VOUS ÊTES ICI: Accueil » Blog » Domotique » Jeedom » Sécuriser Jeedom en HTTPS avec un certificat SSL doté du nouveau challenge HTTP-01
Jeedom

Sécuriser Jeedom en HTTPS avec un certificat SSL doté du nouveau challenge HTTP-01

La génération du certificat

1 Placez-vous dans le repertoire /etc puis lancez le téléchargement des fichiers via la commande
Vous obtenez alors les lignes suivantes dans la console:

certbot-wget-certificat-jeedom-ssl

2 Modifiez les droits avec la commande
3 Lancez la génération du nouveau certificat avec la commande
Une question est alors posée, répondez 1, puis validez.

redirect-ssl-jeedom-certbot-certificat-generation

4 Patientez encore un peu et voici la confirmation que ce nouveau certificat est opérationnel

certbot-success-congratulation

Le renouvellement

Tant que nous y sommes, profitons-en pour automatiser le renouvellement du certificat tous les 90 jours

1 Afin de garantir le chemin de la commande de renouvellement, déterminons déjà le chemin d’installation de certbot
2 La commande retourne le chemin absolu de certbot sur le raspberry pi
3 À présent, éditez la crontab avec la commande
4 Puis coller la ligne suivante en fin de fichier

0 1 30 * * /etc/certbot-auto renew  >> /var/log/ssl-renew.log

Vous pouvez également utiliser la ligne suivante dans votre crontab afin de demander un renouvellement tout les 89 jours, soit la veille de l’expiration de votre certificat. (Merci à Max pour cette astuce)

0 1 * * * bash -c ‘[ $(expr $(date +\%s) / 86400 \% 89) == 30 ] && /usr/local/sbin/certbot-auto renew >> /home/pi/ssl-renew.log 2>&1’

5 Enregistrez et quittez, voilà à présent votre certificat se renouvellera automatiquement tous les 30 du moi!

Si toutefois vous préférez gérer ce renouvellement manuellement, il faudra utiliser la commande suivante:

À vous de jouer, cette nouvelle méthode fonctionne sans problème chez moi, j’espère qu’il en sera de même chez vous.

Lire
Installer Jeedom sur Raspberry Pi 4 et anterieurs, nouvelle Procédure Jeedom 3.x 2019

Renouvellement manuel

Pour effectuer un renouvellement manuel, chose que je vous recommande pour être certain du bon déroulement, il faut commencer par réactiver l’ouverture du port 80 pour votre Jeedom sur votre routeur (box internet).

Il se peut que vous n’ayez pas fait attention à l’installation et que certbot ce soit installé dans votre repertoire de profil.

Placez-vous alors dans le repertoire /home/votre utilisateur

puis jouer simplement la commande ./certbot-auto –apache -d VOTREDOMAINE

Votre renouvellement sera alors effectué sans probleme.

Pour aller plus loin

Si vous avez des soucis, voici quelques commandes bien utiles qui m’ont permis d’identifier et corriger mon problème

1 Cette commande permet d’en savoir un peu plus sur une possible erreur Apapche

2 Cette commande permet de vérifier l’utilisation des ports du raspberry

3 Cette commande permet de verifier la bonne configuration d’Apapche et le cas écheant connaitre ses erreurs

4 cette commande permet de connaitre le Hostname utilisé par le raspberry

5 cette commande permet de residre le probleme du message d’erreur suivant : Had a problem while installing Python packages

Conclusion

Voila, votre domotique Jeedom DIY est de nouveau sécurisé pour ses accès extérieurs avec la nouvelle méthode de sécurisation. Je n’exclus pas que ce soit toujours possible de générer un certificat depuis un nom de domaine Freebox, auquel cas, il n’est pas nécessaire de disposer d’un nom de domaine chez OVH. Pour autant, je n’ai pas réussi chez moi malgré toutes mes tentatives à générer un certificat depuis la découverte de la faille par Let’s Encrypt. Y a t’il à présent une incompatibilité avec la Freebox? Quoi qu’il en soit, cette nouvelle méthode fonctionne très bien maintenant.

Restez connecté aux nouveautés domotiques, inscrivez-vous à notre newsletter

A propos de cet auteur

Aurélien Brunet

Aurélien Brunet

Chef de projet informatique, anciennement informaticien spécialisé dans l'IT industrielle, le réseau et les bases de données, un peu geek à mes heures perdues, je me suis mis à la domotique en 2012 pour sécuriser mon domicile.
Depuis, je test, j’installe, je code, j’améliore mon installation et surtout, je partage avec vous mon expertise via ce blog pour améliorer votre quotidien dans la maison connectée !

