Project

General

Profile

WAzo HTTPS avec letsencrypt

Added by Franck OUILLE over 1 year ago

Bonjour,

Y a t-il une doc complémentaire à http://documentation.wazo.community/en/wazo-17.09/system/https_certificate.html#https-certificate concernant la mise en place de certificat letsencrypt ?

Car je bloque sur l'extension des certif demandé par Wazo en .crt et .key sous letsencrypt ils sont en *.pem

De plus comment ajoute t'on l'autorité ? chain.pem

Merci par avance,

Franck


Replies (10)

RE: WAzo HTTPS avec letsencrypt - Added by Sylvain Boily over 1 year ago

J'ai commencé à travaillé sur le sujet, mais c'est pas terminé, pour tester :

apt-get install wazo-plugind-cli
wazo-plugind-cli -c "install git https://github.com/sboily/wazo-plugind-letsencrypt" 

Pour supprimer

wazo-plugind-cli -c "uninstall quintana/letsencrypt" 

Et lire la doc sur le sujet : https://github.com/sboily/wazo-plugind-letsencrypt

RE: WAzo HTTPS avec letsencrypt - Added by Sébastien Duthil over 1 year ago

Le fichier privkey.pem de Let's Encrypt correspond au server.key de Wazo.
Le fichier fullchain.pem de Let's Encrypt correspond au server.crt de Wazo (ne fonctionne que depuis Wazo 16.15).

RE: WAzo HTTPS avec letsencrypt - Added by Peter PARKER about 1 year ago

Bonjour Sylvain,

Je vois que ce "projet" n'a pas bougé depuis 3 mois est il fonctionnel ou remis à plus tard ?

RE: WAzo HTTPS avec letsencrypt - Added by dudu clx about 1 year ago

coucou,

je pense qu'il est fonctionnel, et que le fait de ne pas avoir "bougé" depuis 3 mois le confirme
;)

++

ps:
https://pbxinaflash.com/community/threads/use-le-lets-encrypt-certbot-with-wazo.21717/
je croyais avoir lu un post sur le blog à ce sujet, mais je n'arrive pas à remettre la main dessus.

RE: WAzo HTTPS avec letsencrypt - Added by Sébastien R 10 months ago

Bonjour,

Avez-vous reussi à mettre en place le certificat SSL avec Letsencrypt ?

J'ai testé mais j'ai l'erreur suivante quand je lance la commande :

Traceback (most recent call last):
File "/usr/bin/wazo-plugind-cli", line 11, in <module>
load_entry_point('wazo-plugind-cli==0.1', 'console_scripts', 'wazo-plugind-cli')()
File "/usr/lib/python3/dist-packages/pkg_resources.py", line 356, in load_entry_point
return get_distribution(dist).load_entry_point(group, name)
File "/usr/lib/python3/dist-packages/pkg_resources.py", line 2476, in load_entry_point
return ep.load()
File "/usr/lib/python3/dist-packages/pkg_resources.py", line 2190, in load
['__name__'])
File "/usr/lib/python3/dist-packages/wazo_plugind_cli/main.py", line 8, in <module>
from xivo.cli.command.unknown import RaisingUnknownCommand
ImportError: No module named 'xivo.cli.command.unknown'

Cordialement,
Sébastien

RE: WAzo HTTPS avec letsencrypt - Added by Franck OUILLE 10 months ago

De mon côté oui c'est passé sans problèmes

RE: WAzo HTTPS avec letsencrypt - Added by Sébastien R 10 months ago

Vous avez juste passé les commandes suivante :

apt-get install wazo-plugind-cli
wazo-plugind-cli -c "install git https://github.com/sboily/wazo-plugind-letsencrypt"

????

RE: WAzo HTTPS avec letsencrypt - Added by Franck OUILLE 10 months ago

Yes !

j'avoue que j'ai pas noté ce que j'ai fait, mais il me semble que j'ai fait :

apt-get install wazo-plugind-cli
wazo-plugind-cli -c "install git https://github.com/sboily/wazo-plugind-letsencrypt" 

puis

/opt/letsencrypt/certbot-auto certonly -d tondomaine.fr

ou sinon tu le pousse à la main et tu vérifies aussi que le VHOST bien les certifs dans le bon dossier letsencrypt/live

VHOST :
/etc/nginx/site-enable/xivo


server {
    listen 80 default_server;
    server_name $domain;

    access_log /var/log/nginx/xivo.access.log;
    error_log /var/log/nginx/xivo.error.log;
    root /var/www/html;

    include /etc/nginx/locations/http-enabled/*;
}

server {
    listen 443 default_server;
    server_name $domain;

    access_log /var/log/nginx/xivo.access.log;
    error_log /var/log/nginx/xivo.error.log;
    root /var/www/html;

    include /etc/nginx/locations/https-enabled/*;

    gzip off; # gzipping SSL encripted data is a waste of time
    fastcgi_param HTTPS on;
    ssl on;

    #ICI CERTIF VERS DOSSIER LETSENCRYPT

    ssl_certificate /etc/letsencrypt/live/mondomaine/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/mondomaine/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA$
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_stapling on;
    ssl_stapling_verify on;
    add_header Strict-Transport-Security max-age=15768000;
}

petit restart de nginx et le tour est joué !

pour aide (à adapter sur nginx) : https://www.memoinfo.fr/tutoriels-linux/configurer-lets-encrypt-apache/

good luck ! :)
Franck

RE: WAzo HTTPS avec letsencrypt - Added by Sébastien R 10 months ago

Bonsoir,

Merci beaucoup pour vos indications, j'ai avancé à grand pas :)

mais il me reste une chose qui bloque, en effet dès lors que je modifie le VHOST il y a un problème lors du redémarrage de NGINX

Voici l'erreur ;

nginx: configuration file /etc/nginx/nginx.conf test failed

déc. 16 23:32:49 nginx7817: nginx: [emerg] "ssl" directive is duplicate in /etc/nginx/site...o:27
déc. 16 23:32:49 nginx7817: nginx: configuration file /etc/nginx/nginx.conf test failed
déc. 16 23:32:49 systemd1: nginx.service: control process exited, code=exited status=1
déc. 16 23:32:49 systemd1: Failed to start A high performance web server and a reverse pro...ver.
déc. 16 23:32:49 systemd1: Unit nginx.service entered failed state.
Hint: Some lines were ellipsized, use -l to show in full.

Avez-vous rencontré le même problème ?

Cordialement,
Sébastien

RE: WAzo HTTPS avec letsencrypt - Added by Sébastien R 10 months ago

Bonsoir,

J'avance petit à petit :) letsencrypt fonctionne pour l'interface, maintenant je bloque sur les APIs

Quel fichier dois-je modifier pour que wazo-auth prenne en compte le certificat LetsEncrypt ou bien il y a t-il un moyen de ne pas être obligé de faire une exception sur le certificat auto-signé ?

En effet de tant en tant notre CTI décroche et je suis obligé de passer sur chaque pour mettre une exception sur le certificat auto-singé .......

Cordialement,
Sébastien

    (1-10/10)