VOUS ÊTES ICI: Accueil » Blog » Domotique » Jeedom » Sécuriser Jeedom en HTTPS avec un certificat SSL doté du nouveau challenge HTTP-01
Jeedom

Sécuriser Jeedom en HTTPS avec un certificat SSL doté du nouveau challenge HTTP-01

securiser-jeedom-ssl-https-nouvelle-methode-guide-domotique

Vous avez été nombreux à suivre mon guide de sécurisation SSL pour Jeedom. Malheureusement, il y a deux semaines, une faille Let’s Encrypt révélait quelques faiblesses sur le type de certificat que nous utilisions jusque là. De fait et pour éviter tout risque, les équipes de développement de l’autorité de certification Let’s Encrypt ont bloqué le mode TLS-SNI-01 le temps de proposer une nouvelle solution.

Lire aussi
La validation TLS-SNI-01 de Let's Encrypt mise à mal et suspendue en raison d'une vulnérabilité

La solution n’a pas tardé à être publiée, les équipes de Let’s Encrypt ont été très réactivées sur ce point et ont vite proposées le mode HTTP-01. Un nouveau mode, exempt de la faille présente chez son prédécesseur.

Cependant, la méthode de génération change quelque peu, et surtout, si vous aviez déjà déployé mon premier guide sur votre Jeedom, vous vous êtes peut-être confrontés à certains problèmes.

Depuis je travaille activement à vous proposer une nouvelle solution pour utiliser cette nouvelle méthode de certification SSL. Passant par plusieurs étapes et plusieurs problèmes… Certificats impossibles à générer, Jeedom injoignable défaut de configuration Apache… Bref, j’ai enfin réussi à solutionner mes problèmes et surtout, sécuriser mon Jeedom sur Raspberrypi avec un certificat SSL sécurisé par la nouvelle méthode HTTP-01.

Cependant, la procédure diffère un peu de mon premier guide. Il est alors de mise d’expliquer cette nouvelle procédure dans ce nouveau guide.

Lire aussi
Comment activer le ssl sur Jeedom pour disposer d'une adresse HTTPS sans service pack

Pour ce nouveau guide, je vous propose d’utiliser un nom de domaine externe. OVH propose des noms de domaine en .ovh pour 1,90€ à l’année, ce qui permet de disposer d’un nom de domaine personnalisé, sans le suffixe freeboxos.fr.

Je me demande d’ailleurs après avoir essayé plusieurs manipulations, si la Freebox ne serait pas responsable de mes différents soucis de certificats depuis le changement de chalenge TLS-SNI-01 pour HTTP-01

Un nouveau nom de domaine

Pour l’exemple je propose le fournisseur OVH, sachez que si vous disposez déjà d’un nom de domaine disponible et valide chez un autre provider, vous pouvez tout aussi bien utiliser celui-ci.
Commencez alors par vous rendre sur le site d’OVH et réservez votre nom de domaine perso. Laissez allez votre imagination, ce sera ce nom de domaine qui pointera vers votre domotique, choisissez-le bien!

Pour la bonne compréhension du guide, je vais prendre comme exemple le domaine www.domaine.ovh

 

Une fois votre nouveau domaine acquis, rendez-vous dans l’administration de votre domaine chez OVH. Il ne suffit pas de disposer d’un domaine pour pointer vers votre Jeedom, il faut déjà lui indiquer où est votre Jeedom pour l’afficher quand vous saisissez votre nouveau domaine dans un navigateur.

1 Pour cela, rendez-vous dans la section domaines de votre interface de gestion Ovh, puis dans l’onglet zone DNS

zone-dns-ovh-jeedom-ssl-domotique

2 Faites ajouter une entrée dans le menu à droite de la page

ajout-entree-dns-ovh-ssl-jeedom

3 Sélectionnez le champ de pointage A dans la liste

zone-dns-a-entree-ovh

4 Enfin, indiquez le sous domaine www et votre adresse IP publique dans le champ Cible. Pour connaître votre Adresse IP publique, utilisez un service comme What’s my IP par exemple.

ajout-zone-dns-domaine-ip-publique

Il faut à présent patienter le temps de la propagation DNS. Cela prend quelques heures en général.

Progression de la lecture

DebutFin

A suivre en page 2, Le révocation du certificat, le nettoyage, le nouveau certificat et bien plus…

Abonnez vous
NE MANQUEZ
PLUS RIEN
Recevez les prochains
articles par mail
JE M' ABONNE

A propos de cet auteur

Aurélien Brunet

Aurélien Brunet

Informaticien spécialisé dans l'IT industrielle, le réseau et les bases de données, un peu geek à mes heures perdues, je me suis mis à la domotique en 2012 avec ma première box domotique l'eedomus associée à un raspberrypi et quelques développements personnels. Depuis, je test, j’installe, je code, j’améliore mon installation et surtout, je partage avec vous mon expertise via ce blog pour améliorer votre quotidien dans la smart home!

  • Gono

    Merci bcp de nous servir sur un plateau cette solution.

    Petit soucis ( sur un serveur debian8 diy, y a ptetre des petites diff avec le rasp) la commande whereis certbot-auto ne me sort rien, pourtant aucun probleme rencontré ( congratulations blabla, j’ai testé avec l’adresse qu’il donne en dessous sur ssllabs) tout a l’air bon pour le certificat, je risque juste d’avoir un ptit probleme au moment de son expiration.
    Si quelqu’un a une petite idée je suis preneur :).
    Merci encore 🙂

    • Ce n’est rien, dans ce cas, tu n’auras qu’a passer les commandes suivantes si cela ne fonctionne pas directement:
      1 -> sudo wget https://dl.eff.org/certbot-auto
      2 -> sudo chmod a+x ./certbot-auto
      3 -> ./certbot-auto renew

      Et ce devrait rouler sans problème 😉

    • Sylvain Jn

      Merci pour ce super tuto ! Cela a fonctionné pour moi, avec mon pi3. J’ai le même souci que toi Gono, la commande whereis ne me retourne rien.
      Je note donc les commandes fournies par Aurélien pour gérer le renouvellement.