118 Comments

Cliquez ici pour poster un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

  • Merci bcp de nous servir sur un plateau cette solution.

    Petit soucis ( sur un serveur debian8 diy, y a ptetre des petites diff avec le rasp) la commande whereis certbot-auto ne me sort rien, pourtant aucun probleme rencontré ( congratulations blabla, j’ai testé avec l’adresse qu’il donne en dessous sur ssllabs) tout a l’air bon pour le certificat, je risque juste d’avoir un ptit probleme au moment de son expiration.
    Si quelqu’un a une petite idée je suis preneur :).
    Merci encore 🙂

    • Merci pour ce super tuto ! Cela a fonctionné pour moi, avec mon pi3. J’ai le même souci que toi Gono, la commande whereis ne me retourne rien.
      Je note donc les commandes fournies par Aurélien pour gérer le renouvellement.

      • peut être que je peux prendre le xxx.synology.me que me donne le Nas !
        je vais essayer ça ce week end 😉
        en tout cas merci pour le tuto, ça nous aide drôlement

      • Ne vous embêter pas avec ça, ovh propose un équivalent, c’est le dynhost, et c’est gratuit.
        De plus le plugin jeedom dyndns est compatible ovh ! C’est ce que j’utilise 🤘

  • Etonnant, le certbot semble continuer à ultiliser tls-sni-01 challenge….

    ./certbot-auto –apache -d XXXX
    Saving debug log to /var/log/letsencrypt/letsencrypt.log
    Plugins selected: Authenticator apache, Installer apache
    Obtaining a new certificate
    Performing the following challenges:
    tls-sni-01 challenge for XXXX

    • Très étonnant car il est bloqué chez Let’s Encrypt depuis la découverte de la faille! tu n’aurais pas fait un renouvellement des fois? il est toujours actif pour renouvellement de certificat. Pour moi, j’ai bien reçu la confirmation à la generation que mon nouveau certificat utilisait le challenge HTTP-01

  • Bonjour,
    Merci pour ces tuto très bien construits.
    Cependant, j’aurai besoin d’un petit coup de main car je bloque sur la génération du certificat « ./certbot-auto –apache -d http://www.domaine.ovh« .

    Voici ce qu’il me renvoie :

    « Failed authorization procedure. http://www.domaine.ovh (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://www.domaine.ovh/.wel…  »

    404 Not Found

    IMPORTANT NOTES:
    – The following errors were reported by the server:

    Domain: http://www.domaine.ovh
    Type: unauthorized
    Detail: Invalid response from
    http://www.domaine.ovh/.wel
     »

    404 Not Found

    Not Found

    To fix these errors, please make sure that your domain name was entered correctly and the DNS A/AAAA record(s) for that domain contain(s) the right IP address. »

    Évidement, j’ai remplacé http://www.domaine.ovh, par mon nom de domaine.
    Celui-ci est bien paramétré et lorsque je l’adresse en http depuis l’extérieur il me renvoie vers la page d’authentification de mon
    jeedom.
    une idée ?

    • Bonjour,
      Finalement, il semblerait que ce soit un problème de redirection. J’avais redirigé le port 80 vers 501.
      En rétablissant, un port 80 vers un 80, la configuration est passée.
      ouf

  • Merci beaucoup pour le tuto très clair ! Je peinais avec d’autres ou je bloquais sur des certificats , j’ai tout repris de A à Z avec le votre et aucun soucis !

  • Bonjour,

    Je profites de ce tutoriel pour voir si quelqu’un aurait une solution à mon problème:

    J’ai deux raspberry auquels je voudrais avoir accès depuis internet et un domaine chez gandi.

    J’ai fais une redirection du port 443 pour mon jeedom (le 1er rpi) avec un sous domaine jeedom.monsite.tv et un certificat lets’encrypt.

    Mais comment faire pour rediriger un nouveau sous-domaine (kodi.monsite.tv) vers mon autre rpi toujours en https…le port 443 étant déjà pris.

