[Tuto] Obtenir un certificat valide pour Domoticz sous Linux ou Mac

Vous avez crée un script lua dont vous êtes fier, un .sh génial, un programme python hors du commun, un tuto , c'est ici que vous pouvez les partager.
Soyez précis quant aux prérequis, les manips à faire pour que votre bijou fonctionne (des chmod ?, un apt-get à faire ...)
Décrivez précisément son fonctionnement
Placez votre code entre [Quote] et {/Quote]
vinchz31
Messages : 104
Enregistré le : 21 nov. 2016, 07:51

Re: [Tuto] Obtenir un certificat valide pour Domoticz sous Linux ou Mac

Message par vinchz31 »

C'est étrange, j'ai renouvelé il y a moins d'un mois exactement ainsi :

sudo service domoticz.sh stop
sudo /etc/init.d/apache2 stop
sudo /usr/bin/certbot renew --dry-run ###POUR TESTER ET S'ASSURER DE LA COMMUNICATION
sudo /usr/bin/certbot renew ###POUR EFFECTUER LE RENOUVELLEMENT

Tout a fonctionné du premier coup.
S'il indique "connection refused" c'est qu'a priori il arrive à joindre ton équipement au sens réseau du terme mais qu'ensuite il n'y a pas de réponse au niveau "applicatif".

N'aurais-tu pas un FireWall (ou iptable) que ce soit directement sur ta box domotique (raspberry ou autre) ou sur ta box ?

andpierard
Messages : 20
Enregistré le : 09 avr. 2019, 20:17

Re: [Tuto] Obtenir un certificat valide pour Domoticz sous Linux ou Mac

Message par andpierard »

vinchz31 a écrit :
09 juil. 2019, 19:21
C'est étrange, j'ai renouvelé il y a moins d'un mois exactement ainsi :

sudo service domoticz.sh stop
sudo /etc/init.d/apache2 stop
sudo /usr/bin/certbot renew --dry-run ###POUR TESTER ET S'ASSURER DE LA COMMUNICATION
sudo /usr/bin/certbot renew ###POUR EFFECTUER LE RENOUVELLEMENT

Tout a fonctionné du premier coup.
S'il indique "connection refused" c'est qu'a priori il arrive à joindre ton équipement au sens réseau du terme mais qu'ensuite il n'y a pas de réponse au niveau "applicatif".

N'aurais-tu pas un FireWall (ou iptable) que ce soit directement sur ta box domotique (raspberry ou autre) ou sur ta box ?
Bonsoir,
Non, pas de firewall.
au niveau applicatif, quel est le service qui est censé être accessible au moment du renouvellement ?
Une précision, lors de la génération du certificat, j'ai utilisé un raspberry de test, j'ai ensuite copié le certificat généré sur le serveur domoticz (aussi raspberry). Quand j'essaie de renouveler le certificat, je le fais à nouveau de mon raspberry test. Est ce correct ?

vinchz31
Messages : 104
Enregistré le : 21 nov. 2016, 07:51

Re: [Tuto] Obtenir un certificat valide pour Domoticz sous Linux ou Mac

Message par vinchz31 »

Normalement la génération du certificat se fait depuis la cible. Je n'ai jamais essaye de la faire depuis un autre équipement donc je ne sais pas dire si Ok ou pas...

En revanche la redirection de ports se fait vers quel raspberry ? Il faut que ce soit vers l'IP de celui sur lequel on execute la commande de renouvellement...

andpierard
Messages : 20
Enregistré le : 09 avr. 2019, 20:17

Re: [Tuto] Obtenir un certificat valide pour Domoticz sous Linux ou Mac

Message par andpierard »

vinchz31 a écrit :
11 juil. 2019, 23:21
Normalement la génération du certificat se fait depuis la cible. Je n'ai jamais essaye de la faire depuis un autre équipement donc je ne sais pas dire si Ok ou pas...