  • titi007

    Petite question .. si on n’a pas d’adresse ip fixe ( livebox orange ;-( ) , on fait comment ?

    • Il faut un DynDNS ou NoIP pour associer le nom de domaine à l’IP tournante

      • titi007

        peut être que je peux prendre le xxx.synology.me que me donne le Nas !
        je vais essayer ça ce week end 😉
        en tout cas merci pour le tuto, ça nous aide drôlement

      • lonsdalien

        Ne vous embêter pas avec ça, ovh propose un équivalent, c’est le dynhost, et c’est gratuit.
        De plus le plugin jeedom dyndns est compatible ovh ! C’est ce que j’utilise 🤘

  • Pierrick Vodoz

    Etonnant, le certbot semble continuer à ultiliser tls-sni-01 challenge….

    ./certbot-auto –apache -d XXXX
    Saving debug log to /var/log/letsencrypt/letsencrypt.log
    Plugins selected: Authenticator apache, Installer apache
    Obtaining a new certificate
    Performing the following challenges:
    tls-sni-01 challenge for XXXX

    • Très étonnant car il est bloqué chez Let’s Encrypt depuis la découverte de la faille! tu n’aurais pas fait un renouvellement des fois? il est toujours actif pour renouvellement de certificat. Pour moi, j’ai bien reçu la confirmation à la generation que mon nouveau certificat utilisait le challenge HTTP-01

      • Shakto

        Pareil pour moi. On voit bien la ligne « Obtaining a new certificate »

  • Vincent Jeudy

    Merci pour l info et le tuto

  • Nottoday

    Bonjour,
    Merci pour ces tuto très bien construits.
    Cependant, j’aurai besoin d’un petit coup de main car je bloque sur la génération du certificat « ./certbot-auto –apache -d http://www.domaine.ovh« .

    Voici ce qu’il me renvoie :

    « Failed authorization procedure. http://www.domaine.ovh (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://www.domaine.ovh/.wel…  »

    404 Not Found

    IMPORTANT NOTES:
    – The following errors were reported by the server:

    Domain: http://www.domaine.ovh
    Type: unauthorized
    Detail: Invalid response from
    http://www.domaine.ovh/.wel
     »

    404 Not Found

    Not Found

    To fix these errors, please make sure that your domain name was entered correctly and the DNS A/AAAA record(s) for that domain contain(s) the right IP address. »

    Évidement, j’ai remplacé http://www.domaine.ovh, par mon nom de domaine.
    Celui-ci est bien paramétré et lorsque je l’adresse en http depuis l’extérieur il me renvoie vers la page d’authentification de mon
    jeedom.
    une idée ?

    • Nottoday

      Bonjour,
      Finalement, il semblerait que ce soit un problème de redirection. J’avais redirigé le port 80 vers 501.
      En rétablissant, un port 80 vers un 80, la configuration est passée.
      ouf

  • braksg

    Merci beaucoup pour le tuto très clair ! Je peinais avec d’autres ou je bloquais sur des certificats , j’ai tout repris de A à Z avec le votre et aucun soucis !

    • Bonjour,

      Super !! 🙂

  • Charlyb9978

    Bonjour,

    Je profites de ce tutoriel pour voir si quelqu’un aurait une solution à mon problème:

    J’ai deux raspberry auquels je voudrais avoir accès depuis internet et un domaine chez gandi.

    J’ai fais une redirection du port 443 pour mon jeedom (le 1er rpi) avec un sous domaine jeedom.monsite.tv et un certificat lets’encrypt.

    Mais comment faire pour rediriger un nouveau sous-domaine (kodi.monsite.tv) vers mon autre rpi toujours en https…le port 443 étant déjà pris.

    Merci d’avance de votre aide

    A+

    • Bonjour, J’arrive peut-être après la guerre mais il faut mettre en place un reverse proxy.

  • Chamo

    salut,
    j’ai créé un nom de domaine.ovh et indiqué l’ip publique de ma freebox.
    pour pointer en http vers jeedom, je tape donc http://www.mondomaine.ovh:80 et ca marche

    par contre le nom de domaine tout seul ne mène nulle part, mais je suppose que c normal?

    la demande de certificat depuis le rasp se passe bien jusqu’à l’etape:
    ./certbot-auto –apache -d http://www.mondomaine.ovh
    qui se finit systématiquement par un message Failed authorization procedure.

    the server could not connect to the client to verify the domain :: fetching http://www.mondomaine.ovh/.well-known/acme-challenge/une suite de caractères: Time out

    quel est le problème?

    d’ailleurs lors de la procédure de certification je n’ai pas eu le dialogue choix 1 ou 2 redirect, mais je suppose que c’est parce que la procédure plante avant?

    d’avance merci pour vos lumières

    • Vu ta description, il manque une redirection de port sur le 80 et le 443 vers ton jeedom sur la freebox

      • Chamo

        Merci pour ta réponse Aurel,

        en effet j’avais une redirection 443 et 8080 (et non pas 80 comme je le pensais) paramétrée dans la freebox.
        Du coup mon domaine OVH voyait en premier le port 443 et plantait faute de réponse (port 443 pas encore paramétré dans Jeedom).
        Bref j’ai corrigé le port en 80 et maintenant la procédure de certification fonctionne. 🙂

        Par contre j’ai un nouveau souci maintenant avec le renouvellement automatique via le fichier CRON
        j’arrive bien à ouvrir et à éditer le fichier comme tu l’indiques…mais je ne trouve pas comment quitter et enregistrer (ESC +???)

