Https://bap.a3a-architecture.fr/

Mic · November 7, 2024, 10:26am

Bonjour à tous,

j'ai un souci de renouvellement de certificat sur le site https://bap.a3a-architecture.fr/
la commande ci dessous m'indique à priori que tout est ok
admin$ sudo certbot renew --dry-run --cert-name bap.a3a-architecture.fr
Password:
Saving debug log to /var/log/letsencrypt/letsencrypt.log

Processing /etc/letsencrypt/renewal/bap.a3a-architecture.fr.conf

Simulating renewal of an existing certificate for bap.a3a-architecture.fr

Congratulations, all simulated renewals succeeded:
/etc/letsencrypt/live/bap.a3a-architecture.fr/fullchain.pem (success)

Pourtant le certificat est toujours en date d'expiration au 30/10/2024 et sur Chrome Safari ou Firefox il apparait comme non sécurisé. De plus comment renouivller automatiquement ce certificat Let's encrypt, je n'ai pas réussi à mettre en oeuvre la commande. Merci de votre aide

Osiris · November 7, 2024, 11:34am

Habituellement, je dirais : c'est normal, car vous utilisez l'option --dry-run. Si vous exécutez à nouveau Certbot sans cette option, vous renouvellerez votre certificat « pour de vrai » au lieu d'utiliser l'environnement de test.

Cependant, en regardant crt.sh | 15248930267, je vois que vous avez effectivement renouvelé votre certificat ce matin (vous pouvez vérifier en exécutant certbot certificates.

Quelle était la commande initiale avec laquelle vous avez obtenu votre premier certificat ?

Translated from English with Google Translate.

Aussi:

Veuillez remplir les champs ci-dessous pour que nous puissions vous aider. Remarque : vous devez fournir votre nom de domaine pour obtenir de l’aide. Les noms de domaine des certificats émis sont tous rendus publics dans les journaux de Transparence de Certificat (par exemple, crt.sh | example.com). Par conséquent, le fait de ne pas indiquer votre nom de domaine ici n’aide pas à le garder secret, mais rend plus difficile pour nous le fait de vous aider.

Je peux lire des réponses en Anglais :

Mon nom de domaine est :

J’ai exécuté cette commande :

Elle a produit cette sortie :

Mon serveur Web est (inclure la version) :

Le système d’exploitation sur lequel mon serveur Web s’exécute est (version incluse) :

Mon hébergeur, le cas échéant, est :

Je peux me connecter à un shell root sur ma machine (oui ou non, ou je ne sais pas) :

J’utilise un panneau de configuration pour gérer mon site (non, ou fournit le nom et la version du panneau de configuration) :

Mic · November 7, 2024, 1:23pm

Merci Osiris
J'ai passé la commande sans dry run (sudo certbot renew --cert-name bap.a3a-architecture.fr) et j’obtiens ceci :
sudo certbot renew --cert-name bap.a3a-architecture.fr
Password:
Saving debug log to /var/log/letsencrypt/letsencrypt.log

Processing /etc/letsencrypt/renewal/bap.a3a-architecture.fr.conf

Certificate not yet due for renewal

The following certificates are not due for renewal yet:
/etc/letsencrypt/live/bap.a3a-architecture.fr/fullchain.pem expires on 2025-02-05 (skipped)
No renewals were attempted.

De ce que je comprends pas de renouvellement attendu avant 05/02/25 et pourtant site toujours non sécurisé et inacessible sur certains navigateurs

Mon nom de domaine est : bap.a3a-architecture.fr/

J’ai exécuté cette commande : sudo certbot renew --cert-name bap.a3a-architecture.fr

Elle a produit cette sortie : The following certificates are not due for renewal yet:
/etc/letsencrypt/live/bap.a3a-architecture.fr/fullchain.pem expires on 2025-02-05 (skipped)
No renewals were attempted.

Mon serveur Web est (inclure la version) : MAMP Pro 5.5.1

Le système d’exploitation sur lequel mon serveur Web s’exécute est (version incluse) : Monterey 12.7.6

Mon hébergeur, le cas échéant, est :

Je peux me connecter à un shell root sur ma machine (oui ou non, ou je ne sais pas) : oui

J’utilise un panneau de configuration pour gérer mon site (non, ou fournit le nom et la version du panneau de configuration) : non

Mic · November 7, 2024, 2:58pm

Avec le commande certbot certificates, j'obtiens ceci :
admin$ certbot certificates
The following error was encountered:
[Errno 13] Permission denied: '/var/log/letsencrypt/.certbot.lock'
Either run as root, or set --config-dir, --work-dir, and --logs-dir to writeable paths.
Je ne sais pas quoi faire avec ça

MikeMcQ · November 7, 2024, 3:02pm

try

sudo certbot certificates

Mic · November 7, 2024, 3:16pm

Thank you Ok now i get this :
admin$ sudo certbot certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log

Found the following certs:
Certificate Name: bap.a3a-architecture.fr
Serial Number: 47f37f12731d49a11cce083f9530ffda06d
Key Type: ECDSA
Domains: bap.a3a-architecture.fr
Expiry Date: 2025-02-05 14:11:40+00:00 (VALID: 89 days)
Certificate Path: /etc/letsencrypt/live/bap.a3a-architecture.fr/fullchain.pem
Private Key Path: /etc/letsencrypt/live/bap.a3a-architecture.fr/privkey.pem

it seems to expier on 2025-02-05 however on my browsers the website is not secured and is expired since 10/30/2024 ; Have i missed something ?

