Le ssl vous connaissez certainement, il s’agit du protocole de sécurisation utilisé dans les échanges sur internet. Il vous permet par exemple de réaliser des achats en ligne en toute sécurité. Il s’agit en fait d’un certificat qui se charge d’encrypter les données qui transitent via ce protocole, afin que celle-ci reste indéchiffrable de bout en bout de la connexion. Votre Jeedom pilote votre maison, il contient donc pas mal d’informations. Afin de pouvoir le piloter depuis l’extérieur, vous avez certainement ouvert un port sur votre box pour y accéder de n’importe où.
Bien sûr, j’ose espérer que vous avez également remplacé le mot de passe admin par défaut! Vous aurez également pris soin de faire en sorte que ce mot de passe ne soit pas trop simple cela va de soi. Pourtant encore trop de personnes utilisent un mot de passe générique. Je le vois tous les jours dans les forets Active Directory que j’administre au travail, parfois certains mots de passe sont si simple qu’il serait plus difficile de le trouver si c’était 1234 🙂 Je ne vous parle même pas des personnes qui, par peur de l’oublier, le notent sur un post-it sur le bord de l’écran… Bref, je m’égare! Tout ça pour dire que le mot de passe est important, surtout quand vous êtes en frontale sur internet, alors ne le négligez pas!
Vous disposez donc à présent d’un bon mot de passe, dans le “jargon IT”, on appelle ça un mot de passe fort. C’est bien, mais la sécurité n’étant pas une affaire à prendre à la légère sur internet, passons notre Jeedom DIY en HTTPS pour encore plus de sécurité.
À qui s’adresse cette procédure de sécurisation HTTPS pour Jeedom ?
À tous, mais en particulier à ceux qui comme moi ont monté un Jeedom maison sur un Raspberry pi ou autre et donc qui ne possède pas de service pack. En effet, si vous possédez un service pack Jeedom, la procédure est plus simple, elle ne consiste qu’à cocher une case dans l’administration. Pour les autres, n’ayez crainte, il ne s’agit pas d’une procédure très lourde. Et puis je vous ai mâché le travail, vous n’avez qu’a suivre les étapes ci-dessous et tout ira bien.
Edit du 01/02/2018
Un nouveau guide permettant de sécuriser Jeedom via une nouvelle méthode exempte de la faille de sécurité Let’s Encrypt est disponible.
Comment sécuriser l’accès à Jeedom en HTTPS avec un certificat SSL gratuit
Voilà déjà la troisième version de notre célèbre guide pour sécuriser l’accès à Jeedom installé plus communément sur un Raspberry Pi, mais cette procédure fonctionne également parfaitement sur une VM, un PC ou tout autre support qui héberge Jeedom. Toujours…
Les prérequis nécessaires
Afin de génère un certificat Let’s encrypt gratuit, il faut disposer d’un nom de domaine. Pour ma part j’ai généré mon nom de domaine depuis ma freebox révolution. Il est effectivement possible de disposer d’un nome de domaine privé gratuit avec free. Pour cela, rendez-vous dans freebox OS / Paramètres de la freebox / Nom de domaine /Ajouter un nom de domaine.
À l’issue de cette étape, vous disposez d’un nom de domaine du type mondomaine.freeboxos.fr. Notez le, il sera utile pour plus tard.
Par ou commencer coté Jeedom?
1. Pour commencer, il faut se connecter en ssh à Jeedom. Pour cela utiliser Putty et connectez-vous sur l’adresse IP locale de votre Jeedom
Les identifiants pour la connexion dépendent de la source d’installation.
- Si vous disposez d’une ancienne installation de Jeedom, il y a de grande chances que les identifiants soient: root/ Mjeedom96
- Si vous avez réalisez l’installation il y a peu sur un Raspberry Pi depuis les dépôts de Raspbian, les identifiants sont: pi / raspberry
- Si vous avez installé votre Jeedom sur une distribution Debian, alors les identifiants sont les suivants: debian / debian
2. A présent, passez les commandes suivantes
apt-get install -y git cd /opt git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt sudo ./letsencrypt-auto --help
Si tout se passe bien, à l’issue de la dernière commande vous obtenez l’écran suivant
3. Maintenant que tout est installé, il faut encore déclarer un nouveau certificat. Pour cela, passez la commande suivante dans putty en veillant bien à remplacer le mail et le nome de domaine pas les vôtres.
/opt/letsencrypt/letsencrypt-auto --apache --email monmail@domo-blog.fr -d mondomaine.freeboxos.fr
Acceptez les modalités par A
4. A présent, vous devez choisir un type d’accès, choisissez la méthode sécurisée en saisissant 2
5. Votre certificat est à présent enregistré. Vous pouvez vérifier son état à l’adresse suivante (pensez à modifier mondomaine.freeboxos.fr par votre nom de domaine.
https://mondomaine.freeboxos.fr/
Dernière configuration côté portail Jedom
Encore une petite config du côté de l’interface graphique de Jeedom cette fois ci (portail)
Notez également qu’il vous faudra appliquer une redirection de port du coté de votre routeur sur le port 443
Renouvellement du certificat
Enfin, pour plus tard, sachez que les certificats ssl ne sont pas éternels et nécessitent un renouvellement, le moment venu, vous n’aurez qu’a vous connecter à votre Jeedom via Putty et passer la commande suivante. Prenez soin de remplacer mondomaine.fr par le votre bien sur.