        D’avance merci pour ton aide

      • Ctrl + X si tu est sous windoS sinon sur mac c’est Control + X

      • Chamo

        Super merci beaucoup et bravo encore pour ton super tuto 😉

      • Avec plaisir 😉

      • Chamo

        resalut Aurel,

        dans ma grande nullité je me suis trompé de touche après l’edition du crontab
        ctrl D au lieu de X et je me retrouve avec un crontab tout vide 🙁 (j’ai glissé chef!)
        alors question, est-ce qu’il y a un moyen quelconque de récupérer l’ancien? je crois bien que non
        ou réinstaller/injecter un fichier crontab par défaut? même tout réentrer à la main s’il le faut…
        j’ai essayé à tout hasard un crontab-1 >> etc/crontab mais j’ai un message permission denied

        est-ce que cette suppression aura un effet sur mes programmations jeedom et sur le fonctionnememt du rasp?

        bref help :-/

        plan de la loose Check

    • pplumecocq

      au point 3 : « Lancez la génération du nouveau certificat avec la commande »
      il faut saisir :
      ./certbot-auto –apache -d domaine.ovh
      et non pas :
      ./certbot-auto –apache -d http://www.domaine.ovh

      Vous obtenez alors la question posée, répondez 2, puis validez.

      Je suppose que cela est dû aux déclarations du domaine en www dans les fichiers de config modifiés.

  • MV

    Bonjour,
    Mon Raspberry Pi 3 avec Jeedom est derrière un routeur qui est derrière une livebox.
    Je pense que je dois aussi ouvrir un port sur le routeur (redirection de la livebox vers le routeur puis du routeur vers le raspberry pi 3).
    Cela fonctionne en HTTP et le port 80 mais pas en HTTPS et port 443.
    Le routeur ne me permet pas de rediriger le port 443 en HTTPS, il ne me permet que le HTTP.

    Une idée ?

    Je crains être obligé de désinstaller le certificat, mais je ne trouve pas la commande. J’ai essayé les commandes de la page 2 mais j’obtiens : sudo: /opt/letsencrypt/letsencrypt-auto: command not found

    • Bonjour,

      Dans ce cas, pourquoi ne pas placer le raspberry directement derrière la livebox?

      • MV

        Merci de votre réponse.
        Le but d’avoir le raspberry derrière le routeur plutôt que derrière la box du FAI me permet d’être indépendant du FAI (si je veux en changer, etc.). Cela permet aussi à Jeedom de voir tous les équipements du réseau (celui du routeur comme celui de la box) au lieu de ne voir que ceux de la box.

        Finalement, j’ai réussi (je crois) à mettre en HTTPS malgré le fait que le routeur n’indique pas HTTPS, il doit le gérer automatiquement, tout en gardant Let’s Encrypt.
        Merci beaucoup pour ce tuto, car c’est la première fois que je réussis malgré plusieurs tentative.

      • Heureux que cela fonctionne en l’état!

  • freeman32

    Bonjour j’ai eu un petit soucis pendant la mise en place du certificat du coup je l’ai supprimé comme expliqué plus haut dans le tuto mais maintenant quand je veux remettre en place le certificat ce message s’affiche :

    Unable to find a virtual host listening on port 80 which is currently needed for Certbot to prove to the CA that you control your domain. Please add a virtual host for port 80.

    Les ports 80 et 443 sont bien ouverts
    merci d’avance pour vos réponses et bonne soirée !

    • Bonjour,

      Il faut regarder du coté de la configuration Apache, il doit manquer le virtual host.

      • freeman32

        Ok merci de ta réponse tu à à u idée de comment il faut faire ? Je connais pas du tout apache vu que Jeedom installe tout tout seul

      • C’est un peu technique mais si tu regardes sur google tu devrais trouver des tutos qui l’explique bien

  • Manu

    Bonjour, j’ai aussi un soucis.
    J’ai crée mon nom de domaine .ovh ( qui pointait bien vers mon jeedom)
    Mais après la génération du certificat ( qui c’est bien passé) je ne peut plus accéder à mon jeedom depuis l’extérieur.
    Ni avec mon non de domaine, ni avec mon ip public. ( ce que je pouvait faire avant)
    Sur mon compte du domaine, il me dit que les serveurs dns sont en mise a jour « propagation de 48h » et ça fait déjà plusieurs jours.

    Avez vous une idée?
    Merci

    • Manu

      Oupsssss !!!!!

      J’ai trouvé, ça fait plus d’une heure que je suis dessus . J’avais mis dans les ouvertures de port de la freebox 433 et pas 443.
      Dsl

      Du coup j’en profite pour dire que votre blog est une merveille. Merci pour tout vos tutos et autres infos.

      • Heureux que cela fonctionne!! Un chiffre peut tout changer qur une ouverture de port 😀

  • Camera Home

    Bonjour
    j’ai suivi le tuto à la lettre et tout a fonctionné du premier coup mais ce matin quand je veux accéder en https j’y arrive uniquement avec fifefox et pas avec chrome qui m’envoie directement sur la page d’accueil OVH. Avez vous une idée de la provenance de cette anomalie…
    Merci de vos réponse.
    Cdt

    • Bonjour,
      Si c’est ok sous firefox c’est peut etre tout simplement une hisoire de cache Chrome. Il faut vider le cache quitter chrome et essayé de nouveau 😉

      • Camera Home

        Bonjour,

        aujourd’hui je n’y accède plus du tout mais vraiment plus du tout en https. J’ai directement le message suivant: « votre connexion n’est pas privée » Impossible de vérifier sur le serveur qu’il s’agit bien du domaine http://www.xxxxx.ovh, car son certificat de sécurité provient du domaine mailconfig.ovh.net. Cela peut être dû à une mauvaise configuration ou bien à l’interception de votre connexion par un pirate informatique.

        Je ne sais plus quoi faire

      • dans ce cas, c’est un probleme avec le certificat. J’opterai pour une revoquation et une nouvelle generation.

      • Camera Home

        Merci de la réponse, finalement j’ai fait une petite modification au niveau du certificat sans le révoquer. ça marche sur IE et le Fox mais toujours pas sur Chrome (à mon domicile)

  • Morange

    Vraiment génial, merci beaucoup !!!

    • De rien! C’est un plaisir !!

