Re: letsencrypt et INN2

Liste des GroupesRevenir à fcu serveurs 
Sujet : Re: letsencrypt et INN2
De : iulius (at) *nospam* nom-de-mon-site.com.invalid (Julien ÉLIE)
Groupes : fr.comp.usenet.serveurs
Date : 11. Jun 2022, 10:19:11
Autres entêtes
Organisation : Groupes francophones par TrigoFACILE
Message-ID : <t81j60$2d7ss$1@news.trigofacile.com>
References : 1 2
User-Agent : Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:91.0) Gecko/20100101 Thunderbird/91.10.0
Bonjour Stéphane,

Il y a t'il une documentation pour utiliser un certificat Let’s Encrypt
sur INN2 (avec nnrpd).
 C'est désormais indiqué dans la doc...
:-)

<https://www.eyrie.org/~eagle/software/inn/docs-2.6/inn.conf.html>
#    tlscapath:      /etc/letsencrypt/live/news.server.com
#    tlscafile:      /etc/letsencrypt/live/news.server.com/chain.pem
#    tlscertfile:    /etc/letsencrypt/live/news.server.com/cert.pem
#    tlskeyfile:     /etc/letsencrypt/live/news.server.com/privkey.pem
 Pour tlsciphers, je n'arrive pas à renseigner le champs.
Il n'y a pas besoin de renseigner tlsciphers, à moins que tu ne souhaites modifier ce que ton OpenSSL propose et accepte.
Perso, j'utilise dans inn.conf :
tlscapath:   /etc/letsencrypt/live/news.trigofacile.com
tlscertfile: /etc/letsencrypt/live/news.trigofacile.com/fullchain.pem
tlskeyfile:  /etc/letsencrypt/live/news.trigofacile.com/privkey.pem
mais comme tu as INN 2.6.4 il me semble, qui attend la chaîne de certification dans un fichier séparé (contrairement à la 2.6.5), il faudrait pour toi utiliser les 4 lignes que tu as citées, avec tlscafile pointant vers chain.pem et tlscertfile vers cert.pem.
Tous ces fichiers sont fournis par Let's Encrypt. J'utilise Certbot pour les générer.
Ma conf dans le cli.ini et aussi renewal/news.trigofacile.com.conf :
key-type = rsa
rsa-key-size = 3072
#preferred_chain = "ISRG Root X1"
email = news@xxx-ton-serveur.com
authenticator = standalone
avec bien sûr la bonne adresse dans email.

inncheck couine quand je mets :
tlsciphers: TLS_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
Il faut une chaîne de caractères, donc des guillemets autour.
Je ne te recommande toutefois pas de modifier ce paramétrage...

Avec ça, (je n'y comprends rien), ça a l'air OK :
 tlsciphers: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
 Mais flnews n'est toujours pas content.
Il vaudrait mieux je pense utiliser une clef RSA. L'interopérabilité est actuellement meilleure avec une clef RSA que ECDSA.
--
Julien ÉLIE
« Bibite, fratres, bibite, ne diauolus uos otiosos inueniat. »

Date Sujet#  Auteur
9 Jun 22 * Lestencrypt et INN212yamo'
10 Jun 22 +- Re: Lestencrypt et INN21Marc SCHAEFER
10 Jun 22 `* Re: letsencrypt et INN210yamo'
11 Jun 22  `* Re: letsencrypt et INN29Julien ÉLIE
11 Jun 22   +* Re: letsencrypt et INN25yamo'
11 Jun 22   i+* Re: letsencrypt et INN22Marc SCHAEFER
11 Jun 22   ii`- Re: letsencrypt et INN21yamo'
12 Jun 22   i`* Re: letsencrypt et INN22Julien ÉLIE
12 Jun 22   i `- Re: letsencrypt et INN21yamo'
11 Jun 22   `* Re: letsencrypt et INN23yamo'
12 Jun 22    `* Re: letsencrypt et INN22Julien ÉLIE
15 Jun 22     `- Re: letsencrypt et INN21yamo'

Haut de la page

Les messages affichés proviennent d'usenet.

NewsPortal