/opt/letsencrypt/letsencrypt-auto --apache --renew-by-default -d mondomaine.fr
Conclusion
Pour conclure, votre Jeedom est maintenant correctement sécurisé. Outre la sécurité, cette étape est également un prérequis pour utiliser Jeedom avec Télegram par exemple. Nous verrons tout cela dans un autre article, alors restez connectés !
“Les identifiants pour la connexion sont: root/ Mjeedom69”
c’est Mjeedom96, non ? 😉
roooh oui ! faute de frappe! je corrige merci 😉
Salut et merci pour cet article.
Ca fait un moment que j’ai envi de passer jeedom en https mais j’ai un peu peur de mettre les mains dans le cambouis ton article me permet d’y voir un peu plus clair.
J’ai cepandant une question, j’ai deja un certificat let’s encrypt sur mon nas wwww.mydomain.com est-ce incompatible avec un nouveau certificat sur le meme non de domaine pour jeedom sachant que j’accede a mon jeedom comme ceci http://www.mydomain.com:xxxx ( j’ai un port dédié pour accéder a mon jeedom)
Merci
Salut, aucun soucis a mon avis. cela revient au même que ce que je présente dans l’exemple avec ma freebox, si la redirection de ports est correcte sur ton routeur derrière, tu n’aura aucun problème.
Ok merci.
Est ce que cela signifie un certificat différent pour mon url wwww.mydomain.com (Acces a mon serveur web) et un certification pour mon url http://www.mydomain.com:xxxx (Acces a jeedom) ?
Le certificat est propre au nom de domaine donc pas de soucis, il faut juste que tu configure correctement la redirection sur ton routeur.
Un certificat pour une adresse ne fonctionnera que pour un serveur qui héberge la clef liée au certificat… à moins d’utiliser un reverse proxy : alors le serveur assure la connexion SSL, et puis redirige vers un autre serveur. Cf ici : http://sarakha63-domotique.fr/reverse-proxy-sur-nas-synology-ssl/ (je t’ai répondu plus haut à ce sujet).
Hello !
Merci pour ton article, j’étais justement en phase de réflexion pour sécuriser mon jeedom.
A la création d’un nom de domaine depuis ma freebox, elle m’a proposé une sécurisation SSL par certificat Let’s encrypt. Je peux donc passer directement à config côté Jeedom ?
Autre question, au niveau des ports ouverts, j’ai lu qu’il était déconseillé d’utiliser le port 80. Qu’en pense-tu ?
De rien! Dans la mesure ou tu as déjà un nom de domaine, tu peux passer à l’étape de configuration Jeedom, ca devrait passer. fait le test tu verra, sinon applique la procédure complète.
Pour ce qui est du port 80 le protocole https n’utilisant pas ce port mais le 443, pas de pb. (pour info, le 80 est le port HTTP)
Tu ne précise pas dans ton article qu’il faut ouvrir le port 443 vers l’IP de Jeedom, cela est interessant de le souligner
En effet, ce me parait évident, mais pas pour tout le monde, je vais le rajouter. Merci
Zut tu l’as pas ajouté… 🙂 enfin c’est pas grave je lis les commentaire 😀
Cela veut dire qu’on peut pas le faire de cette facon si on veut utiliser un autre port? obligés à 443?
En effet, je vais m’en occuper 😉
En fait oui, car par convention, le protocole https utilise le port 443, tu dois donc utiliser ce dernier!
Bonjour,
Ca fait des lustres que je me disais de sécuriser en https ma connexion mais sans trouver réellement comment faire.
J’ai ENFIN trouvé LE bon tuto !
Ca marche nickel !!!
Merci beaucoup
de rien! 😉
Bonjour,
Petite question supplémentaire, pour le renouvellement automatique sans prompt (un moment ça demande 1 ou 2), y’a t il possibilité d’avoir une commande completement automatique ? (je planifierai cela dans jeedom tous les 2 mois par exemple)
Merci
Malheureusement je crain que ce ne soit pas possible sans passer par la console 🙁 Ca reste tout de même une piste à explorer, l’idée est bonne !
Je me suis mal exprimé, je veux/peux bien envoyer une commande dans la console (via le plugin script de jeedom) le tout est de trouver la bonne sans qu’il demande des infos à rentrer manuellement.
Merci
Non, non, j’avais bien compris 🙂 Mais je ne vois pas comment gérer tout en une seule et même commande. La commande impose fatalement une validation. Maintenant, il existe peut être un type de commande avec argument qui permettrai de forcer la réponse… Mais là, je ne sais pas du tout !