MikeMcQ · November 7, 2024, 3:25pm

Did you restart Apache after getting the cert?

Mic · November 7, 2024, 4:00pm

U're absolutely right it's now renew to 2025-02-05 Thank you so much
Great help

Mic · November 7, 2024, 4:03pm

How can i set an automatic renewal on that certificate ?

rg305 · November 7, 2024, 5:23pm

The cert probably is auto-renewing.
The problem [to me] seems to be that the web server doesn't auto-restart/reload after the cert has been renewed.

Osiris · November 7, 2024, 6:18pm

You can add a --deploy-hook with a specific reload command for your webserver, which wil run if the certificate was renewed.

You can use sudo certbot reconfigure --cert-name bap.a3a-architecture.fr --deploy-hook "enter reload command here" to reconfigure your existing certificate for future renewals. (If your Certbot is new enough.)

Mic · November 7, 2024, 6:58pm

Thank you rg305 and Osiris will try that and will let you know.

Mic · November 11, 2024, 10:10am

Hello as i'm not really sure about the syntax for this command, am i on the good path with that ?
sudo certbot reconfigure --cert-name bap.a3a-architecture.fr --deploy-hook “service apache reload"

Osiris · November 11, 2024, 12:15pm

Yes, that should entirely be the correct command.

Mic · December 2, 2024, 9:02am

hi everybody
ok the latest command is enter
now i have a new error message, logs here [Thu Nov 28 22:59:19 2024] [error] [client 67.60.128.211] Invalid URI in request POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1
[Fri Nov 29 00:04:02 2024] [error] [client 60.221.228.127] Invalid URI in request POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1
[Fri Nov 29 04:44:44 2024] [error] Hostname cloud.a3a.archi provided via SNI and hostname 81.250.146.229 provided via HTTP are different
[Fri Nov 29 19:24:20 2024] [error] [client 47.251.31.177] Invalid URI in request POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1
[Fri Nov 29 22:22:26 2024] [error] [client 79.124.58.138] File does not exist: /Applications/MAMP/htdocs/bap/web/.git
[Sat Nov 30 08:01:15 2024] [error] [client 8.222.197.183] Invalid URI in request POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1
[Sun Dec 01 00:16:53 2024] [error] Hostname office.a3a.archi provided via SNI and hostname 81.250.146.229 provided via HTTP are different
[Sun Dec 01 02:25:00 2024] [error] [client 159.65.89.227] Invalid Content-Length
[Sun Dec 01 04:05:28 2024] [error] [client 172.105.246.139] Invalid Content-Length
[Sun Dec 01 04:05:46 2024] [error] [client 172.105.246.139] Invalid URI in request GET default.asp HTTP/1.1
[Sun Dec 01 04:07:56 2024] [error] [client 27.106.121.146] Invalid URI in request POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1
[Sun Dec 01 07:50:46 2024] [error] [client 8.218.133.9] Invalid URI in request POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1
[Sun Dec 01 09:52:56 2024] [error] Hostname bap.a3a-architecture.fr provided via SNI and hostname 81.250.146.229 provided via HTTP are different
[Sun Dec 01 22:06:31 2024] [error] [client 57.141.0.27] File does not exist: /Applications/MAMP/htdocs/bap/web/.well-known
[Mon Dec 02 03:13:35 2024] [error] [client 8.216.86.132] Invalid URI in request POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1
[Mon Dec 02 05:53:17 2024] [error] [client 144.126.229.46] Invalid URI in request POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1
[Mon Dec 02 09:50:26 2024] [notice] caught SIGTERM, shutting down

Any idea ?
Thanks community

Osiris · December 2, 2024, 9:06am

Those are just random scripted "attacks" against "known exploits". They show up in the logs of every webserver connected to the internet.

In this case it's an attempt to exploit CVE-2021-41773.

Mic · December 2, 2024, 9:06am

i have this message

Ports 80 and 443 are open on the router

Mic · December 2, 2024, 9:55am

i've added an htaccess file here /Applications/MAMP/htdocs/bap/web/ with this command :

RewriteEngine On
RewriteCond %{REQUEST_URI} ../
RewriteRule ^ - [F,L]

Same error

Mic · December 2, 2024, 11:39am

résolu avec IA merci à tous

system · January 1, 2025, 11:40am

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

Topic		Replies	Views
Let's Encrypt renouvellement de certificats Aide (en français)	5	16367	February 20, 2020
Renouvellement certificat dans domoiticz Aide (en français)	1	768	April 11, 2021
Auto renew let's encrypt Aide (en français)	3	999	May 27, 2022
Renew the certbot certificate Aide (en français)	13	5029	October 13, 2023
[SOLVED] Renew problem after long expiry Aide (en français)	5	1959	November 8, 2020

Https://bap.a3a-architecture.fr/

Related topics