Demande d'aide sur un serveur d'Autorité de Certification

Support Debian
#1

Bonjour à tous,

Voilà, par avance merci pour le temps que vous m’accordez.
Actuellement je t’ente pas mal de chose sur mes VM.
J’ai une VM sur un serveur dédié online.net debian ( CA )
et une VM chez moi sur ma Freebox. Nexcloud
Puis une machine Windows 10 (bouu je sais ) je m’en éloigne de plus en plus.
Le but est de créer un serveur Nextcloud qui fonctionne avec un nom de domaine que j’ai chez OVH. « bidule.fr » .
J’aimerais également avoir la possibilité de Certifier moi même mon serveur Nexcloud enHTTP(S) et qu’il apparaisse en vert!
Ou qu’il soit demandé au client d’installer le certificat correctement dans le navigateur.
Je ne sais pas même pas si réellement c’est possible.
Quand je créé mon CA.crt. Je récupère une clés que j’essaie de rentrer tan bien que mal dans mes Navigateur/Ordinateur/ServerWeb.
J’utilise Easyrsa pour générer la clés public si je ne me trompe pas. Grace à un ./easyrsa build-ca j’obtient un Ca.crt et une key.
C’est la que je bloque je ne suis pas sur de comprendre comment faire la suite.

1 J'aime
#2

Ça n’est possible que si tu as pas le contrôle des certificats installés sur tous les postes clients qui s’y connecteront. C’est même tout le principe du fonctionnement quasi mafieux des autorités de certification.

#3

Donc si je comprends bien avec ma propre Autorité de certification je ne peux pas avoir l’étiquette verte ?
Je dois absolument le faire avec Let’s encrypt ?

1 J'aime
#4

La Green BAR n’est en effet pas disponible avec un certificat dit autogénéré, par contre tu peux à minima avoir le cadenas en vert pour vulgariser avec du let’s encrypt.
Concernant le niveau maximum de sécurité (si on peux appeler ça un niveau maximum) il te faudra lâcher un rein pour t’offrir un SSL EV (Extended Validation) qui en règle générale est plus que recommandé (quasiment obligatoire) si il y a des moyen de paiement sur ton site (par exemple un e-commerce).

1 J'aime
#5

Ok Je comprends ! Merci pour vos lumières!
J’étais partie sur la solution de créer une autorité sur un serveur distant en misant que ca justifier sa sécurité mais que nénni! Car sur ma Vm freebox je n’arrive pas installer le certificat let’s encrypt ! Je dois être une chèvre. Je n’ai pas forcément besoin d’un certificat ultra protégé.
Pour commencer avoir un cadenas vert m’ira très bien !

1 J'aime
#6

Quel est le challenge que tu as choisi ? attention pour l’un il te faut un dns configuré et accéssible depuis l’extérieur …

1 J'aime
#7

En gardant en tête que ces certificats n’apportent techniquement pas une meilleure sécurité que les autres. Tout ce qu’ils prouvent, c’est que tu as payé plus cher :wink:

1 J'aime
#8

Il sont tout de même censés être délivrés après une réelle vérification de l’identité du demandeur.

1 J'aime
#9

J’ai déjà un dns sur l’extérieur avec ovh configuré il fonctionne. j’ai installé
python3-certbot-apache
installé git-core
cette comande :

git clone https://github.com/letsencrypt/letsencrypt

et essayé de lancer letsencrypte-auto mais réponse =

Skipping bootstrap because certbot-auto is deprecated on this system.
Your system is not supported by certbot-auto anymore.
Certbot cannot be installed.
Please visit https://certbot.eff.org/ to check for other alternatives.

J’ai également essayé de le faire manuellement

certbot --apache -d mon_domaine.fr -d www.mond_domaine.fr

Réponse:

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Requesting a certificate for mon_domaine.fr and www.mon_domaine.fr
Performing the following challenges:
http-01 challenge for mon_domaine.fr
http-01 challenge for www.mon_domaine.fr
Waiting for verification...
Challenge failed for domain mon_domaine.fr
Challenge failed for domain www.mon_domaine.fr
http-01 challenge for mon_domaine.fr
http-01 challenge for www.mon_domaine.fr
Cleaning up challenges
Some challenges have failed.

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: mon_domaine.fr
   Type:   connection
   Detail: Fetching
   http://mon_domaine.fr/.well-known/acme-challenge/w6WVmzyniWNXevJBUBcnPifmtoxwVKBlEWmHE_Km7-Y:
   Timeout during connect (likely firewall problem)

   Domain: www.mon_domaine.fr
   Type:   connection
   Detail: Fetching
   http://www.mon_domaine.fr/.well-known/acme-challenge/q-HCl4G_YafcwmF28TVPk-uI76iX0WjHC-oOXaIyclU:
   Timeout during connect (likely firewall problem)

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address. Additionally, please check that
   your computer has a publicly routable IP address and that no
   firewalls are preventing the server from communicating with the
   client. If you're using the webroot plugin, you should also verify
   that you are serving files from the webroot path you provided.