Bonjour,
Merci pour ce tuto 🙂
Par contre j’ai un message d’erreur après le:
/opt/letsencrypt/letsencrypt-auto –apache –email monmail@domo-blog.fr -d mondomaine.freeboxos.fr
(j’ai bien sur modifié les infos par les miennes)
Le message d’erreur que j’ai c’est:
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Failed to find apache2ctl in PATH: /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
The apache plugin is not working; there may be problems with your existing configuration.
The error was: NoInstallationError(‘Cannot find Apache control command apache2ctl’,)
Aurais-tu une idée?
Encore merci
Salut,
c’est sans doute car ton Jeedom ne tourne pas sur Apache mais sur Nginx
Essaye avec la commande suivante: (en remplaçant les infos par les tiennes)
./letsencrypt-auto certonly –email monmail@domo-blog.fr -d mondomaine.freeboxos.fr -a webroot –webroot-path /usr/share/nginx/www/
si elle fonctionne, il faudra éditer le fichier default qui se trouve ici:
sudo nano /etc/nginx/sites-enabled/default
recherche la ligne: server {
et ajoute les ligne suivantes juste après
listen 80;
listen 443 ssl;
ssl_certificate /etc/nginx/ssl/ mondomaine.freeboxos.fr.crt;
ssl_certificate_key /etc/nginx/ssl/ mondomaine.freeboxos.fr.key;
ssl_session_timeout 5m;
pour finir, un restart de nginx pour prendre en compte:
service nginx restart
Je n’ai pas testé sur ce type de serveur alors je ne garantie pas le résultat, tiens moi informé 😉
Salut,
Merci pour ces infos.
Il est important de préciser également que si l’on a acheté un box jeedom ou un petit pack, on a droit au service de DNS jeedom qui gère le https.
Une simple activation sur son compte (sur le site du market en ligne ) et une case à cochée dans la conf de jeedom et ca marche tout seul.
* Par contre j’ai du mal à saisir comment l’url https://xxxxxxx.dns3.jeedom.com fait pour traverser automatiquement mon routeur sans que j’ai la moindre règle à renseigner
* Je suppose que l’installation du certificat se fait automatiquement par jeedom
++
Non pas de certificat dans cette configurfation
Seul la communication avec le serveur dns se fait en https ,celle entre le serveur et le jeedom se fait par un tunnel vpn donc pas besoin de routage puisque c’est initié a la base par une communication sortante
La sécurisation d’une box domotique par une simple activation du protocole https me parait vraiment léger. On parle la du coeur du système de votre domicile!
De mon coté j’ai mis en place ce qui me parait être le minimum : Un VPN (OpenVPN) avec authentification par certificat + password.
C’est simple à mettre en place et il existe un client pour PC, mac, Android, Iphone, Linux, etc… et un serveur OpenVPN s’installe sur un simple raspberry. Vous aurez de plus accès par ce biais à n’importe qu’elle machine sur votre réseau, pas seulement Jeedom ou autres…
Avec simplement du https, une simple faille dans jeedom et hop vous êtes vulnérables à des millions d’attaquants. Pas top…
C’est sur pas top, mais comment fais tu dans mon cas ?
J’envoie très regulièrement des commandes tasker en automatique de mon tel android vers mon jeedom (si je suis en voiture, travail etc …).
Bien naturellement je pourrais le faire par vpn mais ça voudrait direr VPN en permanence et mais du coup tout ton flux par par ta box (je suis donc limité à 1m qui est l’upload de ma box).
J’ouvre donc le 443 pour autoriser mes requetes tasker et bien sur pour prendre jeedom a distance.
De plus ça m’arrive de me connecter du boulot, et je peux faire faire de pont vpn entre le boulot et chez moi 🙁
Ce n’est pas parce que tu monte un VPN que tu dois rediriger tout ton traffic dessus. C’est une option d’openvpn (redirect-gateway) que tu n’est pas obligé d’activer. De façon standard les flux vers ton jeedom sont redirigé vers ton VPN et les autres passes (Internet) passent par ta connexion 4G directement (routage).
Depuis ton boulot si tu ne peux pas installer le client OpenVPN sur ton poste alors oui tu est bloqué mais si tu l’as déjà sur ton téléphone, il n’y a pas de problème.
Perso je suis sous android et j’essaye de passer par les parametres intégrés vpn de mon galaxy s7.
J’ai bien trouvé l’endroit où je route que mes flux en 192.x.x.x.
Par contre j’ai un soucis lorsque je souhaite maintenir cette connexion en permanence il veut pas se connecter .. bref c’est un probleme de mon tel, quelle est la meilleure appli sur android pour faire ce fameux vpn ?
Du coup sur la freebox je suppose que je ne passerai plus sur du VPN PPTP ou IPsec mais openvpn c’est ça ?
Je ne connais pas la freebox mais avec un simple raspberry tu peux te monter un serveur Openvpn.