  • Jean Barthe

    Hello,
    Tu dis avoir eu des soucis avec Freebox ? Quels sont-ils ?
    J’ai essayé ce tuto avec un nom de domaine freeboxos.fr, mais impossible. J’ai l’erreur suivante :

    Failed authorization procedure. XXXXXX.freeboxos.fr (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Fetching http://XXXXXX.freeboxos.fr/.well-known/acme-challenge/t_jW2IG8BagOi8Tr2H-1TNl2Di19_H78iHCIiCorIgk: Timeout

    IMPORTANT NOTES:
    – The following errors were reported by the server:

    Domain: XXXXXX.freeboxos.fr
    Type: connection
    Detail: Fetching
    http://XXXXXX.freeboxos.fr/.well-known/acme-challenge/t_jW2IG8BagOi8Tr2H-1TNl2Di19_H78iHCIiCorIgk:
    Timeout

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address. Additionally, please check that
    your computer has a publicly routable IP address and that no
    firewalls are preventing the server from communicating with the
    client. If you’re using the webroot plugin, you should also verify
    that you are serving files from the webroot path you provided.
    – Your account credentials have been saved in your Certbot
    configuration directory at /etc/letsencrypt. You should make a
    secure backup of this folder now. This configuration directory will
    also contain certificates and private keys obtained by Certbot so
    making regular backups of this folder is ideal.

  • kris1208

    Bonjour, j’ai des redirections pour les ports 80 et 443 utilisé deja par un equipement qui lui ne peux pas modifier ses ports. avec des redirections la procedure fonctionne aussi ? surtout la partie qui parle des zone txt chez ovh.
    Merci

  • titi007

    A l’aide…
    j’ai installé jeedom sur jessie, tout fonctionnait nickel avec l’ancienne ssh.
    j’ai voulu faire la nouvelle procédure, j’ai donc suivi a la lettre mais quaand j’execute la commande (avec www et sans) ./certbot-auto –apache -d http://www.domaine.ovh , j’ai une grosse erreur :
    Error while running apache2ctl graceful.
    httpd not running, trying to start
    Action ‘graceful’ failed.
    The Apache error log may have more information.

    • titi007

      je me réponds a moi même, problème réglé en desactivant le ssl puis en effacant tous les certbot-auto qu’il m’avait téléchargé.
      et j’ai relancé toute la procédure et roule ma poule
      encore merci pour le tuto

      • fle

        Hello, j’ai je pense le même problème serait il possible d’avoir plus de détail sur la procédure ? Merci d’avance.

  • gregory

    Modifiez les droits avec la commande

    sudo chmod a+x ./certbot-auto
    1
    sudo chmod a+x ./certbot-auto
    3 Lancez la génération du nouveau certificat avec la commande

    ./certbot-auto –apache -d http://www.domaine.ovh
    1
    ./certbot-auto –apache -d http://www.domaine.ovh
    Une question est alors posée, répondez 2, puis validez.
    redirect-ssl-jeedom-certbot-certificat-generation

    je bloque a cette partie la je n’ai pas la question

    voici le message que jai
    pi@raspberrypi:/etc $ ./certbot-auto –apache -d http://www.domaine.ovh
    Requesting to rerun ./certbot-auto with root privileges…

    Saving debug log to /var/log/letsencrypt/letsencrypt.log
    Plugins selected: Authenticator apache, Installer apache
    Obtaining a new certificate
    An unexpected error occurred:
    There were too many requests of a given type :: Error creating new authz :: too many failed authorizations recently: see https://letsencrypt.org/docs/rate-limits/
    Please see the logfiles in /var/log/letsencrypt for more details.
    pi@raspberrypi:/etc $ 1
    -bash: 1: command not found
    pi@raspberrypi:/etc $ ./certbot-auto –apache -d http://www.domaine.ovh
    Requesting to rerun ./certbot-auto with root privileges…
    Saving debug log to /var/log/letsencrypt/letsencrypt.log
    Plugins selected: Authenticator apache, Installer apache
    Obtaining a new certificate
    An unexpected error occurred:
    There were too many requests of a given type :: Error creating new authz :: too many failed authorizations recently: see https://letsencrypt.org/docs/rate-limits/
    Please see the logfiles in /var/log/letsencrypt for more details.
    pi@raspberrypi:/etc $
    pi@raspberrypi:/etc $

    • titi007

      il faut répondre : 2
      si tu regardes sur l’image, tu vois la réponse

      • gregory

        Mais je n’ai pas la réponse deux justement c’est ça mon soucis

      • titi007

        oups, j’ai compris.
        tu as bien fait le chmod ? et tu es connecté root ?

      • gregory

        Je sais pas si la première fois que je fait ceci donc je suis un peu perdu comment je peut savoir ce que tu me demande

      • titi007

        alors je ne suis pas expert mais exécute cette procédure (http://www.soft-alternative.com/raspberry-pi-activer-desactiver-compte-super-utilisateur-raspbian.php) si tu ne l’as jamais fait (garde bien le mot de passe).
        après tu te reconnectes sur ton rpi en ssh comme tu l’as fait auparavant et ensuite tu fais la commande : su root (il va ainsi demander ton mot de passe root)
        et tu reprends le tuto page 3 à La génération du certificat
        cd /etc
        sudo wget https://dl.eff.org/certbot-auto

      • gregory

        j’ai fait ta manip mais ca me mets a chaque fois acces refuse

      • titi007

        étrange, quand on regarde ton message d’erreur, on a l’impression que c’est letsencrypt qui ne veut pas de ton domaine !!
        There were too many requests of a given type :: Error creating new authz :: too many failed authorizations recently: see https://letsencrypt.org/doc
        essaie sans mettre les www devant ./certbot-auto –apache -d domaine.ovh

      • gregory

        pi@raspberrypi:~ $ ./certbot-auto –apache -d domaine.ovh
        -bash: ./certbot-auto: No such file or directory
        pi@raspberrypi:~ $
        voila le message que j’ai

      • titi007

        normal, désolé, tu dois reprendre les étapes précédentes avant.
        la première te télécharge les paquets et la 2 eme donne les droits
        et enfin tu executes