En revanche la redirection de ports se fait vers quel raspberry ? Il faut que ce soit vers l'IP de celui sur lequel on execute la commande de renouvellement...
Bonjour vinchz31,
oui, la redirection de ports 80 et 443 adresse le raspberry où la commande de renouvellement s'exécute.
J'ai effectué le renouvellement avec apache2 actif sur le port 80, j'ai reçu en retour le code erreur 404 ce qui pour moi semble indiquer que le routage est correct. Je suis pour le moment en vacances, je recommencerai mes investigations à mon retour. Le certificat sera expiré, je verrai comment réagit le serveur domoticz.
Et au pire, retour au certificat de base.
Merci de ton aide.

alpin38
Messages : 61
Enregistré le : 02 juil. 2015, 11:14

Re: [Tuto] Obtenir un certificat valide pour Domoticz sous Linux ou Mac

Message par alpin38 »

bonjour

pour compléter le tuto , maintenant sur la dernière version de Raspbian , il y a une manip pour installer les Backports de debian (pour pourvoir entre autre installer cerbot)

si apres avoir ajouté la ligne "
deb http://deb.debian.org/debian stretch-backports main
" dans
/etc/apt/sources.list
vous avez l'erreur suivante lors du
apt-get update
...
W: GPG error: http://ftp.debian.org jessie-backports InRelease:
The following signatures couldn't be verified because the public
key is not available: NO_PUBKEY 8B48AD6246925553 NO_PUBKEY
7638D0442B90D010

loggez vous en su
sudo su
entrez cette commande
gpg --keyserver pgp.mit.edu --recv-keys \
7638D0442B90D010 8B48AD6246925553
...
gpg: requesting key 2B90D010 from hkp server pgp.mit.edu
gpg: requesting key 46925553 from hkp server pgp.mit.edu
gpg: key 2B90D010: public key "Debian Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>" imported
gpg: key 46925553: public key "Debian Archive Automatic Signing Key (7.0/wheezy) <ftpmaster@debian.org>" imported
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0 valid: 1 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: next trustdb check due at 2018-08-19
gpg: Total number processed: 2
gpg: imported: 2 (RSA: 2)

puis
gpg --armor --export 7638D0442B90D010 | apt-key add -
...
ok

et cette derniere
gpg --armor --export 8B48AD6246925553 | apt-key add -
...
ok
$ exit
$ sudo apt-get update
...
Hit http://ftp.debian.org jessie-backports InRelease
...
Reading package lists... Done

bon courrage , (le tuto original est ici : https://rolfje.wordpress.com/2017/06/09 ... backports/ )

andpierard
Messages : 20
Enregistré le : 09 avr. 2019, 20:17

Re: [Tuto] Obtenir un certificat valide pour Domoticz sous Linux ou Mac

Message par andpierard »

andpierard a écrit :
12 juil. 2019, 10:29
vinchz31 a écrit :
11 juil. 2019, 23:21
Normalement la génération du certificat se fait depuis la cible. Je n'ai jamais essaye de la faire depuis un autre équipement donc je ne sais pas dire si Ok ou pas...

En revanche la redirection de ports se fait vers quel raspberry ? Il faut que ce soit vers l'IP de celui sur lequel on execute la commande de renouvellement...
Bonjour vinchz31,
oui, la redirection de ports 80 et 443 adresse le raspberry où la commande de renouvellement s'exécute.
J'ai effectué le renouvellement avec apache2 actif sur le port 80, j'ai reçu en retour le code erreur 404 ce qui pour moi semble indiquer que le routage est correct. Je suis pour le moment en vacances, je recommencerai mes investigations à mon retour. Le certificat sera expiré, je verrai comment réagit le serveur domoticz.
Et au pire, retour au certificat de base.
Merci de ton aide.
Bonsoir,
Voici le topo, j'avais l'espoir de trouver la solution suite au post d'alpin38 du 27 juillet mais hélas, je suis toujours dans la même situation.J'ai aussi essayé de tout réinstaller en suivant le tuto depuis le début. Pas plus de chance... étant donné que je n'ai pas les connaissances suffisantes sur certbot et que j'ai déjà suffisamment perdu de temps sur ce sujet, je vais essayer de réinstaller le certificat domoticz. Je ne comprends toujours pas où ça coince et ça, ça m'ennuie fortement. Merci à tous pour votre aide.

marsflow
Messages : 69
Enregistré le : 25 mai 2017, 20:42
Localisation : Landes

Re: [Tuto] Obtenir un certificat valide pour Domoticz sous Linux ou Mac

Message par marsflow »

alpin38 a écrit :
27 juil. 2019, 11:35
bonjour

pour compléter le tuto , maintenant sur la dernière version de Raspbian , il y a une manip pour installer les Backports de debian (pour pourvoir entre autre installer cerbot)

si apres avoir ajouté la ligne "
deb http://deb.debian.org/debian stretch-backports main
" dans
/etc/apt/sources.list
vous avez l'erreur suivante lors du
apt-get update
...
W: GPG error: http://ftp.debian.org jessie-backports InRelease:
The following signatures couldn't be verified because the public
key is not available: NO_PUBKEY 8B48AD6246925553 NO_PUBKEY
7638D0442B90D010