Tu n’as pas a aller dans les paramètre de ton Galaxy. TU install l’application officielle :
https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=fr
ou une non offcielle :
https://play.google.com/store/apps/details?id=de.blinkt.openvpn&hl=fr
Un petit tuto très simple :
https://korben.info/installer-openvpn.html
Merci pour ce tuto. Fonctionne très bien. A noté qu’il faut avant de faire la conf sous SSH de bien ouvrir le port 443 sur le routeur sinon erreur. Pour finir, possible d’automatiser le renouvellement de la clé? Merci encore
salut a tous , je suis bien embêté : plantage durant l’installation -> ./letsencrypt-auto –help
# Selecting previously unselected package libmpdec2:armhf.
# dpkg: unrecoverable fatal error, aborting:
# files list file for package ‘cifs-utils’ is missing final newline
# E: Sub-process /usr/bin/dpkg returned an error code (2)
zut de zut …
une Idée ????
HELP
Bonjour !
Super article, merci beaucoup. J’avais cherché il y a quelques mois comment passer en HTTPS mais cette perle n’était pas encore publiée… voilà qui fait mon affaire 🙂
Je reviens avec un problème similaire à celui de “ouquoi” (plus bas), à savoir que j’ai un NAS accessible en HTTPS sur le même réseau (port 443). J’aimerais donc pouvoir accéder à mon NAS via https://mon-domaine.blabla.com (comme c’est le cas aujourd’hui) et à Jeedom via mon-domaine.blabla.com:4545 .
J’ai correctement installé Let’s encrypt, puis j’ai tenté la création du certificat pour “mon-domaine.blabla.com”. Erreur :
“- The following errors were reported by the server:
Domain: mon-domaine.blabla.com
Type: unauthorized
Detail: Incorrect validation certificate for TLS-SNI-01 challenge.
(…) certificate had names “synology.com”
To fix these errors, please make sure that your domain name was
entered correctly and the DNS A record(s) for that domain
contain(s) the right IP address.”
Après avoir lu le message de “ouquoi”, j’ai tenté à tout hasard la même commande en spécifiant le port “4545” :
/opt/letsencrypt# /opt/letsencrypt/letsencrypt-auto –apache –email moi@blabla.com -d mon-domaine.blabla.com:4545
…mais ça ne passe pas ^^ (Invalid character in DNS name)
Saurais-tu comment je dois procéder pour créer le certificat sur le Raspi ?
J’ai pensé éventuellement créer un CNAME “jeedom.blabla.com” qui renvoie sur “mon-domaine.blabla.com”, mais comme ça pointe au final sur la même adresse IP externe.. je doute que ça soit utile.
Merci d’avance pour ton aide 🙂
KiR.
Hello,
Tu sembles vouloir certifier un nom de domaine qui l’est déjà, l’erreur vient certainement de la, tu peux essayer en redirigeant un port vers ton jeedom depuis ton routeur, ca peut fonctionner. Sinon, il faudra definir un nouveau nom de domaine.
Salut as tu trouver une solution a ton probleme qui est le mien également.
Merci
La solution est ici : http://sarakha63-domotique.fr/reverse-proxy-sur-nas-synology-ssl/
Chez moi ça plante au moment de créer le certificat… mais ça semble fonctionner pas mal chez d’autres utilisateurs d’un syno + raspi.
Bonjour a tous, je suis en pleine migration de mon Jeedom vers un nuc
(debian en natif), et j’ai un soucis lors de l’installation de
l’https…
je pense avoir un soucis d’incompatibilite entre python et le module pyparsing (pyparsing==2.2.0)
./letsencrypt-auto –help
Creating virtual environment…
Traceback (most recent call last):
File “/usr/bin/virtualenv”, line 5, in
from pkg_resources import load_entry_point
File “/usr/local/lib/python3.4/dist-packages/pkg_resources/__init__.py”, line 72, in
import packaging.requirements
File “/usr/local/lib/python3.4/dist-packages/packaging/requirements.py”, line 9, in
from pyparsing import stringStart, stringEnd, originalTextFor, ParseException
ImportError: No module named ‘pyparsing’
Merci d’avance de votre aide !
Cordialement
Cedric
Bonjour,
Un grand merci pour ce très bon tuto.
Cependant j’ai un soucis dès la première commande :
root@jeedom:~# apt-get install -y git
Reading package lists… Done
Building dependency tree
Reading state information… Done
git is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
W: Unable to read /etc/apt/apt.conf.d/ – DirectoryExists (2: No such file or directory)
W: Unable to read /etc/apt/sources.list.d/ – DirectoryExists (2: No such file or directory)
W: Unable to read /etc/apt/sources.list – RealFileExists (2: No such file or directory)
W: Unable to read /etc/apt/preferences.d/ – DirectoryExists (2: No such file or directory)
root@jeedom:~#
Auriez-vous une idée ?
Bonjour,
D’apres les retours de la commande, les paquets sont deja presents! Il faut alors passer à l’etape suivante.
Bonjour,
Merci de votre réponse.
Les paquets sont déjà présent car j’avais déjà lancer les commandes (je pense).
Ce qui me semblait bizarre c’était les erreur de répertoire ?