      • gregory

        ok je test

      • gregory

        pi@raspberrypi:/etc $ sudo wget https://dl.eff.org/certbot-auto
        –2018-02-24 14:24:27– https://dl.eff.org/certbot-auto
        Resolving dl.eff.org (dl.eff.org)… 151.101.120.201, 2a04:4e42:1d::201
        Connecting to dl.eff.org (dl.eff.org)|151.101.120.201|:443… connected.
        HTTP request sent, awaiting response… 200 OK
        Length: 61939 (60K) [application/octet-stream]
        Saving to: ‘certbot-auto.5’

        certbot-auto.5 100%[==================================================================================>] 60.49K –.-KB/s in 0.05s

        2018-02-24 14:24:27 (1.13 MB/s) – ‘certbot-auto.5’ saved [61939/61939]

        pi@raspberrypi:/etc $ sudo chmod a+x ./certbot-auto
        pi@raspberrypi:/etc $ ./certbot-auto –apache -d http://www.domaine.ovh
        Requesting to rerun ./certbot-auto with root privileges…
        Saving debug log to /var/log/letsencrypt/letsencrypt.log
        Plugins selected: Authenticator apache, Installer apache
        Obtaining a new certificate
        Performing the following challenges:
        http-01 challenge for http://www.domaine.ovh
        Enabled Apache rewrite module
        Waiting for verification…
        Cleaning up challenges
        Failed authorization procedure. http://www.domaine.ovh (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: DNS problem: NXDOMAIN looking up A for http://www.domaine.ovh

        IMPORTANT NOTES:
        – The following errors were reported by the server:

        Domain: http://www.domaine.ovh
        Type: connection
        Detail: DNS problem: NXDOMAIN looking up A for http://www.domaine.ovh

        To fix these errors, please make sure that your domain name was
        entered correctly and the DNS A/AAAA record(s) for that domain
        contain(s) the right IP address. Additionally, please check that
        your computer has a publicly routable IP address and that no
        firewalls are preventing the server from communicating with the
        client. If you’re using the webroot plugin, you should also verify
        that you are serving files from the webroot path you provided.
        pi@raspberrypi:/etc $

        voila le dernier message que j’ai

        au lieu d’avoir la question avec le choix 1 ou 2

      • gregory

        c’est bon j’ai reussi merci pour le coup de main titi007

      • titi007

        Super 😉

      • gregory

        une question serais tu pourquoi j’ai tjrs une erreur dans la partie reseau de jeedom meme avec le https d’activer https://uploads.disquscdn.com/images/a64749083f443b14b631e31b648beaa1aad439e4b74be461b661068b4425bf1c.jpg

      • titi007

        moi je n’ai pas mis le www devant mon domaine
        et as tu bien ouvert le port 443 sur ta box internet ?

      • gregory

        Je pense oui pas sûr

      • gregory

        Bah cela fonctionne pas

      • titi007

        est ce que si tu tapes dans un navigateur : https://tondomaine.ovh
        tu arrives a quelque chose ?

        et dans jeedom, onglet reseau « Désactiver la gestion du réseau par Jeedom » decoché ?

      • gregory

        Oui cela fonctionne mais j’aurais besoin de un adresse dns pour pouvoir contrôle mes volets rfxcom et Google home

      • gregory
      • titi007

        bizarre, tu as essayé de redémarrer jeedom ?
        je suis a court d’idée !

      • gregory

        Pareil pas grave merci quand même

      • gregory
      • M Jerome

        Salut titi007, j’ai le même probléme tu peut m’aider stp, j’ai essayer avec un DDNS myqnapcloud.com que je possede j’ai bien eu la question a repondre, sauf que ce domaine est pour mon NAS ca n’a pas fonctionné.
        J’ai ensuite acheter un Domaine sur OVH et la je n’ai plus la question a repondre. Comment faire ? merci

      • titi007

        @disqus_tnufSSJDrr:disqus , je n’ai pas saisi ou tu as un problème ?

      • gregory

        Je pense qu’il a le même soucis que moi regarde bien au niveau du code à mettre c’était la mon soucis faire attention au espace

      • Attention, en cas de plusieurs tentative, ce message s’affiche. En fait, il existe une regle chez let’s Encrypt qui empeche l’execution de la requete pour un domaine sur quelques heures après 5 tentatives de suites infructueuse.

  • coincoin

    Bonjour et merci pour ce super tuto qui fonctionne à merveille.

    J’ai du adapter quelques petites chose qui peuvent être utiles :

    – Lorsqu’on entre le nom de notre domaine : attention certains domaines sur le net ne comportent pas www (comme sur noip)

    – Pour gérer le renouvellement du certificat manuellement, il semble qu’il faille tapez « /etc/certbot-auto renew » et non « certbot-auto renew » comme noté dans la partie 5) du paragraphe « Renouvellement »

    – Pour gérer le renouvellement du certificat automatiquement, il semble qu’il faille tapez  » 0 1 */89 * *  » et non  » 0 1 89 * *  » qui me renvoie une erreur quand je modifie crontab.

    Je ne suis pas expert mais voilà ma contribution qui sera très certainement validée ou invalidée par l’auteur du tuto.

    A++

    • coincoin

      Bonjour M. Brunet,
      Que pensez-vous de ma remarque sur le crontab ?
      A++

      • Bonjour coincoin, en effet, je vais modifier l’article en ce sens 😉

      • coincoin

        Bonjour Aurel,
        Je vous laisse vérifier mes dires bien-sur. Je suis loin d’être expert dans ce domaine.
        Si ce que je dis était vrai, je suis très content d’avoir fait avancer la chose.
        A++

      • Vincent

        Bonjour Aurel,
        Finalement tu n’as pas modifier l’article, parce que l’information n’est plus avérée ?

  • David Waze

    Bonjour,

    Merci pour le tuto, j’ai bien tout desinstallé en suivant le tuto à la lettre.