C’est un serveur apache qui héberge Nextcloud
Je confirme que quand je met mon_domaine.fr dans mon navigateur ma redirection HTTP → HTTPS fonctionne et qu’il est pris en compte

1 J'aime
#10

Ça c’est la théorie. Dans la pratique, on a eu suffisamment de bourdes de la part de grosses CA pour comprendre que c’est fait par-dessus la jambe.

Pour eux c’est juste du pognon facile, qui ne nécessite quasiment aucun boulot de leur part. Une escroquerie qui dure depuis des dizaines d’années…

#11

Rassure moi t’a pas essayé réellement avec www.mond_domaine.fr ? my bad je viens de voir ton messsage en privé :confused:

bah ton domaine il résoud pas depuis chez moi, du coup pas de challenge dns possible.
Les requirements sont pas foufou non plus :

https://certbot.eff.org/docs/install.html#system-requirements

à moins que tu fasse de l’exotique, tas la version officielle de l’installation décrite sur la page du projet : https://certbot.eff.org/

1 J'aime
#12

non quand même pas :joy:
Mais je ne suis pas du tout un habitué de debian je commence tout juste

1 J'aime
#13

Je ne suis pas sur de comprendre. Quand je fais un « dig » de Mon_domaine je le résous :o

Il y a peut-être des notions que je ne connais pas bien. peut-être que mon Virtualhosts est mal configuré ? Ou il faut créer un server DNS ?

Je vais regarder les requierement mais je ne suis pas habitué à ce genre de documentation je sens que je vais chercher une éguille dans une meule de foin.

#14

Bonjour, ou plutot bonsoir,

En fait la générationd e tes certificats CA, SUBCA, CSR, etc… dépend en fait de l’utilisation que tu veux en faire.

Si tu veux ouvrir au public, il te faut un certificat public. Sinon un autogénéré suffit.

La sécurité de ton certificat depend de la sécurité de ton CA.

personnellement j’ai un domaine public, qui pointe chez moi, sur plusieurs URL d’aillerus en fonction du service utilisé.
Il n’est pas ouvert au public mais à des personnes que je connais personnellement IRL.
la machine qui génère les certificats ne sert qu’à ça et à rien d’autre.
Elle n’est activée que pour gérer créer ou signer un certificat.
C’est une machine virtuelle qui se trouve sur une carte microSD. Elle n’est même pas sur mon PC.
Quand je m’en sert je pourrais tout aussi bien couper mon ordinateur du réseau.

A mins de mettre la main sur ma carte microSD, je ne vois pas comment on peut accéder aux certificats.

Chaque utilisation est donc connue et vérifier physiquement.

Ensiute la qualité des certificats, c’est surtout fonction des algorithmes utilisés, du nombre de bits de la clef, etc…

mes certificats me permettent d’avoir mes site reconnus de mes utilisation personnelles et de ceux à qui je donne l’accès.

Et enfin, certains de ces services ne peuvent être accessible que si on dispose d’un certificat utilisateur, en plus du login et du mot de passe.

de fait, je n’ai aucunement besoin d’un certificat même chez let"s encrypt.

et je me fout royalement de savoir si mes accès sont en vert où que ce soit ailleurs que sur mes utilisations.

#15

Merci Zargos pour ta réponse je comprends mieux l’intérêt maintenant il faut que j’arrive à comprendre la faisabilité !

#16

Choix personnel en effet, moi je préfère m’appuyer sur du certbot histoire de pas me casser la tête pour maintenir ma chaîne de certificat mais comme tu dit c’est un choix très personnel.

#17

Oui (hier j’avais apparemment des soucis de dns à la maison :/) par contre on ne le ping pas.

Il faut donc pour valider un certificat let’s encrypt à minma pouvoir atteindre ton serveur web.

La doc officielle précise de passer par les snap pour bénéficier de la version à jour sur Debian 10 : Certbot - Debianbuster Apache

Il te faudra donc avoir un nom de domaine qui pointe sur le serveur qui doit générer le certificat et héberge le serveur web.

Pour commencer ton site web est-il accessible depuis le net ? (à priori je dirais non)

#18

Je pense que c’est normal car je passe par une redirection de port et je n’ai pas fait de redirection port les requettes icmp

Normalement le nom de domaine que je t’ai envoyé en privé est le bon :o et il pointe sur Nextcloud
Pour moi il est accessible depuis l’extérieur

#19

j’utilise XCA. Une fois les templates fait, c’est assez rapide de faire les certificats.
j’ai un CA, puis 3 SUB CA qui eux même servent à faire ensuite les certificats serveurs et utilisateurs.
j’utilise des SUB CA pour ne pas avoir à exposer le CA principal.

#20

Impressionnant … Franchement je suis épaté je ne comprends rien à votre charabia mais c’est tellement bon de vous voir là présentement échanger des mots incompréhensives pour le commun des mortels !
NB : quel bonheur ! :))