J’ai continué les étapes mais lors de la commande : “./letsencrypt-auto –help” j’ai les erreur suivantes :
root@jeedom:/opt/letsencrypt# ./letsencrypt-auto –help
Bootstrapping dependencies for Debian-based OSes… (you can skip this with –no-bootstrap)
Reading package lists… Done
W: Unable to read /etc/apt/apt.conf.d/ – DirectoryExists (2: No such file or directory)
W: Unable to read /etc/apt/sources.list.d/ – DirectoryExists (2: No such file or directory)
W: Unable to read /etc/apt/sources.list – RealFileExists (2: No such file or directory)
W: Unable to read /etc/apt/apt.conf.d/ – DirectoryExists (2: No such file or directory)
W: Unable to read /etc/apt/sources.list.d/ – DirectoryExists (2: No such file or directory)
W: Unable to read /etc/apt/sources.list – RealFileExists (2: No such file or directory)
W: You may want to run apt-get update to correct these problems
E: No packages found
No LSB modules are available.
No LSB modules are available.
No libaugeas0 version is available that’s new enough to run the
Certbot apache plugin…
Reading package lists… Done
Building dependency tree
Reading state information… Done
Package python-virtualenv is not available, but is referred to by another package.
This may mean that the package is missing, has been obsoleted, or
is only available from another source
W: Unable to read /etc/apt/apt.conf.d/ – DirectoryExists (2: No such file or directory)
W: Unable to read /etc/apt/sources.list.d/ – DirectoryExists (2: No such file or directory)
W: Unable to read /etc/apt/sources.list – RealFileExists (2: No such file or directory)
W: Unable to read /etc/apt/preferences.d/ – DirectoryExists (2: No such file or directory)
E: Package ‘python-virtualenv’ has no installation candidate
E: Unable to locate package libaugeas0
E: Unable to locate package augeas-lenses
E: Unable to locate package libffi-dev
root@jeedom:/opt/letsencrypt#
la, il semble qu’un sudo apt-get update soit requis
Je l’avais fais mais même résultat.
(Je n’ai pas de répertoire apt )
root@jeedom:/opt/letsencrypt# sudo apt-get update
Reading package lists… Done
W: Unable to read /etc/apt/apt.conf.d/ – DirectoryExists (2: No such file or directory)
W: Unable to read /etc/apt/sources.list.d/ – DirectoryExists (2: No such file or directory)
W: Unable to read /etc/apt/sources.list – RealFileExists (2: No such file or directory)
Bonjour,
Merci énormément pour ces explications claires, étant débutant je suis méthodiquement en essayant de comprendre mais à l’exécution de l’étape 3 j’ai l’erreur suivante:
ImportError: No module named ‘pyparsing’
Savez vous d’où vient ce problème?
Merci d’avance
bonjour,
J’ai l’erreur ImportError: No module named ‘pyparsing’
J’ai tapé la commande Pyhton3.4 -m pip….
mais j’ai commande introuvable!!!
Une idée ?
Par avance merci de vos conseils eclairés 🙂
Bonne soirée
RE
auto réponse.
la méthode marche impeccablement bien. juste le bonhomme qui ne sait pas lire correctement les commandes.
merci
Bonne nouvelle! Car j’etais sec sur ce coup là 😉
Bonjour,
je dois être un couillon car j’ai le meme problème à savoir commande introuvable lorsque je tape la commande Python3.4 -m pip install pyparsing … sauf que moi je ne trouve pas la solution …
Merci pour votre aide !
Bin, on est 2 … pourtant je l’ai fait à l’époque du tuto ;-(
mais comme j’ai une petite tête, et que maintenant, je veux recréer un nouveau certificat pour un sous domaine, j’ai l’erreur ImportError: No module named ‘pyparsing’
j’ai beau taper : “pip install pyparsing” , ça ne corrige pas …
si quelqu’un qui a réussi pouvait détailler, ça serait vraiment sympa et aurait ma reconnaissance éternelle 😉
Bon, effectivement, je suis neuneu .. c’est les majuscules … grr
donc voilà, ce qu’il taper :
cd letsencrypt
python3.4 -m pip install pyparsing
python3.4 -m pip install appdirs
./letsencrypt-auto –help
encore merci Aurel pour ton tuto
de rien, j’ai cramé mon Jeedom suite à la mAJ, je vais refaire une install complète, je vais en profiter pour tester de nouveau le tuto avec la v3 et peut être le mettre à jour au passage 😉
moi jeedom installé sur un nuc avec un ssd ..
ça fonctionne nickel (bluetooth, telegram) mais j’ai tout de même mon eedomus+ et les 2 ensembles, c’est parfait
Bonjour, Merci pour ce tuto. Cependant, lorsque je le suis à la lettre, la création du certificat échout et j’obtiens l’erreur :
Failed authorization procedure. XXXXXX.freeboxos.fr (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect validation certificate for tls-sni-01 challenge. Requested dc7ce59ce0956c2d8904bf60464e782c.2d63b2d483833b52faf979e2e7787eeb.acme.invalid from [2a01:e34:ed02:3860::1]:443. Received 2 certificate(s), first certificate had names “XXXXXXX.freeboxos.fr”
IMPORTANT NOTES:
– The following errors were reported by the server:
Domain: XXXXXX.freeboxos.fr
Type: unauthorized
Detail: Incorrect validation certificate for tls-sni-01 challenge.
