Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 09-11-2020 13:27:23

ahote
Membre
Lieu : 42
Distrib. : bullseye
Noyau : Linux 5.8
(G)UI : Cinnamon
Inscription : 09-12-2018
Site Web

Mettre au propre une configuratiuon HTTPS

Bonjour a tous
comme indiqué dans le titre j'aimerais remettre au propre mes paramètres de sécurité HTTPS  de mon serveur big_smile

pour le moment le serveur a les Fonctionnalités suivantes :
- Wordpress ( site web de mon entreprise )
- Dolibarr ( comptabilité )
- Jellyfin ( équivalent a plex )
- NAS ( via ssh/sftp avec accès LAN et Wlan)

Et dans un future plus ou moins proche j’aimerai ajouté un serveur Mail pour la boite professionnel ( par exemple postfix et ce qui va avec ).


pour arrivé a faire fonctionné le site web en HTTPS j'ai fait beaucoup de manipulation différentes du coup il y a surremment pas mal de chose mal faites roll

Pour le moment çà fonctionne pas trop mal mais il y a encore des chose a mettre au point
par exemple :
- la redirection http vers https ne fonctionne pas toujours
- parfois firefox ne reconnais pas le certificat de sécurité
- le certificat ne se met pas a jour ( la tache cron de doit pas être correct )
- je n'arrive pas a utilisé (et forcé ) le HTTPS avec Jellyfin (il propose option pour utilisé un proxy inversé mais je n'arrive pas a l'utilisé )
- Etc ...


Du coup j'aimerais remettre tout ça au propre pour que tout ce petit monde s'entende bien :-) et que le HTTPS fonctionne avec tous les services "WEB".
Dans l'idéal : le tout avec des sous domaine  et sans passé par une réinstallation complète cool .
Mais je ne sait pas par quel bout prendre le problème help.gif

merci.gif


===========================================
Détail du serveur :
- Debian Buster
- Nginx 1.14.2
- PHP 7.3.19-1~deb10u1 (cli) (built: Jul  5 2020 06:46:45) ( NTS )
- mariadb  Ver 15.1 Distrib 10.3.25-MariaDB, for debian-linux-gnu (x86_64) using readline 5.2
- jusque a présent j'utilise certbot auto pour le certificat

============================================

mon Vhost Nginx :

$ sudo cat /etc/nginx/sites-enabled/wordpress    
upstream php-wp {
    server                    unix:/var/run/wp.sock;
}
 
server {
    if ($host = forezclic.fr) {
        return 301 https://$host$request_uri;
    } # managed by Certbot


    if ($host = www.forezclic.fr) {
        return 301 https://$host$request_uri;
    } # managed by Certbot


    listen                    80;
    listen                    [::]:80;
    server_name               forezclic.fr www.forezclic.fr;
    return                    301 https://$host$request_uri;




}
 
server {
    listen                    443 ssl http2;
    listen                    [::]:443 ssl;
    server_name              forezclic.fr www.forezclic.fr;
    root                      /var/www/html/;

        index                             index.php;
    ssl_certificate /etc/letsencrypt/live/forezclic.fr-0002/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/forezclic.fr-0002/privkey.pem; # managed by Certbot
        ssl_trusted_certificate   /etc/letsencrypt/live/forezclic.fr-0002/chain.pem;
 
        ssl_dhparam               /etc/ssl/certs/dhparam.pem;
 
        ssl_protocols             TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers               'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 DES-CBC3-SHA +SHA !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED';
        ssl_ecdh_curve            secp384r1;

        ssl_session_cache         shared:SSL:1m;
        ssl_session_timeout       1440m;
        ssl_stapling              on;
        ssl_stapling_verify       on;
        resolver                  1.1.1.1 1.0.0.1;
 
    add_header                Strict-Transport-Security max-age=31536000;

        location / {
                try_files             $uri $uri/ /index.php?$args;
        }
 
        location = /favicon.ico {
                log_not_found         off;
                access_log            off;
        }
 
        location = /robots.txt {
                allow                 all;
                log_not_found         off;
                access_log            off;
        }
 
        location ~ .php$ {
                include               fastcgi.conf;
                fastcgi_pass          php-wp;
        }
 
        location ~* .(js|css|png|jpg|jpeg|gif|ico)$ {
                expires               max;
                log_not_found         off;
        }
    ssl_certificate /etc/letsencrypt/live/www.forezclic.fr-0001/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/www.forezclic.fr-0001/privkey.pem; # managed by Certbot
 



la tache Cron

0 12 1 * *  /usr/local/sbin/certbot-auto renew –pre-hook « service nginx stop » –post-hook « service nginx start » >> /var/log/certbot-renew.log | mail -s « CERTBOT Renouvellement » XXXXXX < /var/log/certbot-renew.log
 

Dernière modification par ahote (09-11-2020 13:32:25)

Hors ligne

#2 09-11-2020 18:06:10

vv222
Administrateur
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : Linux ≥ 5.10 (amd64)
(G)UI : Openbox
Inscription : 18-11-2013
Site Web

Re : Mettre au propre une configuratiuon HTTPS

À peu près toutes mes configurations nginx se présentent de la même façon :

# Redirect HTTP to HTTPS
server {
  server_name …;

  listen 80;
  listen [::]:80;

  access_log …;
  error_log  …;

  return 301 https://…$request_uri;
}

server {
  server_name …;

  listen 443      ssl http2;
  listen [::]:443 ssl http2;

  # SSL/TLS settings
  include /etc/letsencrypt/options-ssl-nginx.conf;
  ssl_certificate         /etc/letsencrypt/live/…/fullchain.pem;
  ssl_certificate_key     /etc/letsencrypt/live/…/privkey.pem;
  ssl_trusted_certificate /etc/letsencrypt/live/…/chain.pem;
  ssl_dhparam             /etc/letsencrypt/ssl-dhparams.pem;
  ssl_stapling            on;
  ssl_stapling_verify     on;

  (…)
}


Jouer sous Debian ? Facile !

Hors ligne

#3 11-11-2020 22:13:43

ahote
Membre
Lieu : 42
Distrib. : bullseye
Noyau : Linux 5.8
(G)UI : Cinnamon
Inscription : 09-12-2018
Site Web

Re : Mettre au propre une configuratiuon HTTPS

Salut vv222
Merci pour ta réponse :-)
comment faire pour faire en sorte que tout les "sites" s'entende bien avec cette configuration ?
(Wordpress, Jellyfin, Dollibar)

Hors ligne

#4 12-11-2020 05:34:09

vv222
Administrateur
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : Linux ≥ 5.10 (amd64)
(G)UI : Openbox
Inscription : 18-11-2013
Site Web

Re : Mettre au propre une configuratiuon HTTPS

Le bout de configuration que j’ai partagé ne dépend normalement pas du type d’application hébergé derrière : je l’utilise aussi bien pour des API que pour des sites complets basés sur différemts moteurs comme DokuWiki et Laravel, et même pour diffuser un flux audio servi par mpv.

Jouer sous Debian ? Facile !

Hors ligne

Pied de page des forums