    Merci d’avance de votre aide

    A+

  • salut,
    j’ai créé un nom de domaine.ovh et indiqué l’ip publique de ma freebox.
    pour pointer en http vers jeedom, je tape donc http://www.mondomaine.ovh:80 et ca marche

    par contre le nom de domaine tout seul ne mène nulle part, mais je suppose que c normal?

    la demande de certificat depuis le rasp se passe bien jusqu’à l’etape:
    ./certbot-auto –apache -d http://www.mondomaine.ovh
    qui se finit systématiquement par un message Failed authorization procedure.

    the server could not connect to the client to verify the domain :: fetching http://www.mondomaine.ovh/.well-known/acme-challenge/une suite de caractères: Time out

    quel est le problème?

    d’ailleurs lors de la procédure de certification je n’ai pas eu le dialogue choix 1 ou 2 redirect, mais je suppose que c’est parce que la procédure plante avant?

    d’avance merci pour vos lumières

      • Merci pour ta réponse Aurel,

        en effet j’avais une redirection 443 et 8080 (et non pas 80 comme je le pensais) paramétrée dans la freebox.
        Du coup mon domaine OVH voyait en premier le port 443 et plantait faute de réponse (port 443 pas encore paramétré dans Jeedom).
        Bref j’ai corrigé le port en 80 et maintenant la procédure de certification fonctionne. 🙂

        Par contre j’ai un nouveau souci maintenant avec le renouvellement automatique via le fichier CRON
        j’arrive bien à ouvrir et à éditer le fichier comme tu l’indiques…mais je ne trouve pas comment quitter et enregistrer (ESC +???)

        D’avance merci pour ton aide

      • resalut Aurel,

        dans ma grande nullité je me suis trompé de touche après l’edition du crontab
        ctrl D au lieu de X et je me retrouve avec un crontab tout vide 🙁 (j’ai glissé chef!)
        alors question, est-ce qu’il y a un moyen quelconque de récupérer l’ancien? je crois bien que non
        ou réinstaller/injecter un fichier crontab par défaut? même tout réentrer à la main s’il le faut…
        j’ai essayé à tout hasard un crontab-1 >> etc/crontab mais j’ai un message permission denied

        est-ce que cette suppression aura un effet sur mes programmations jeedom et sur le fonctionnememt du rasp?

        bref help :-/

        plan de la loose Check

    • au point 3 : « Lancez la génération du nouveau certificat avec la commande »
      il faut saisir :
      ./certbot-auto –apache -d domaine.ovh
      et non pas :
      ./certbot-auto –apache -d http://www.domaine.ovh

      Vous obtenez alors la question posée, répondez 2, puis validez.

      Je suppose que cela est dû aux déclarations du domaine en www dans les fichiers de config modifiés.

  • Bonjour,
    Mon Raspberry Pi 3 avec Jeedom est derrière un routeur qui est derrière une livebox.
    Je pense que je dois aussi ouvrir un port sur le routeur (redirection de la livebox vers le routeur puis du routeur vers le raspberry pi 3).
    Cela fonctionne en HTTP et le port 80 mais pas en HTTPS et port 443.
    Le routeur ne me permet pas de rediriger le port 443 en HTTPS, il ne me permet que le HTTP.

    Une idée ?

    Je crains être obligé de désinstaller le certificat, mais je ne trouve pas la commande. J’ai essayé les commandes de la page 2 mais j’obtiens : sudo: /opt/letsencrypt/letsencrypt-auto: command not found

      • Merci de votre réponse.
        Le but d’avoir le raspberry derrière le routeur plutôt que derrière la box du FAI me permet d’être indépendant du FAI (si je veux en changer, etc.). Cela permet aussi à Jeedom de voir tous les équipements du réseau (celui du routeur comme celui de la box) au lieu de ne voir que ceux de la box.

        Finalement, j’ai réussi (je crois) à mettre en HTTPS malgré le fait que le routeur n’indique pas HTTPS, il doit le gérer automatiquement, tout en gardant Let’s Encrypt.
        Merci beaucoup pour ce tuto, car c’est la première fois que je réussis malgré plusieurs tentative.

  • Bonjour j’ai eu un petit soucis pendant la mise en place du certificat du coup je l’ai supprimé comme expliqué plus haut dans le tuto mais maintenant quand je veux remettre en place le certificat ce message s’affiche :

    Unable to find a virtual host listening on port 80 which is currently needed for Certbot to prove to the CA that you control your domain. Please add a virtual host for port 80.

    Les ports 80 et 443 sont bien ouverts
    merci d’avance pour vos réponses et bonne soirée !

  • Bonjour, j’ai aussi un soucis.
    J’ai crée mon nom de domaine .ovh ( qui pointait bien vers mon jeedom)
    Mais après la génération du certificat ( qui c’est bien passé) je ne peut plus accéder à mon jeedom depuis l’extérieur.
    Ni avec mon non de domaine, ni avec mon ip public. ( ce que je pouvait faire avant)
    Sur mon compte du domaine, il me dit que les serveurs dns sont en mise a jour « propagation de 48h » et ça fait déjà plusieurs jours.

    Avez vous une idée?
    Merci

    • Oupsssss !!!!!