Requested
dc7ce59ce0956c2d8904bf60464e782c.2d63b2d483833b52faf979e2e7787eeb.acme.invalid
from [2a01:e34:ed02:3860::1]:443. Received 2 certificate(s), first
certificate had names “XXXXXXXX.freeboxos.fr”
To fix these errors, please make sure that your domain name was
entered correctly and the DNS A record(s) for that domain
contain(s) the right IP address.
Une idée sur la façon de résoudre le problème ?
Merci d’avance !
Même problème, et je n’ai pas trouvé de solutions, quelqu’un pour nous aider!?
Bonjour, Merci beaucoup pour le tuto,
En revanche petit soucis, je suis à la lettre le tuto arriver a la fin quand j’ai enregistrer le certificat le message avec Congratulation s’affiche bien, par contre quand je veux allez sur la console de jeedom cela ne fonctionne plus voir sur les captures d’écrans ci jointes –
Dans l’attente merci pour votre aide 😉
https://uploads.disquscdn.com/images/d8e577cb53b6a90bd240ae6d47e3fca9663319f74f9bfe969377527efb5a224f.png https://uploads.disquscdn.com/images/6fa93d2943870978699347cb8f9d94a9e87fab2719481216837d19c94bf59f53.png
Bonjour,
c’est étrange! Dans les logs que tu postes, le système dit ne pas trouver apache, je pense que le problème vient de là!
Soit, tu a une version de Jeedom qui ne tourne pas avec Apache, soit apache est corrompue sur ta distrib, essaye de le réinstaller, cela corrigera peut être le problème.
Bonjour Aurel et merci pour ta réponse, peut tu m’indiquer vers quelle image de jeedom je peut me diriger ? Merci
Jeedom ne s’installe plus avec une image mais en lançant 3 lignes de commande sur une install Debian (et là oui pour Debian, en fonction de ton matériel, tu peux utiliser une image 😉 )
Ok merci Vincent, j’en était encor à l’installer avec netinstal. Du coup que me conseille tu sur un raspberry pi 3 ? Et pour les lignes de commandes pour install de jeedom après ?
Bonjour déjà merci pour le site et toutes les infos, je débute en domotique, raspberry et jeedom..
J’ai bien avancé mais je bute sur la connexion à jeedom par ssh. En effet si je tape root puis Mjeedom96, j’ai le droit à un beau “accès denied”…une idée? merci d’avance
Bonjour,
Quel est la version de Jeedom? Le Password à peut être changé d’une version à une autre!
Bonsoir, en fait j’ai installé raspbian t j’ai fait la manip en ssh pour installer Jérôme donc je suppose que j’ai la dernière version. Je ne sais pas comment voir le numéro de version…
Bonjour,
J’ai le même message et je suis en 3.1.7 en version jeedom.
Bonjour et merci à toi de suivre le site😉👍🏻 Quelle est ta version de Jeedom? Est-ce une install recente via les depots? Ou une ancienne install via l’image?
Bonjour, merci pour ce tuto, il semble simple à réaliser, mais la commande ci-dessous est en Timeout
/opt/letsencrypt/letsencrypt-auto –apache –email jdenouel@free.fr -d jdenouel.freeboxos.fr
Waiting for verification…
Cleaning up challenges
Failed authorization procedure. jdenouel.freeboxos.fr (tls-sni-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Timeout
IMPORTANT NOTES:
– The following errors were reported by the server:
Domain: jdenouel.freeboxos.fr
Type: connection
Detail: Timeout
To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address. Additionally, please check that
your computer has a publicly routable IP address and that no
firewalls are preventing the server from communicating with the
client. If you’re using the webroot plugin, you should also verify
that you are serving files from the webroot path you provided.
Une idée ou un conseil ?
Bonjour,
non, désolé, je n’ai jamais rencontré ce problème! peut être vérifier les dns comme mentionné?
Bonjour.
Merci pour votre réponse. J’ai trouvé l’origine. La redirection de ports 443 était absente.
Merci.
Bonjour,
Même problème, même solution …
Sauf que pour ma part, la redirection du port 443 était existante mais pas vers jeedom.
Il faut donc que la redirection existe du port 443 vers le port 443 avec l’ip de direction de votre jeedom.
Bonjour,
Je bloque sur le certificat, refusé car il en trouve 2 dont mon nom de domaine en 1er, une idée pour me débloquer! 😉
Bonjour,
Besoin d’un coup de main moi aussi….
J’ai crée deux redirection de port TCP freebox le 80 vers 80 de jeedom et 443 vers 443 jeedom. J’ai crée un super nom de domaine… Suivi le tuto et une fois l’étape du A passé, impossible de faire quoi que ce soit….
