Path: ...!news.mixmin.net!weretis.net!feeder8.news.weretis.net!news.trigofacile.com!.POSTED.176-143-2-105.abo.bbox.fr!not-for-mail
From: =?UTF-8?Q?Julien_=c3=89LIE?= <iulius@nom-de-mon-site.com.invalid>
Newsgroups: fr.comp.usenet.serveurs
Subject: Re: letsencrypt et INN2
Date: Sat, 11 Jun 2022 10:19:11 +0200
Organization: Groupes francophones par TrigoFACILE
Message-ID: <t81j60$2d7ss$1@news.trigofacile.com>
References: <t7tcqp$ls2$1@rasp.pasdenom.info>
 <t7v2vq$gel$1@rasp.pasdenom.info>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Sat, 11 Jun 2022 08:19:12 -0000 (UTC)
Injection-Info: news.trigofacile.com; posting-account="julien"; posting-host="176-143-2-105.abo.bbox.fr:176.143.2.105";
	logging-data="2531228"; mail-complaints-to="abuse@trigofacile.com"
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:91.0)
 Gecko/20100101 Thunderbird/91.10.0
Cancel-Lock: sha1:2XWrFHYxfy4FxepmSIUUBYPNzBU= sha256:a2wnnVN/80OC2zi32cajOhJ+e2WqWBMjWGp6hSw4KVM=
	sha1:QOgol0d0sB/MjkJEwoWKYZE2nds= sha256:CPB5DuH751e6+ITHlNUNBD0kEMj4+eiYMe801wd4RvE=
In-Reply-To: <t7v2vq$gel$1@rasp.pasdenom.info>
Bytes: 3515
Lines: 65

Bonjour Stéphane,

>> Il y a t'il une documentation pour utiliser un certificat Let’s Encrypt
>> sur INN2 (avec nnrpd).
> 
> C'est désormais indiqué dans la doc...

:-)


> <https://www.eyrie.org/~eagle/software/inn/docs-2.6/inn.conf.html>
> #    tlscapath:      /etc/letsencrypt/live/news.server.com
> #    tlscafile:      /etc/letsencrypt/live/news.server.com/chain.pem
> #    tlscertfile:    /etc/letsencrypt/live/news.server.com/cert.pem
> #    tlskeyfile:     /etc/letsencrypt/live/news.server.com/privkey.pem
> 
> Pour tlsciphers, je n'arrive pas à renseigner le champs.

Il n'y a pas besoin de renseigner tlsciphers, à moins que tu ne 
souhaites modifier ce que ton OpenSSL propose et accepte.

Perso, j'utilise dans inn.conf :

tlscapath:   /etc/letsencrypt/live/news.trigofacile.com
tlscertfile: /etc/letsencrypt/live/news.trigofacile.com/fullchain.pem
tlskeyfile:  /etc/letsencrypt/live/news.trigofacile.com/privkey.pem

mais comme tu as INN 2.6.4 il me semble, qui attend la chaîne de 
certification dans un fichier séparé (contrairement à la 2.6.5), il 
faudrait pour toi utiliser les 4 lignes que tu as citées, avec tlscafile 
pointant vers chain.pem et tlscertfile vers cert.pem.
Tous ces fichiers sont fournis par Let's Encrypt. J'utilise Certbot pour 
les générer.


Ma conf dans le cli.ini et aussi renewal/news.trigofacile.com.conf :

key-type = rsa
rsa-key-size = 3072
#preferred_chain = "ISRG Root X1"
email = news@xxx-ton-serveur.com
authenticator = standalone

avec bien sûr la bonne adresse dans email.


> inncheck couine quand je mets :
> tlsciphers: TLS_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Il faut une chaîne de caractères, donc des guillemets autour.
Je ne te recommande toutefois pas de modifier ce paramétrage...


> Avec ça, (je n'y comprends rien), ça a l'air OK :
> 
> tlsciphers: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
> 
> Mais flnews n'est toujours pas content.

Il vaudrait mieux je pense utiliser une clef RSA. L'interopérabilité est 
actuellement meilleure avec une clef RSA que ECDSA.

-- 
Julien ÉLIE

« Bibite, fratres, bibite, ne diauolus uos otiosos inueniat. »