      J’ai trouvé, ça fait plus d’une heure que je suis dessus . J’avais mis dans les ouvertures de port de la freebox 433 et pas 443.
      Dsl

      Du coup j’en profite pour dire que votre blog est une merveille. Merci pour tout vos tutos et autres infos.

  • Bonjour
    j’ai suivi le tuto à la lettre et tout a fonctionné du premier coup mais ce matin quand je veux accéder en https j’y arrive uniquement avec fifefox et pas avec chrome qui m’envoie directement sur la page d’accueil OVH. Avez vous une idée de la provenance de cette anomalie…
    Merci de vos réponse.
    Cdt

      • Bonjour,

        aujourd’hui je n’y accède plus du tout mais vraiment plus du tout en https. J’ai directement le message suivant: « votre connexion n’est pas privée » Impossible de vérifier sur le serveur qu’il s’agit bien du domaine http://www.xxxxx.ovh, car son certificat de sécurité provient du domaine mailconfig.ovh.net. Cela peut être dû à une mauvaise configuration ou bien à l’interception de votre connexion par un pirate informatique.

        Je ne sais plus quoi faire

      • Merci de la réponse, finalement j’ai fait une petite modification au niveau du certificat sans le révoquer. ça marche sur IE et le Fox mais toujours pas sur Chrome (à mon domicile)

  • Hello,
    Tu dis avoir eu des soucis avec Freebox ? Quels sont-ils ?
    J’ai essayé ce tuto avec un nom de domaine freeboxos.fr, mais impossible. J’ai l’erreur suivante :

    Failed authorization procedure. XXXXXX.freeboxos.fr (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Fetching http://XXXXXX.freeboxos.fr/.well-known/acme-challenge/t_jW2IG8BagOi8Tr2H-1TNl2Di19_H78iHCIiCorIgk: Timeout

    IMPORTANT NOTES:
    – The following errors were reported by the server:

    Domain: XXXXXX.freeboxos.fr
    Type: connection
    Detail: Fetching
    http://XXXXXX.freeboxos.fr/.well-known/acme-challenge/t_jW2IG8BagOi8Tr2H-1TNl2Di19_H78iHCIiCorIgk:
    Timeout

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address. Additionally, please check that
    your computer has a publicly routable IP address and that no
    firewalls are preventing the server from communicating with the
    client. If you’re using the webroot plugin, you should also verify
    that you are serving files from the webroot path you provided.
    – Your account credentials have been saved in your Certbot
    configuration directory at /etc/letsencrypt. You should make a
    secure backup of this folder now. This configuration directory will
    also contain certificates and private keys obtained by Certbot so
    making regular backups of this folder is ideal.

  • Bonjour, j’ai des redirections pour les ports 80 et 443 utilisé deja par un equipement qui lui ne peux pas modifier ses ports. avec des redirections la procedure fonctionne aussi ? surtout la partie qui parle des zone txt chez ovh.
    Merci

  • A l’aide…
    j’ai installé jeedom sur jessie, tout fonctionnait nickel avec l’ancienne ssh.
    j’ai voulu faire la nouvelle procédure, j’ai donc suivi a la lettre mais quaand j’execute la commande (avec www et sans) ./certbot-auto –apache -d http://www.domaine.ovh , j’ai une grosse erreur :
    Error while running apache2ctl graceful.
    httpd not running, trying to start
    Action ‘graceful’ failed.
    The Apache error log may have more information.

    • je me réponds a moi même, problème réglé en desactivant le ssl puis en effacant tous les certbot-auto qu’il m’avait téléchargé.
      et j’ai relancé toute la procédure et roule ma poule
      encore merci pour le tuto

      • Hello, j’ai je pense le même problème serait il possible d’avoir plus de détail sur la procédure ? Merci d’avance.

  • Modifiez les droits avec la commande

    sudo chmod a+x ./certbot-auto
    1
    sudo chmod a+x ./certbot-auto
    3 Lancez la génération du nouveau certificat avec la commande

    ./certbot-auto –apache -d http://www.domaine.ovh
    1
    ./certbot-auto –apache -d http://www.domaine.ovh
    Une question est alors posée, répondez 2, puis validez.
    redirect-ssl-jeedom-certbot-certificat-generation

    je bloque a cette partie la je n’ai pas la question

    voici le message que jai
    pi@raspberrypi:/etc $ ./certbot-auto –apache -d http://www.domaine.ovh
    Requesting to rerun ./certbot-auto with root privileges…