J’ai cru a un moment que c’est a cause du SSL que free m’a proposé mais j’ai retenté sans et même réponse plus ou moins…
Voici le message d’erreur :
Failed authorization procedure. superadresse.freeboxos.fr (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect validation certificate for tls-sni-01 challenge. Requested 80ca39dd0eff63001f803428ee348a99.fd78b5466b15b1b7840e773049b24d64.acme.invalid from 88.XXX.XXX.XX:XXX. Received 1 certificate(s), first certificate had names “*”
IMPORTANT NOTES:
– The following errors were reported by the server:
Domain: superadresse.freeboxos.fr
Type: unauthorized
Detail: Incorrect validation certificate for tls-sni-01 challenge.
Requested
80ca39dd0eff63001f803428ee348a99.fd78b5466b15b1b7840e773049b24d64.acme.invalid
from 88.XXX.XXX.XXX:443. Received 1 certificate(s), first
certificate had names “*”
To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.
Merci d’avance de votre aide !!
Merci
Bonjour,
Je cherche a m’aider en attendant que quelqu’un puisse intervenir… Quand j’essaie d’atteindre le site voila la réponse :
Impossible de vérifier ce certificat car l’émetteur est inconnu.
Emis pour
Nom commun (CN) *
Organisation (O) Zwave
Unité d’organisation (CU) td
….
Salut, on dirait que tu dispose déjà d’un certificat mais que ce dernier soit mal enregistrer. Il faudrait voir pour le révoquer et dérouler de nouveau la procédure.
Salut Aurel,
Merci beaucoup pour ta réponse et tout le travail que tu offres 🙂
Je suis d’accord sur l’analyse et j’ai encore plus l’impression qu’il appartient a ma carte zwave car en consultant sur chrome le dit certificat “Organisation (O) Zwave”, je sais quand je l’ai installé que j’ai crée un lien open zwave…
Alors j’ai deux questions:
-> Comment révoquer un certificat ? Tu aurais pas un tutorial? Vu comme ca sur google j’ai que des certificats lié a des frs de certificat donc avec une simple interface a cocher “revoquer”
-> Dans les différentes config RPI3 et JEEDOM que tu as utilisé tu as jamais eu besoin de l’open zwave?
Merci d’avance,
Bonjour,
moi j’ai eu de la peine à utiliser ce tuto pour une config rpi3+nginx. Voilà juste quelques commentaires si ca peut aider.
Premièrement un lien pour compléter le tuto qui explique comment installer un webserver + nginx + letsencrypt sur rpi :
https://www.pestmeester.nl/
les steps à effectuer en gros :
votre routeur : accepter et envoyer les calls 443 sur jeedom (un forwarding)
votre firewall sur le rpi : accepter les requêtes sur 443
Ex. avec iptables
# Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp –dport 80 -j ACCEPT
-A INPUT -p tcp –dport 443 -j ACCEPT
letsencrypt : l’installer comme décrit (git etc mais sans letsencrypt-auto) et ensuite :
/opt/letsencrypt/certbot-auto certonly –agree-tos –webroot -w /usr/share/nginx/www/ -d votre-nom-de-serveur
crontab : ajouter pour le renew du certificat :
0 6 * * * /opt/letsencrypt/certbot-auto renew –text >> /opt/letsencrypt/certbot/certbot-cron.log && sudo service nginx reload
nginx : ajouter la gestion du 443 et faire la config ssl (voir ci-dessous)
ex. de choses à avoir dans son fichier de config sous /etc/nginx/sites-enabled/default (ou autre..)
dans le bloc html
{
listen 80 default_server;
listen [::]:80 default_server;
listen 443 ssl default_server;
listen [::]:443 ssl default_server;
root /usr/share/nginx/www;
server_name votre-nom-de-serveur;
server_tokens off;
##
# SSL Settings
##
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;
ssl_certificate /etc/letsencrypt/live/votre-nom-de-serveur/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/votre-nom-de-serveur/privkey.pem;
}
et on reload nginx
systemctl reload nginx
Personnellement je ne comprends pas pourquoi il faut modifier le paramètre https et 443 dans jeedom, ça paraît inutile pour faire marcher https.
Bonjour Aurélien,
Je souhaite me racheté un nouveau RPI3 est réinstaller Jeedom en version 3.xx. J’ai déjà mon certificat grâce à votre blog, donc je voudrais savoir la procédure, afin de récupérer mon certificat sur la nouvelle installation?. faut-il juste installer Lestencript sans faire la demande de certificat? Merci beaucoup de m’orienter sur la marche à suivre.
En attendant je vous souhaites de bonnes fêtes de fin d’année.
Bien cordialement,
Michel.
Bonjour Michel,
si il s’agit d’une nouvelle installation, il faut simplement dérouler la procedure de A à Z et le certificat devrait être remplacé. J’avais procédé ainsi quand j’ai migré mon Jeedom vers le Pidrive 😉
Aurélien,
Merci beaucoup du retour, impeccable je testerai cela la semaine prochaine.
A bientôt sur votre blog.
