Comment sécuriser l’accès à Jeedom en HTTPS avec un certificat SSL gratuit

La génération du certificat

Avant de démarrer la procédure, il est important de bien effectuer la mise à jour des dépôts. Pour ce faire exécutez la commande

sudo apt update

Il ne reste plus qu’a s’assurer que snap est bien disponible sur le système. Pour ce faire lancer la commande

sudo apt install snapd

A présent, nous pouvons demarrer la procédure

1 Démarrez la procédure en exécutant la commande :

sudo snap install core

Vous obtenez alors les lignes suivantes dans la console :

2 Passez ensuite la commande suivante pour être certain de bien disposer de la dernière version de snapd

sudo snap refresh core

3 A présent, installez certbot avec la commande :

sudo snap install --classic certbot

4 Puis préparez l’exécution de la commande certbot avec la commande :

sudo ln -s /snap/bin/certbot /usr/bin/certbot

5 Maintenant, tout est prêt, lancer les commandes.

sudo certbot --apache
sudo certbot certonly --webroot

La procédure demande alors une adresse Mail qui sera notifiée pour le renouvellement du certificat.

Une autre question demande votre autorisation, répondez par Y.

Une autre question demande si vous désirez partager votre mail avec la fondation, répondez par N.

Enfin, il est demandé de saisir le nom de domaine de votre Jeedom. Celui-ci correspond au nom de domaine créé plus haut sans “http://”.

Une toute dernière question est alors posée, il s’agit d’indiquer l’emplacement du répertoire web du Raspberry Pi. Ici, répondez par /var/www/html/.

Patientez quelques secondes et voilà votre certificat activé.

Le renouvellement

Tant que nous y sommes, profitons-en pour automatiser le renouvellement du certificat tous les 90 jours.

1 Afin de planifier ce renouvellement, il faut faire appel à la crontab, il s’agit tout simplement du planificateur de tâche de debian.

sudo nano crontab -e

2 Puis collez la ligne suivante en fin de fichier

0 1 30 * * /etc/certbot renew –dry-run  >> /var/log/ssl-renew.log

Vous pouvez également utiliser la ligne suivante dans votre crontab afin de demander un renouvellement tous les 89 jours, soit la veille de l’expiration de votre certificat. (Merci à Max pour cette astuce)

0 1 * * * bash -c ‘[ $(expr $(date +\%s) / 86400 \% 89) == 30 ] && /snap/bin/certbot renew >> /home/pi/ssl-renew.log 2>&1′

3 Enregistrez et quittez, voilà à présent votre certificat se renouvellera automatiquement tous les 30 du mois !

Renouvellement manuel

Pour effectuer un renouvellement manuel, chose que je vous recommande pour être certain du bon déroulement, il faut commencer par réactiver l’ouverture du port 80 pour votre Jeedom sur votre routeur (box internet). C’est pourquoi je préfère effectuer cette opération manuellement sur mon installation. Cela me permet de n’ouvrir le port 80 que quelques secondes, le temps de l’opération.

Si toutefois vous préférez gérer ce renouvellement manuellement, il faudra utiliser la commande suivante :

certbot renew

Votre renouvellement sera alors effectué sans problème. Vous pouvez ensuite refermer le port 80 de votre routeur.

Pour aller plus loin

Si vous avez des soucis, voici quelques commandes bien utiles qui m’ont permis d’identifier et corriger mon problème.

wget --header="Host: www.domaine.ovh" -O - http://localhost

1 Cette commande permet d’en savoir un peu plus sur une possible erreur Apache.

netstat -anp

2 Cette commande permet de vérifier l’utilisation des ports du raspberry.

sudo apachectl configtest

3 Cette commande permet de vérifier la bonne configuration d’Apache et le cas échéant connaitre ses erreurs.

hostname -f

4 cette commande permet de connaitre le Hostname utilisé par le raspberry.

sudo rm -rf /etc/pip.conf

5 cette commande permet de résoudre le problème du message d’erreur suivant : Had a problem while installing Python packages.

Conclusion

Voilà, votre domotique Jeedom DIY est de nouveau sécurisé pour ses accès extérieurs avec la nouvelle méthode de sécurisation. Je n’exclus pas que ce soit toujours possible de générer un certificat depuis un nom de domaine Freebox, auquel cas, il n’est pas nécessaire de disposer d’un nom de domaine chez OVH. Pour autant, je n’ai pas réussi chez moi malgré toutes mes tentatives à générer un certificat depuis la découverte de la faille par Let’s Encrypt. Y-a-t-il à présent une incompatibilité avec la Freebox? Quoi qu’il en soit, cette nouvelle méthode fonctionne très bien maintenant.