    Saving debug log to /var/log/letsencrypt/letsencrypt.log
    Plugins selected: Authenticator apache, Installer apache
    Obtaining a new certificate
    An unexpected error occurred:
    There were too many requests of a given type :: Error creating new authz :: too many failed authorizations recently: see https://letsencrypt.org/docs/rate-limits/
    Please see the logfiles in /var/log/letsencrypt for more details.
    pi@raspberrypi:/etc $ 1
    -bash: 1: command not found
    pi@raspberrypi:/etc $ ./certbot-auto –apache -d http://www.domaine.ovh
    Requesting to rerun ./certbot-auto with root privileges…
    Saving debug log to /var/log/letsencrypt/letsencrypt.log
    Plugins selected: Authenticator apache, Installer apache
    Obtaining a new certificate
    An unexpected error occurred:
    There were too many requests of a given type :: Error creating new authz :: too many failed authorizations recently: see https://letsencrypt.org/docs/rate-limits/
    Please see the logfiles in /var/log/letsencrypt for more details.
    pi@raspberrypi:/etc $
    pi@raspberrypi:/etc $

  • Bonjour et merci pour ce super tuto qui fonctionne à merveille.

    J’ai du adapter quelques petites chose qui peuvent être utiles :

    – Lorsqu’on entre le nom de notre domaine : attention certains domaines sur le net ne comportent pas www (comme sur noip)

    – Pour gérer le renouvellement du certificat manuellement, il semble qu’il faille tapez « /etc/certbot-auto renew » et non « certbot-auto renew » comme noté dans la partie 5) du paragraphe « Renouvellement »

    – Pour gérer le renouvellement du certificat automatiquement, il semble qu’il faille tapez  » 0 1 */89 * *  » et non  » 0 1 89 * *  » qui me renvoie une erreur quand je modifie crontab.

    Je ne suis pas expert mais voilà ma contribution qui sera très certainement validée ou invalidée par l’auteur du tuto.

    A++

  • Bonjour,

    Merci pour le tuto, j’ai bien tout desinstallé en suivant le tuto à la lettre.

    Je suis sur un nom de domaine freeboxos.fr et je n’arrive pas récupérer mon certificat malgré la bonne ouverture des ports …

    root@Z83:/etc# ./certbot-auto –apache -d xxx.freeboxos.fr
    Saving debug log to /var/log/letsencrypt/letsencrypt.log
    Plugins selected: Authenticator apache, Installer apache
    Obtaining a new certificate
    Performing the following challenges:
    http-01 challenge for xxx.freeboxos.fr
    Waiting for verification…
    Cleaning up challenges
    Failed authorization procedure. xxx.freeboxos.fr (http-01): urn:acme:erro r:connection :: The server could not connect to the client to verify the domain :: Fetching http://xxx.freeboxos.fr/.well-known/acme-challenge/i2fn4mTHJL R4ryAc2pMufRCZetCKsU_Vz7pYSOS2UD8: Timeout

    IMPORTANT NOTES:
    – The following errors were reported by the server:

    Domain: xxx.freeboxos.fr
    Type: connection
    Detail: Fetching
    http://xxx.freeboxos.fr/.well-known/acme-challenge/i2fn4mTHJLR4ryAc2pM ufRCZetCKsU_Vz7pYSOS2UD8:
    Timeout

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address. Additionally, please check that
    your computer has a publicly routable IP address and that no
    firewalls are preventing the server from communicating with the
    client. If you’re using the webroot plugin, you should also verify
    that you are serving files from the webroot path you provided.

    Help … merci

      • Bonjour bah oui je te confirme.

        C’est très simple à expliquer que freeboxos ne fonctionne pas car leur adresse renvoie obligatoirement sur du HTTPS donc 443 alors la nouvelle methode de validation fonctionne en HTTP … exit freeboxos.

        J’ai passé un peu de temps cette nuit (lol) pour trouver une solution SANS commencer à payer un nom de domaine et je suis parvenu a faire fonctionner cela avec un nom de domaine gratuit chez no-ip.

        Sinon petit commentaire sur ton tuto, j’ai eu quelques sueurs froides en te pestant legerement car la phase 2 de suppresion et revocation m’a mis dans la m****.

        révoquer l’ancien certificat : OK
        supprimer les fichiers : OK
        relance apache : KO, problème de servername suivi à la lettre mais il y avait toujours des traces de mon ancien certificats dans les fichiers de config apache2 concernant le ssl (que j’ai fini par trouver dans /etc/apache2/sites-available, qui concerne les virtual interface 443), tant que je ne virais pas ces références, apache ne se relancait pas. Le fait de commenter ses reference à fonctionné et absolument pas besoin de faire tes modifs.

        Donc attention car un novice peut vite tout flinger et ne pas rerussir à le remettre sur patte.