Le 27 déc. 2017 17:00, “Disqus” a écrit :
Bonjour à tous ! Et merci pour tous les tutos !
Je viens d’installer sur mon raps 3 jeedom sans soucis et là je bloque comme un boulet dès la première commande et je pige pas pourquoi..
Je suis bien connecté via putty et je veux donc mettre la commande apt-get install -y git et là c’est le drame -__-.
Il met met : Coul not open lock file /var/lib/dpkg/lock – open (13: permission denied) Unable ti lock the administration directory are you root ?
Une idée pour me décoincer ? merci par avance !
ajoute sudo devant ta commande.
Bon jour, Dans les derniers jours, ils ont découvert une vulnérabilité dans letsencrypt, ils ont donc désactivé la validation TLS-SNI-01 (voir https://community.letsencrypt.org/t/2018-01-11-update-regarding-acme-tls-sni-and-shared-hosting-infrastructure/50188).
Je dois renouveler mon certificat mais pour l’instant c’est impossible. Vous pouvez changer les instructions pour utiliser la validation HTTP-01?
bonjour,
ce genre de faille devrait être rapidement corrigée, je penses qu’il faut attendre quelques jours pour voir que ca fonctionne de nouveau.
Apparement ça ne sera pas réactivé : https://community.letsencrypt.org/t/2018-01-11-update-regarding-acme-tls-sni-and-shared-hosting-infrastructure/50188
Il faudrait effectivement utiliser la validation HTTP-01… @domoblogfr:disqus si vous pouvez actualiser le tuto ça serait trop cool 🙂
Merci !!
49/5000 Je rejoins la demande de Charlélie, merci beaucoup!
En effet, c’est plus important que prevu, je vais me pencher sur le probleme.
Un grand merci c’est top !
Bonjour, une MAJ devrait être proposée cette semaine pour utiliser HTTP-01. En attendant pour le cas de renouvellement de certificat, l’opération est possible (d’après la communauté Letsencrypt) pour renouvellement UNIQUEMENT.
Bonjour,
en ce qui concerne les renouvellements, le TLS-SNI à été réactivé (uniquement pour renouveler un certificat existant), il est alors possible de faire le renouvellement du certificat. Il reste à présent le problème des nouvelles déclarations pour lesquelles, je vais investiguer.
Merci beacoup!
Bonjour,
J’ai dû reformater ma carte SD et j’ai pas pensé du tout à faire un backup du répertoire letsencrypt.
Si je suis ton tuto avec mon système réinstallé, j’ai ce message :
“Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA.”
Comment faire pour retrouver mon certificat ?
Merci
Bonjour,
Malheureusement, il va falloir patienter un peu pour générer ton certificat suite à des petits soucis chez Let’s Encrypt.
esperant que cela revienne vite et que tu nous en informes !
merci
Bonjour, Letsencrypt semble avoir sorti une nouvelle version avec HTTP-01. Du coup, est-ce que nous pouvons tenter autre chose ?
Bonjour, normalement un renouvellement de certificat, appellera la nouvelle méthode HTTP-01 via la même commande, a confirmer car j’arrive bien à générer le nouveau certificat mais je plante toujours sur la validation. Cependant, je suis passer par une revoquation, mon problème vient peut être de là. Peux tu essayer et nous dire quel est le message de sortie?
Bonjour, je confirme que j’ai bien un plantage au niveau de la validation :
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for xxx.freeboxos.fr
Enabled Apache rewrite module
Waiting for verification…
Cleaning up challenges
Failed authorization procedure. xxx.freeboxos.fr (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Fetching http://xxx.freeboxos.fr/.well-known/acme-challenge/w2VtqVfSM–0VmQep3TUxsCEWymhu2pPZPKhxdwYHTM: Timeout
IMPORTANT NOTES:
– The following errors were reported by the server:
Domain: xxx.freeboxos.fr
Type: connection
Detail: Fetching
http://xxx.freeboxos.fr/.well-known/acme-challenge/w2VtqVfSM–0VmQep3TUxsCEWymhu2pPZPKhxdwYHTM:
Timeout
To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address. Additionally, please check that
your computer has a publicly routable IP address and that no
firewalls are preventing the server from communicating with the
client. If you’re using the webroot plugin, you should also verify
that you are serving files from the webroot path you provided.
J’ai peur que çà soit freeboxos.fr qui ne soit pas supporté par Let’s Encrypt…
Coucou , je pense que tu as raison
j’ai souscrit dans la journée un domaine ovh a 1€ , refais le tuto ce soir et ca roule sans soucis comme papa dans maman !
Merci a vous pour toussa et mon premier ssl xD
Même problème que “Djayjay” : Fetching en Timeout , pourtant le site est bien accessible en port 80 (sinon on a une autre erreur)
Il doit y avoir un changement dans le script depuis la dernière mise à jour, le répertoire “.well-known/acme-challenge” n’a jamais existé, ce qui est peut-être la cause de l’erreur. Cela dit, même en créant ce répertoire dans le serveur web ça ne marche pas