    Je suis sur un nom de domaine freeboxos.fr et je n’arrive pas récupérer mon certificat malgré la bonne ouverture des ports …

    root@Z83:/etc# ./certbot-auto –apache -d xxx.freeboxos.fr
    Saving debug log to /var/log/letsencrypt/letsencrypt.log
    Plugins selected: Authenticator apache, Installer apache
    Obtaining a new certificate
    Performing the following challenges:
    http-01 challenge for xxx.freeboxos.fr
    Waiting for verification…
    Cleaning up challenges
    Failed authorization procedure. xxx.freeboxos.fr (http-01): urn:acme:erro r:connection :: The server could not connect to the client to verify the domain :: Fetching http://xxx.freeboxos.fr/.well-known/acme-challenge/i2fn4mTHJL R4ryAc2pMufRCZetCKsU_Vz7pYSOS2UD8: Timeout

    IMPORTANT NOTES:
    – The following errors were reported by the server:

    Domain: xxx.freeboxos.fr
    Type: connection
    Detail: Fetching
    http://xxx.freeboxos.fr/.well-known/acme-challenge/i2fn4mTHJLR4ryAc2pM ufRCZetCKsU_Vz7pYSOS2UD8:
    Timeout

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address. Additionally, please check that
    your computer has a publicly routable IP address and that no
    firewalls are preventing the server from communicating with the
    client. If you’re using the webroot plugin, you should also verify
    that you are serving files from the webroot path you provided.

    Help … merci

    • gregory

      Regarde mes message j’avais à peu près les mêmes soucis mais pas sous freeboox

      • David Waze

        sauf erreur de ma part tu n’as pas resolu ton pb non + …

      • gregory

        Si c’est bon mon pb est résolu le https fonctionne parfaitement

      • David Waze

        enfin je vois pas la solution a mon pb dans tes comm

      • gregory

        Désoler alors

    • Bonjour,
      je ne peux pas confirmer, mais chez moi j’ai vraiment l’impression que c’est le domaine freebox qui empechait le bon derouleme,nt

      • David Waze

        Bonjour bah oui je te confirme.

        C’est très simple à expliquer que freeboxos ne fonctionne pas car leur adresse renvoie obligatoirement sur du HTTPS donc 443 alors la nouvelle methode de validation fonctionne en HTTP … exit freeboxos.

        J’ai passé un peu de temps cette nuit (lol) pour trouver une solution SANS commencer à payer un nom de domaine et je suis parvenu a faire fonctionner cela avec un nom de domaine gratuit chez no-ip.

        Sinon petit commentaire sur ton tuto, j’ai eu quelques sueurs froides en te pestant legerement car la phase 2 de suppresion et revocation m’a mis dans la m****.

        révoquer l’ancien certificat : OK
        supprimer les fichiers : OK
        relance apache : KO, problème de servername suivi à la lettre mais il y avait toujours des traces de mon ancien certificats dans les fichiers de config apache2 concernant le ssl (que j’ai fini par trouver dans /etc/apache2/sites-available, qui concerne les virtual interface 443), tant que je ne virais pas ces références, apache ne se relancait pas. Le fait de commenter ses reference à fonctionné et absolument pas besoin de faire tes modifs.

        Donc attention car un novice peut vite tout flinger et ne pas rerussir à le remettre sur patte.

      • Yoda

        Bonjour,

        Je pense avoir le même problème que toi. Quand je veux redémarrer le service apaphe, j’ai cette erreur :
        sudo /etc/init.d/apache2 restart
        [….] Restarting apache2 (via systemctl): apache2.serviceWarning: apache2.service changed on disk. Run ‘systemctl daemon-reload’ to reload units.
        Job for apache2.service failed because the control process exited with error code.
        See « systemctl status apache2.service » and « journalctl -xe » for details.
        failed!

        Du coup, plus d’accès jeedom … 🙁

        J’ai ajouté un # devant les lignes qui font reference à monanciendomaine.freeboxos.fr mais toujours la même erreur au moment de rebooter le service apache et plus d’accès à la page web de jeedom.

        les fichiers modifiés 000-default-le-ssl.conf et 000-default.conf

    • rrs

      Bonsoir,
      Il semble s’agir d’une modification du côté de Let’s encrypt. Dès lors qu’existe un enregistrement ipv6 AAAA (dig xxx.freeboxos.fr AAAA), la procédure d’autorisation s’effectuera sur l’accès ipv6 du serveur web sans fallback sur ipv4.

      Par ailleurs même avec ipv6 désactivé, l’enregistrement DNS AAAA du domaine xxx.freeboxos.fr est créé.

      La solution est effectivement pour l’instant de passer un gestionnaire de domaine dont on peut avoir un peu la maîtrise de ses enregistrements.

      • Bonjour,

        Merci pour cette confirmation, cela confirme bien ce que je pensais 😉

      • LuDicke

        Bonsoir,
        J’ai rencontré les mêmes problèmes qui m’ont poussés à faire quelques recherches…
        Il me semble que la présence de l’enregistrement DNS AAAA ne gêne en rien, et même obligatoire si vous êtes passé à l’adressage en IPv6 (pour preuve, mon serveur DNS renvoie bien les enregistrements @ et www en AAAA).
        Et je suis d’accord qu’il faut passer par un serveur DNS sur lequel on peut maîtriser ses enregistrements (car je pense que le problème vient d’une anomalie sur les reverse dns chez Free)

  • Ruben Barros

    Merci Aurélien, j’ai suivi le guide et tout est parfait.

  • @rno

    Bonjour,

    J’ai tout suivi à la lettre pourtant à la fin de la génération du certificat il m’indique ceci :

    Obtaining a new certificate
    Performing the following challenges:
    http-01 challenge for http://www.domaine.ovh
    Enabled Apache rewrite module
    Waiting for verification…
    Cleaning up challenges
    Failed authorization procedure. http://www.domaine.ovh (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: DNS problem: NXDOMAIN looking up A for http://www.domaine.ovh

    IMPORTANT NOTES:
    – The following errors were reported by the server:

    Domain: http://www.domaine.ovh
    Type: connection
    Detail: DNS problem: NXDOMAIN looking up A for http://www.domaine.ovh

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address. Additionally, please check that
    your computer has a publicly routable IP address and that no
    firewalls are preventing the server from communicating with the
    client. If you’re using the webroot plugin, you should also verify
    that you are serving files from the webroot path you provided.
    – Your account credentials have been saved in your Certbot
    configuration directory at /etc/letsencrypt. You should make a
    secure backup of this folder now. This configuration directory will
    also contain certificates and private keys obtained by Certbot so
    making regular backups of this folder is ideal.