      • Bonjour,

        Je pense avoir le même problème que toi. Quand je veux redémarrer le service apaphe, j’ai cette erreur :
        sudo /etc/init.d/apache2 restart
        [….] Restarting apache2 (via systemctl): apache2.serviceWarning: apache2.service changed on disk. Run ‘systemctl daemon-reload’ to reload units.
        Job for apache2.service failed because the control process exited with error code.
        See « systemctl status apache2.service » and « journalctl -xe » for details.
        failed!

        Du coup, plus d’accès jeedom … 🙁

        J’ai ajouté un # devant les lignes qui font reference à monanciendomaine.freeboxos.fr mais toujours la même erreur au moment de rebooter le service apache et plus d’accès à la page web de jeedom.

        les fichiers modifiés 000-default-le-ssl.conf et 000-default.conf

    • Bonsoir,
      Il semble s’agir d’une modification du côté de Let’s encrypt. Dès lors qu’existe un enregistrement ipv6 AAAA (dig xxx.freeboxos.fr AAAA), la procédure d’autorisation s’effectuera sur l’accès ipv6 du serveur web sans fallback sur ipv4.

      Par ailleurs même avec ipv6 désactivé, l’enregistrement DNS AAAA du domaine xxx.freeboxos.fr est créé.

      La solution est effectivement pour l’instant de passer un gestionnaire de domaine dont on peut avoir un peu la maîtrise de ses enregistrements.

      • Bonsoir,
        J’ai rencontré les mêmes problèmes qui m’ont poussés à faire quelques recherches…
        Il me semble que la présence de l’enregistrement DNS AAAA ne gêne en rien, et même obligatoire si vous êtes passé à l’adressage en IPv6 (pour preuve, mon serveur DNS renvoie bien les enregistrements @ et www en AAAA).
        Et je suis d’accord qu’il faut passer par un serveur DNS sur lequel on peut maîtriser ses enregistrements (car je pense que le problème vient d’une anomalie sur les reverse dns chez Free)

  • Bonjour,

    J’ai tout suivi à la lettre pourtant à la fin de la génération du certificat il m’indique ceci :

    Obtaining a new certificate
    Performing the following challenges:
    http-01 challenge for http://www.domaine.ovh
    Enabled Apache rewrite module
    Waiting for verification…
    Cleaning up challenges
    Failed authorization procedure. http://www.domaine.ovh (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: DNS problem: NXDOMAIN looking up A for http://www.domaine.ovh

    IMPORTANT NOTES:
    – The following errors were reported by the server:

    Domain: http://www.domaine.ovh
    Type: connection
    Detail: DNS problem: NXDOMAIN looking up A for http://www.domaine.ovh

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address. Additionally, please check that
    your computer has a publicly routable IP address and that no
    firewalls are preventing the server from communicating with the
    client. If you’re using the webroot plugin, you should also verify
    that you are serving files from the webroot path you provided.
    – Your account credentials have been saved in your Certbot
    configuration directory at /etc/letsencrypt. You should make a
    secure backup of this folder now. This configuration directory will
    also contain certificates and private keys obtained by Certbot so
    making regular backups of this folder is ideal.

    Je ne pense pas avoir foiré avec mes DNS chez OVH. Si je tape mon nom de domaine directement dans un browser, je tombe sur la page de ma freebox…

    Une idée ?

    merci.

    Arnaud.

    • En fait je suis nul !! c’est ça quand on veut bricoler tard le soir et qu’on n’a plus les yeux en face des trous..
      je n’avais pas renseigné mon nom de domaine dans ./certbot-auto –apache -d http://www.domaine.ovh.

      J’ai donc relancé la procédure mais ça bloque !

      Requesting to rerun ./certbot-auto with root privileges…
      Saving debug log to /var/log/letsencrypt/letsencrypt.log
      Plugins selected: Authenticator apache, Installer apache
      Obtaining a new certificate
      Performing the following challenges:
      http-01 challenge for http://www.pxxxxx.com
      Enabled Apache rewrite module
      Waiting for verification…
      Cleaning up challenges
      Failed authorization procedure. http://www.perozeni.com (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: The key authorization file from the server did not match this challenge [QX_jLuyBYolS6hD_lei_5TuoLD7ICobLhK6YSr9xC6Y.XkpX2bds47FMJ5BECHxpEXIxKef1eaomX-3JnVcn3yU] != [QX_jLuyBYolS6hD_lei_5TuoLD7ICobLhK6YSr9xC6Y.4E3VCTFsySjUrqnCg0ooULx-3kbdPBygi0aWkvg5Gd8]

      IMPORTANT NOTES:
      – The following errors were reported by the server:

      Domain: http://www.pxxxx.com
      Type: unauthorized
      Detail: The key authorization file from the server did not match
      this challenge
      [QX_jLuyBYolS6hD_lei_5TuoLD7ICobLhK6YSr9xC6Y.XkpX2bds47FMJ5BECHxpEXIxKef1eaomX-3JnVcn3yU]
      !=
      [QX_jLuyBYolS6hD_lei_5TuoLD7ICobLhK6YSr9xC6Y.4E3VCTFsySjUrqnCg0ooULx-3kbdPBygi0aWkvg5Gd8]

      To fix these errors, please make sure that your domain name was
      entered correctly and the DNS A/AAAA record(s) for that domain
      contain(s) the right IP address.

      Dois-je désinstaller, nettoyer et réinstaller ? Le cas échéant, quelle est la procédure de désinstallation ?

      Merci.

      Arnaud.

    • Bonsoir,
      Je ne suis pas un pro mais j’ai eu le même problème que toi, je m’en suis sortie en tapant juste #crontab -e.
      J’ai ajouté la ligne et crtl x
      Par contre, le fichier est enregistré en /tmp… pas sur que ca marche, réponse dans 3 mois sauf si on me dit que ca marche pas ^^

  • Bonjour,
    Après la commande ./certbot-auto –apache -d xxx.hd.free.fr, j’ai l’erreur suivante !!!
    Des idées ???
    Merci

    root@raspberrypi:/etc# ./certbot-auto –apache -d xxx.hd.free.fr
    Saving debug log to /var/log/letsencrypt/letsencrypt.log
    Plugins selected: Authenticator apache, Installer apache
    Obtaining a new certificate
    Performing the following challenges:
    http-01 challenge for xxx.hd.free.fr
    Enabled Apache rewrite module
    Waiting for verification…
    Cleaning up challenges
    An unexpected error occurred:
    There were too many requests of a given type :: Error creating new cert :: too many certificates already issued for: free.fr: see https://letsencrypt.org/docs/rate-limits/

  • Bonjour,
    Pour accéder à Jeedom, j’ai une redirection de port au niveau de mon routeur (qui écoute sur le 3000).
    Du coup lors de la vérification, j’ai une erreur. J’ai cherché un peu partout, mais il semblerait qu’il n’y ai pas de solution franche.
    As-tu déjà rencontré ce problème ?
    Merci,

    • Bonjour,
      Ah oui, cela pose probleme car la verification du certificat se fait sur le 443. Je suis pas certain qu’il soit possible de faire autrement, a moins peut être de jouer avec les Vhosts du coté du serveur Apache, mais attention, un mauvais reglage peut tout casser !

  • Salut,
    Tout c’est bien passé pour mon passage en HTTPS, cependant j’ai fermé ma redirection sur ma box vers le port 80, ainsi que dans ssh, or je n’arrive plus a me connecter en local par 192.XXX.X.XX. auriez vous une idée. Je suis noobs dans linux peut être que j’ai éffacé par erreur le fameux 192.XX.xXX

  • Bonjour

    Merci pour le tuto. Une petite question:
    J’ai pour le moment toujours le plug-in let’s encrypt installé avec mon certificat TLS-SNI-01.

    – Est-ce qu’il faut désinstaller le plug-in avant de faire la manip?

    Mon Jeedom est sur une VM debian Stretch.

    Merci,
    Fo

      • Le certificat expire demain donc je voudrais essayer ton tuto mais je ne sais pas si ca va pas poser probleme avec le plugin Lets Encrypt et donc s’il faut ou non que je le desinstalle avant d’appliquer le tuto.
        Une idée?

        OvO

      • Bon ben j’ai bien galeré mais mon jeedom tourne en https. Par contre je n’ai pas réussi à passer en HTTP01.
        Même si je revoke mon certificat quand j’en demande un nouveau il me rebalance sur le protocole TLS-SNI-01 je ne comprends pas vraiment pourquoi.
        Je ne sais pas trop ce qu’a fait le plugin LetsEncrypt de Jeedom. C’est peut etre pour ca que je n’y arrive pas.
        J’avais utilisé jeedom.mondomaine.ovh avec le plugin.
        Si je fais certbot sur mondomaine.ovh je me retrouve avec un certificat HTTP01, mais sur le nom de domaine jeedom.mondomaine.ovh le certbot me ressort toujours un certificat TLS bizarre.
        Et encore plus bizarre si je vire jeedmo.mondomaine.ovh de lets encrypt j’ai mon serveur apache qui démarre plus.
        Ces fichiers de configs de serveur apache c’est à s’arracher les cheveux 🙂