loggez vous en su
sudo su
entrez cette commande
gpg --keyserver pgp.mit.edu --recv-keys \
7638D0442B90D010 8B48AD6246925553
...
gpg: requesting key 2B90D010 from hkp server pgp.mit.edu
gpg: requesting key 46925553 from hkp server pgp.mit.edu
gpg: key 2B90D010: public key "Debian Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>" imported
gpg: key 46925553: public key "Debian Archive Automatic Signing Key (7.0/wheezy) <ftpmaster@debian.org>" imported
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0 valid: 1 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: next trustdb check due at 2018-08-19
gpg: Total number processed: 2
gpg: imported: 2 (RSA: 2)

puis
gpg --armor --export 7638D0442B90D010 | apt-key add -
...
ok

et cette derniere
gpg --armor --export 8B48AD6246925553 | apt-key add -
...
ok
$ exit
$ sudo apt-get update
...
Hit http://ftp.debian.org jessie-backports InRelease
...
Reading package lists... Done

bon courrage , (le tuto original est ici : https://rolfje.wordpress.com/2017/06/09 ... backports/ )

Bonjour à vous,

j'ai ce problème en faisans ce que tu as marqué :

Code : Tout sélectionner

gpg: failed to start the dirmngr '/usr/bin/dirmngr': Aucun fichier ou dossier de ce type
gpg: connecting dirmngr at '/root/.gnupg/S.dirmngr' failed: Aucun fichier ou dossier de ce type
gpg: keyserver receive failed: Pas de dirmngr
root@raspberrypi:/home/pi# gpg --keyserver pgp.mit.edu --recv-keys
root@raspberrypi:/home/pi# gpg --keyserver pgp.mit.edu --recv-keys
root@raspberrypi:/home/pi# gpg --keyserver pgp.mit.edu --recv-keys \
j'ai testé avec tes clés
gpg --keyserver pgp.mit.edu --recv-keys \
7638D0442B90D010 8B48AD6246925553
et mes clés
gpg --keyserver pgp.mit.edu --recv-keys \
04EE7237B7D453EC 7638D0442B90D010

mais rien à faire ça ne passe pas :lol:

Merci pour votre futur aide :D
Nas
Asustor AS-608T WD2x4TB WD SE
Western Digital Sharespace WD4x2TB Green edition

Ordinateur
Asus N750JV-T4222H
(Asus M2N32-Sli Wifi édition
Nvidia Geforce 510
Processeur AMD Athlon 64 X2 Dual core 3000+)

Téléphone
Samsung Galaxy Note 1, 2 et 3, 5

sidwin9
Messages : 4
Enregistré le : 24 avr. 2019, 22:10

Re: [Tuto] Obtenir un certificat valide pour Domoticz sous Linux ou Mac

Message par sidwin9 »

Bonjour,

Depuis aujourd'hui et pour une raison inconnu il m'est impossible de renouveler mon certificat SSL. J'ai une Freebox avec un nom de domaine, certbot installé mon serveur Domoticz sur Raspberry et je redirige temporairement le port 80 vars 8080 à l'adresse IP locale de mon Domoticz.

Help, mon certificat expire dans 3 jours.

Chrominator
Messages : 522
Enregistré le : 19 déc. 2015, 07:29

Re: [Tuto] Obtenir un certificat valide pour Domoticz sous Linux ou Mac

Message par Chrominator »

Impossible de te répondre avec si peu d'éléments.

Poste au moins la trace de l’exécution du renouvellement par certbot pour qu'on sache pourquoi il n'est pas content.

secator
Messages : 42
Enregistré le : 10 nov. 2018, 18:26

Re: [Tuto] Obtenir un certificat valide pour Domoticz sous Linux ou Mac

Message par secator »

bonjour,
impossible de renouveler mon certificat alors que ça a toujours bien fonctionné. voici l'erreur lorsque je lance la commande :

sudo certbot renew --dry-run

Attempting to renew cert (xxxxxxxxxxxxxxxxx) from /etc/letsencrypt/renewal/xxxxxxxxxxxxx.conf produced an unexpected error: urn:ietf:params:acme:error:malformed :: The request message was malformed :: Method not allowed. Skipping.
All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/xxxxxxxxxxxxxx/fullchain.pem (failure)

merci d'avance pour votre aide.

Répondre