Bonjour,

J'ai un VPS et un Raspberry. J'ai installé Grafana, InfluxDB et Telegraf sur le VPS et Telegref sur mon Raspberry. Les données du Raspberry sont envoyées dans InfluxDB sur le VPS. La connexion est bonne, tout fonctionne très bien.

Cependant, comme les VPS est hébergé chez OVH et que le Raspberry est chez moi, j'aimerai que les données soient envoyées de manières sécurisées.

J'ai créé un certificat auto-signé sur le VPS que j'ai configuré dans le vHost mais Nginx ne le prend pas en compte, il prend le premier certificat (Let's Encrypt) qu'il trouve par ordre alphabétique.  Du coup, impossible d'avoir une connexion sécurisée, même en activant le insecure_skip_verify dans Telegraf sur le Raspberry.

J'ai aussi essayé d'activer le https dans le fichier de conf d'InfluxDB en ajoutant la clé privée (auto signée) et l'autorité de certification (auto singée), mais dès que je passe https = false à true, erreur.

Est-ce que quelqu'un aurait une solution s'il vous plait ?

Salut, il faudrait voir ta config Nginx, que la redirection http soit bien faite sur https, ensuite la limite des certificats auto signés, c'est l'avertissement sur les navigateurs, pour des intranet ça peut fonctionner, pour une appli comme telegram que je ne connais pas, j'avoue que je sais pas si c'est possible.

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name 51.XX.XX.XX;
    root /var/www/mondossier;
    index index.php index.html index.html;

    ssl_certificate /etc/ssl/certs/ip-selfsigned.crt;
    ssl_certificate_key /etc/ssl/private/ip-selfsigned.key;
    ssl_session_timeout 1d;
    ssl_session_tickets off;

    ssl_dhparam /etc/ssl/certs/dhparam.pem;

    ssl_protocols TLSv1.2 TLSv1.3;
}

Mais quand je vais sur https://51.XX.XX.XX j'ai une alerte me disant SSL_ERROR_BAD_CERT_DOMAIN. Et effectivement le certificat utilisé est le premier qu'il trouve (par ordre alphabétique) dans /etc/letsencrypt/live/. Je ne comprends vraiment pas pourquoi. Que ce soit dans mon vHost ou dans nginx.conf à aucun moment le dossier letsencrypt n'est mentionné.

Pour ce qui est de la liaison InfluxDB/Telegraf en SSL, dans la doc' d'Influx ils disent bien d'utiliser un certificat auto signé dans ce genre de configuration.

édit: Désolé pour la mise en page du code, je ne sais pas pourquoi il écrit les sauts de lignes en html sans les faire

-
Edité par Hightmar 9 février 2022 à 18:14:16

SSL_ERROR_BAD_CERT_DOMAIN

ça semble une erreur de navigateur, ou plutôt un avertissement, pour dire que malgré que le certificat ne soit pas connu par un organisme de certificat reconnu, ça te met une erreur en guise d'avertissement pour accéder à la page web.

Tu auras une base, mais pour apache, pour ce genre de config.

https://www.remipoignon.fr/generez-un-certificat-ssl-auto-signe-pour-passer-en-https/

Bonjour,

Tu l'as généré comment le certificat auto-signé? Si tu utilises letsencrypt, pourquoi ne pas en générer un nouveau avec certbot (en prime il sera vérifié)?

La conf que tu nous donnes, c'est un test? ce n'est pas la conf du vhost pour atteindre ton serveur influxDB?

Tu pourrais regarder dans les logs de Nginx (/var/log) si quelque chose pourrait te mettre sur la voie.

Et sinon, quand tu désactives le vhost, tu atteins quand même un serveur?

-
Edité par KoaTao 9 février 2022 à 23:25:14

maroufle34 a écrit:

SSL_ERROR_BAD_CERT_DOMAIN

ça semble une erreur de navigateur, ou plutôt un avertissement, pour dire que malgré que le certificat ne soit pas connu par un organisme de certificat reconnu, ça te met une erreur en guise d'avertissement pour accéder à la page web.

Tu auras une base, mais pour apache, pour ce genre de config.

https://www.remipoignon.fr/generez-un-certificat-ssl-auto-signe-pour-passer-en-https/

C'est bien le problème. Nginx prend le premier certificat qu'il trouve dans les certificats Let's Encrypt sans prendre mon certificat auto singé.

KoaTao a écrit:

Bonjour,

Tu l'as généré comment le certificat auto-signé? Si tu utilises letsencrypt, pourquoi ne pas en générer un nouveau avec certbot (en prime il sera vérifié)?

La conf que tu nous donnes, c'est un test? ce n'est pas la conf du vhost pour atteindre ton serveur influxDB?

Tu pourrais regarder dans les logs de Nginx (/var/log) si quelque chose pourrait te mettre sur la voie.

Et sinon, quand tu désactives le vhost, tu atteins quand même un serveur?

-
Edité par KoaTao 9 février 2022 à 23:25:14

 Certbot et donc Let's Encrypt ne font pas de certificats pour des adresses IP.

J'ai généré le certificat en suivant un article de Digital Ocean.

Quand je désactive le vhost j'atteins le serveur oui, j'arrive sur la page pas défaut de Nginx. Avec le vhost j'arrive bien sur la page personnalisée

1) Vérifier les logs de NGINX (souvent dans /var/log/nginx/*.conf) (poste les logs si tu ne sais pas quoi regarder dedans).

2) Bypass tout élément qui pourrait altérer la requête/réponse:

- Changer le server_name par un nom bidon (exemple foo)

- Modifier /etc/hosts pour faire pointer foo vers 127.0.0.1

- cURL "https://foo" depuis le VPS et inspecter le certificat reçu:

curl -kv "https://foo"

 3) Checker toute la conf de NGINX:

cat /etc/nginx/nginx.conf
find /etc/nginx -name "*.conf" -print0 | xargs -0 grep -E "include|ssl"

-
Edité par KoaTao 19 février 2022 à 9:51:52