        Je ne sais pas trop quel certificat fonctionne mais bon pour le moment ca marche…

        Merci pour le tuto
        OvO
        PS: Je précise que mondomaine est remplacé par mon vrai nom de domaine 😉

  • Bonjour,
    J’aurais besoin d’un pti coup de main car je bloque un peu.
    Il s’agit d’une première ouverture de jeedom vers l’extérieur (jamais de Let’s Encrypt).
    Coté matériel : nom de domaine OVH, freebox et jeedom sur raspberry pi3
    DNS
    J’ai pris un nom de domaine : mondomaine.ovh et créé une zone DNS de type A jeedom.mondomaine.ovh qui pointe sur l’adresse ip publique de ma freebox.
    FREEBOX
    J’ai ouvert les deux ports 80 et 433 pour repointer sur l’ip local de mon raspberry.
    RASPBERRY
    J’ai ajouté dans le fichier /etc/hosts ServerName la ligne jeedom.mondomaine.ovh
    J’ai ajouté dans le fichier /etc/apache2/apache2.conf la ligne jeedom.mondomaine.ovh
    JEEDOM
    Dans les paramètres de jeedom pour accès externe j’ai mis pour l’instant http://jeedom.mondomaine.ovh:80
    PROBLEME
    Et quand je test le point 10, en allant sur http://jeedom.mondomaine.ovh, j’ai une erreur timeout, le serveur ne répond pas.
    Faisant les chose sdans l’ordre, je n’ai pas encore généré de certificat pour le https

    Quelqu’un aurait une idée du pourquoi ?

    • Bonjour, je vais essayer de t’aider car je viens de boucler cette étape avec succès (OVH, SFR, Jeedom sur PI3). Pour ma part, je n’ai pas créé de sous domaine mais utilisé directement mondomaine.ovh dans la création de la zone DNS. Ensuite, idem que pour toi dans les étapes sur le Raspberry via Putty. Tu ne parles pas des étapes 6 et 7, as-tu bien réalisé celles-ci et obtenu Syntax OK ç la fin ? D’autre part, j’accède à mon jeedom (en http pour l’instant) sans rien mettre sur la ligne accès externe ma config Jeedom.
      J’espère que ce retour d’expérience pourra t’aider.

      • Bonjour,
        Je te remercie pour ta réponse.
        Mon pb était bêtement dans l’adresse public de ma box (un 255 au lieu de 225).

  • Bonjour, je poste une demande d’aide pour installer le certificat de la page 3 – etape 1 (les étapes des pages 1 et 2 sont ok).
    je ne parviens pas à télécharger le pack : erreur 404. Comment contourner ce problème ?
    Merci beaucoup

    Voici le détail :
    pi@raspberrypi:/etc $ sudo wget https://dl.eff.org/cerbot-auto
    –2018-04-12 12:21:58– https://dl.eff.org/cerbot-auto
    Resolving dl.eff.org (dl.eff.org)… 151.101.120.201, 2a04:4e42:4::201
    Connecting to dl.eff.org (dl.eff.org)|151.101.120.201|:443… connected.
    HTTP request sent, awaiting response… 404 Not Found
    2018-04-12 12:21:58 ERROR 404: Not Found.

    • J’avais juste oublié la lettre ‘t » dans la commande. Oups.
      Réglé et suivi à la lettre la suite du tuto : tout est OK
      Merci Aurélien pour ce guide pratique et complet.

  • même pb que titi007

    A l’aide…
    j’ai installé jeedom sur jessie, tout fonctionnait nickel avec l’ancienne ssh.
    j’ai
    voulu faire la nouvelle procédure, j’ai donc suivi a la lettre mais
    quaand j’execute la commande (avec www et sans) ./certbot-auto –apache
    -d http://www.domaine.ovh , j’ai une grosse erreur :
    Error while running apache2ctl graceful.
    httpd not running, trying to start
    Action ‘graceful’ failed.
    The Apache error log may have more information.

    et maintenant, je n’ai même plus accès a jeedom en local via l’ip !

    qui a une solution ? Merci d’avance

  • Bonsoir j’ai un souci à l’étape 3 :
    OSError: Command /opt/eff.org/certbot/venv/bin/python2.7 – setuptools pkg_resources pip wheel failed with error code 2

    Qui aurai une solution Svp
    Merci

    • Bonjour
      et merci pour tous vos tutos que je suis régulièrement. Je n’ai pas encore sécurisé mon jeedom (sur rpi 3b+) et je voulais savoir si ce tuto est toujours d’actualité ? J’ai un compte OVH et un nom de domaine pour mon jeedom.
      Merci de votre réponse
      Jean