    Je ne pense pas avoir foiré avec mes DNS chez OVH. Si je tape mon nom de domaine directement dans un browser, je tombe sur la page de ma freebox…

    Une idée ?

    merci.

    Arnaud.

    • @rno

      En fait je suis nul !! c’est ça quand on veut bricoler tard le soir et qu’on n’a plus les yeux en face des trous..
      je n’avais pas renseigné mon nom de domaine dans ./certbot-auto –apache -d http://www.domaine.ovh.

      J’ai donc relancé la procédure mais ça bloque !

      Requesting to rerun ./certbot-auto with root privileges…
      Saving debug log to /var/log/letsencrypt/letsencrypt.log
      Plugins selected: Authenticator apache, Installer apache
      Obtaining a new certificate
      Performing the following challenges:
      http-01 challenge for http://www.pxxxxx.com
      Enabled Apache rewrite module
      Waiting for verification…
      Cleaning up challenges
      Failed authorization procedure. http://www.perozeni.com (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: The key authorization file from the server did not match this challenge [QX_jLuyBYolS6hD_lei_5TuoLD7ICobLhK6YSr9xC6Y.XkpX2bds47FMJ5BECHxpEXIxKef1eaomX-3JnVcn3yU] != [QX_jLuyBYolS6hD_lei_5TuoLD7ICobLhK6YSr9xC6Y.4E3VCTFsySjUrqnCg0ooULx-3kbdPBygi0aWkvg5Gd8]

      IMPORTANT NOTES:
      – The following errors were reported by the server:

      Domain: http://www.pxxxx.com
      Type: unauthorized
      Detail: The key authorization file from the server did not match
      this challenge
      [QX_jLuyBYolS6hD_lei_5TuoLD7ICobLhK6YSr9xC6Y.XkpX2bds47FMJ5BECHxpEXIxKef1eaomX-3JnVcn3yU]
      !=
      [QX_jLuyBYolS6hD_lei_5TuoLD7ICobLhK6YSr9xC6Y.4E3VCTFsySjUrqnCg0ooULx-3kbdPBygi0aWkvg5Gd8]

      To fix these errors, please make sure that your domain name was
      entered correctly and the DNS A/AAAA record(s) for that domain
      contain(s) the right IP address.

      Dois-je désinstaller, nettoyer et réinstaller ? Le cas échéant, quelle est la procédure de désinstallation ?

      Merci.

      Arnaud.

  • Turinois60

    Bonjour, je n.arrive pas à nettoyer le domaine révoquer. Y a t il une autre solution. Je suis chez sfr. Merci

  • Jonathan

    Bonjour,
    Je n’arrive pas à ecrire la ligne supplémentaire pour le renouvellmeent comment faire ?
    Merci par avance

    • StephaneB

      Bonsoir,
      Je ne suis pas un pro mais j’ai eu le même problème que toi, je m’en suis sortie en tapant juste #crontab -e.
      J’ai ajouté la ligne et crtl x
      Par contre, le fichier est enregistré en /tmp… pas sur que ca marche, réponse dans 3 mois sauf si on me dit que ca marche pas ^^

  • Vetea Plichart

    Bonjour,
    Après la commande ./certbot-auto –apache -d xxx.hd.free.fr, j’ai l’erreur suivante !!!
    Des idées ???
    Merci

    root@raspberrypi:/etc# ./certbot-auto –apache -d xxx.hd.free.fr
    Saving debug log to /var/log/letsencrypt/letsencrypt.log
    Plugins selected: Authenticator apache, Installer apache
    Obtaining a new certificate
    Performing the following challenges:
    http-01 challenge for xxx.hd.free.fr
    Enabled Apache rewrite module
    Waiting for verification…
    Cleaning up challenges
    An unexpected error occurred:
    There were too many requests of a given type :: Error creating new cert :: too many certificates already issued for: free.fr: see https://letsencrypt.org/docs/rate-limits/

  • a.barrau

    Bonjour,
    Pour accéder à Jeedom, j’ai une redirection de port au niveau de mon routeur (qui écoute sur le 3000).
    Du coup lors de la vérification, j’ai une erreur. J’ai cherché un peu partout, mais il semblerait qu’il n’y ai pas de solution franche.
    As-tu déjà rencontré ce problème ?
    Merci,

    • Bonjour,
      Ah oui, cela pose probleme car la verification du certificat se fait sur le 443. Je suis pas certain qu’il soit possible de faire autrement, a moins peut être de jouer avec les Vhosts du coté du serveur Apache, mais attention, un mauvais reglage peut tout casser !

  • Lionel Da Cruz

    Salut,
    Tout c’est bien passé pour mon passage en HTTPS, cependant j’ai fermé ma redirection sur ma box vers le port 80, ainsi que dans ssh, or je n’arrive plus a me connecter en local par 192.XXX.X.XX. auriez vous une idée. Je suis noobs dans linux peut être que j’ai éffacé par erreur le fameux 192.XX.xXX

  • Ovo

    Bonjour

    Merci pour le tuto. Une petite question:
    J’ai pour le moment toujours le plug-in let’s encrypt installé avec mon certificat TLS-SNI-01.

    – Est-ce qu’il faut désinstaller le plug-in avant de faire la manip?

    Mon Jeedom est sur une VM debian Stretch.

    Merci,
    Fo

    • Bonjour, si le certificat est toujours actif autant le conserver ainsi et attendre qu’il expire 😉

      • Ovo

        Le certificat expire demain donc je voudrais essayer ton tuto mais je ne sais pas si ca va pas poser probleme avec le plugin Lets Encrypt et donc s’il faut ou non que je le desinstalle avant d’appliquer le tuto.
        Une idée?

        OvO

      • Tu te trouve donc dans la même situation que moi dans le tuto, tu peux desinstaller

      • Ovo

        Bon ben j’ai bien galeré mais mon jeedom tourne en https. Par contre je n’ai pas réussi à passer en HTTP01.
        Même si je revoke mon certificat quand j’en demande un nouveau il me rebalance sur le protocole TLS-SNI-01 je ne comprends pas vraiment pourquoi.
        Je ne sais pas trop ce qu’a fait le plugin LetsEncrypt de Jeedom. C’est peut etre pour ca que je n’y arrive pas.
        J’avais utilisé jeedom.mondomaine.ovh avec le plugin.
        Si je fais certbot sur mondomaine.ovh je me retrouve avec un certificat HTTP01, mais sur le nom de domaine jeedom.mondomaine.ovh le certbot me ressort toujours un certificat TLS bizarre.
        Et encore plus bizarre si je vire jeedmo.mondomaine.ovh de lets encrypt j’ai mon serveur apache qui démarre plus.
        Ces fichiers de configs de serveur apache c’est à s’arracher les cheveux 🙂

        Je ne sais pas trop quel certificat fonctionne mais bon pour le moment ca marche…

        Merci pour le tuto
        OvO
        PS: Je précise que mondomaine est remplacé par mon vrai nom de domaine 😉

  • eldingo54

    Bonjour,
    J’aurais besoin d’un pti coup de main car je bloque un peu.
    Il s’agit d’une première ouverture de jeedom vers l’extérieur (jamais de Let’s Encrypt).
    Coté matériel : nom de domaine OVH, freebox et jeedom sur raspberry pi3
    DNS
    J’ai pris un nom de domaine : mondomaine.ovh et créé une zone DNS de type A jeedom.mondomaine.ovh qui pointe sur l’adresse ip publique de ma freebox.
    FREEBOX
    J’ai ouvert les deux ports 80 et 433 pour repointer sur l’ip local de mon raspberry.
    RASPBERRY
    J’ai ajouté dans le fichier /etc/hosts ServerName la ligne jeedom.mondomaine.ovh
    J’ai ajouté dans le fichier /etc/apache2/apache2.conf la ligne jeedom.mondomaine.ovh
    JEEDOM
    Dans les paramètres de jeedom pour accès externe j’ai mis pour l’instant http://jeedom.mondomaine.ovh:80
    PROBLEME
    Et quand je test le point 10, en allant sur http://jeedom.mondomaine.ovh, j’ai une erreur timeout, le serveur ne répond pas.
    Faisant les chose sdans l’ordre, je n’ai pas encore généré de certificat pour le https

    Quelqu’un aurait une idée du pourquoi ?

    • Patrick Vallier

      Bonjour, je vais essayer de t’aider car je viens de boucler cette étape avec succès (OVH, SFR, Jeedom sur PI3). Pour ma part, je n’ai pas créé de sous domaine mais utilisé directement mondomaine.ovh dans la création de la zone DNS. Ensuite, idem que pour toi dans les étapes sur le Raspberry via Putty. Tu ne parles pas des étapes 6 et 7, as-tu bien réalisé celles-ci et obtenu Syntax OK ç la fin ? D’autre part, j’accède à mon jeedom (en http pour l’instant) sans rien mettre sur la ligne accès externe ma config Jeedom.
      J’espère que ce retour d’expérience pourra t’aider.

      • eldingo54

        Bonjour,
        Je te remercie pour ta réponse.
        Mon pb était bêtement dans l’adresse public de ma box (un 255 au lieu de 225).

  • Patrick Vallier

    Bonjour, je poste une demande d’aide pour installer le certificat de la page 3 – etape 1 (les étapes des pages 1 et 2 sont ok).
    je ne parviens pas à télécharger le pack : erreur 404. Comment contourner ce problème ?
    Merci beaucoup

    Voici le détail :
    pi@raspberrypi:/etc $ sudo wget https://dl.eff.org/cerbot-auto
    –2018-04-12 12:21:58– https://dl.eff.org/cerbot-auto
    Resolving dl.eff.org (dl.eff.org)… 151.101.120.201, 2a04:4e42:4::201
    Connecting to dl.eff.org (dl.eff.org)|151.101.120.201|:443… connected.
    HTTP request sent, awaiting response… 404 Not Found
    2018-04-12 12:21:58 ERROR 404: Not Found.

    • Patrick Vallier

      J’avais juste oublié la lettre ‘t » dans la commande. Oups.
      Réglé et suivi à la lettre la suite du tuto : tout est OK
      Merci Aurélien pour ce guide pratique et complet.

      • Hello!

        Heureux de savoir que tout s’est bien passé et que tout fonctionne parfaitement 😉

  • fle

    même pb que titi007

    A l’aide…
    j’ai installé jeedom sur jessie, tout fonctionnait nickel avec l’ancienne ssh.
    j’ai
    voulu faire la nouvelle procédure, j’ai donc suivi a la lettre mais
    quaand j’execute la commande (avec www et sans) ./certbot-auto –apache
    -d http://www.domaine.ovh , j’ai une grosse erreur :
    Error while running apache2ctl graceful.
    httpd not running, trying to start
    Action ‘graceful’ failed.
    The Apache error log may have more information.

    et maintenant, je n’ai même plus accès a jeedom en local via l’ip !

    qui a une solution ? Merci d’avance

  • JimmyR

    un grand merci, tuto au top. You saved my day !!!
    — raspbian stretch —

  • Nej

    Bonsoir j’ai un souci à l’étape 3 :
    OSError: Command /opt/eff.org/certbot/venv/bin/python2.7 – setuptools pkg_resources pip wheel failed with error code 2

    Qui aurai une solution Svp
    Merci

Abonnez vous
NE MANQUEZ
PLUS RIEN
Recevez les prochains
articles par mail
JE M' ABONNE
close-link
NOEL 2 DOMO-BLOG

Venez Jouer
avec nous !

Cette année Noel sera connecté
JOUER
#Noel2DOmoBlog
close-link