 1 root root 1.6K Dec 27 21:33 chain2.pem
-rw-r--r-- 1 root root 4.0K Dec 27 21:13 fullchain1.pem
-rw-r--r-- 1 root root 4.0K Dec 27 21:33 fullchain2.pem
-rw------- 1 root root 3.2K Dec 27 21:13 privkey1.pem
-rw------- 1 root root 3.2K Dec 27 21:33 privkey2.pem

Dans le cas présent, on voit bien que les fichiers dans live/ pointent vers les derniers fichiers dans archive/.

+0 -0

Arf, bien vu pour le redémarrage de NGINX … C’est plutôt chiant, j’étais convaincu que certbot s’occupait de ça (j’ai une pelletée de sites sur cette instance, et je n’ai pas l’impression que je redémarre nginx tant que ça). Je vais garder ça en tête :)

Tout dépend de comment tu as créé le certificat. Si tu l’as créé avec sudo certbot --nginx ou sudo certbot certonly --nginx je suppose qu’il s’occupe de rafraîchir nginx automatiquement. Si tu l’as créé sans le paramètre --nginx, alors il faut ajouter le paramètre --post-hook comme ceci : sudo nginx renew --post-hook "nginx -s reload". Sinon je suppose que tu peux ajouter à la main une ligne post_hook = nginx -s reload dans la partie [renewalparams] du fichier de configuration /etc/letsencrypt/renewal/annemarienihoul.be.conf.

+1 -0
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte