Re: letsencrypt et INN2

Liste des GroupesRevenir à fcu serveurs 
Sujet : Re: letsencrypt et INN2
De : yamo (at) *nospam* beurdin.invalid (yamo')
Groupes : fr.comp.usenet.serveurs
Date : 11. Jun 2022, 12:05:27
Autres entêtes
Organisation : <https://pasdenom.info/news.html>
Message-ID : <t81pd7$gjq$1@rasp.pasdenom.info>
References : 1 2 3
User-Agent : Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0 SeaMonkey/2.53.12
Salut Julien,
Julien ÉLIE a tapoté le 11/06/2022 10:19:

Il n'y a pas besoin de renseigner tlsciphers, à moins que tu ne
souhaites modifier ce que ton OpenSSL propose et accepte.

Entendu, j'ai commenté la ligne.

Perso, j'utilise dans inn.conf :
 
tlscapath:   /etc/letsencrypt/live/news.trigofacile.com
tlscertfile: /etc/letsencrypt/live/news.trigofacile.com/fullchain.pem
tlskeyfile:  /etc/letsencrypt/live/news.trigofacile.com/privkey.pem

J'ai des soucis de droits UNIX, donc j'ai copié dans /etc/news les
fichiers et je les ai rendus lisibles par news(j'avais corrigé les
droits dans /etc/letsencrypt/archive/pasdenom.info mais ce n'était
bizarrement pas suffisant...

Donc j'ai copié dans /etc/news et j'ai mis (avant de lire ton message) :

tlscertfile:    /etc/news/fullchain.pem
tlskeyfile:     /etc/news/privkey.pem


Ça fonctionne avec Seamonkey mais pas avec flnews ni Pan...

Message-id: <t81o6k$dl7$1@rasp.pasdenom.info>
X-mozilla-news-host: snews://pasdenom.info:563

mais comme tu as INN 2.6.4 il me semble, qui attend la chaîne de

Oui, je suis en Debian stable.

certification dans un fichier séparé (contrairement à la 2.6.5), il
faudrait pour toi utiliser les 4 lignes que tu as citées, avec tlscafile
pointant vers chain.pem et tlscertfile vers cert.pem.
Tous ces fichiers sont fournis par Let's Encrypt. J'utilise Certbot pour
les générer.

Bon j'ai désormais :
tlscapath:      /etc/news
tlscafile:      /etc/news/chain.pem
tlscertfile:    /etc/news/cert.pem
tlskeyfile:     /etc/news/privkey.pem

Je n'ai pas encore fait le restart...

Ma conf dans le cli.ini et aussi renewal/news.trigofacile.com.conf :
 
key-type = rsa
rsa-key-size = 3072
#preferred_chain = "ISRG Root X1"
email = news@xxx-ton-serveur.com
authenticator = standalone
 
avec bien sûr la bonne adresse dans email.
Mais flnews n'est toujours pas content.
 
Il vaudrait mieux je pense utiliser une clef RSA. L'interopérabilité est
actuellement meilleure avec une clef RSA que ECDSA.

Bon je vais regarder...

flnews fonctionne bien avec eternal-september.


--
Stéphane

Date Sujet#  Auteur
9 Jun 22 * Lestencrypt et INN212yamo'
10 Jun 22 +- Re: Lestencrypt et INN21Marc SCHAEFER
10 Jun 22 `* Re: letsencrypt et INN210yamo'
11 Jun 22  `* Re: letsencrypt et INN29Julien ÉLIE
11 Jun 22   +* Re: letsencrypt et INN25yamo'
11 Jun 22   i+* Re: letsencrypt et INN22Marc SCHAEFER
11 Jun 22   ii`- Re: letsencrypt et INN21yamo'
12 Jun 22   i`* Re: letsencrypt et INN22Julien ÉLIE
12 Jun 22   i `- Re: letsencrypt et INN21yamo'
11 Jun 22   `* Re: letsencrypt et INN23yamo'
12 Jun 22    `* Re: letsencrypt et INN22Julien ÉLIE
15 Jun 22     `- Re: letsencrypt et INN21yamo'

Haut de la page

Les messages affichés proviennent d'usenet.

NewsPortal