Nextcloud LetsEncrypt

le 05-07-24 17:27

Toute cette manip doit intervenir après avoir généré votre nom de domaine. Évidemment, si vous n'utilisez pas de nom de domaine pour accéder à votre nextcloud depuis l'extérieur, vous n'avez pas besoin de tout ça.

Franchement, c'est assez cool. Facile à installer et facile à paramétrer. Je n'ai pas eu de problème si ce n'est un tout petit souci qui a disparu depuis, avec le transport http de l'outil qui rentrait en conflit avec apache2. Je suis obligé d'arrêter le service apache, de renouveler les certificats et de relancer après.

Dans notre fichier de configuration du site, vous vous rappelez, il y avait des lignes supplémentaires. Ces lignes doivent apparaître automatiquement lorsque vous demandez les certificats. Si ce n'est pas le cas, vous les ajoutez à la main.

Include /etc/letsencrypt/options-ssl-apache.conf
SSLCertificateFile /etc/letsencrypt/live/nomdusiteweb-0001/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/nomdusiteweb-0001/privkey.pem

Comme vous voyez, il y a la mention "live". Cela veut juste dire que dans le répertoire concerné, il y aura des liens vers les fichiers originaux qui eux se trouvent dans /etc/letsencrypt/archive
Donc, surtout, ne modifiez pas par les fichiers de live, ils sont générés automatiquement lorsque vous renouvellerez vos certificats.

Je me suis fait un petit batch pour renouveler quand je reçois un mail qui me prévient. Car Letsencrypt est méga cool, il genere des certificats à dates limitées et vous prévient quand il faut bosser.

Voici donc le bactch (à adapter évidemment selon la version de php) :
[prism="language-javascript"]
service apache2 stop
certbot renew

certbot renew --dry-run

service apache2 start
service php8.2-fpm restart
[/prism]

Attention, lorsque vous allez vous lancer, vous risquez de vous planter (forcément), d'avoir oublié ou mal tapé un truc. Bref. Letsencrypt nappréciee pas qu'il y ait desrenouvellementst en permanence et il ne faudrait pas vous faire bannir tout de suite...
Alors utilisez au début "certbot renew --dry-run". Dans ce cas, s'il y a uneerreur, vouss le saurez, mais vous n'aurez pas généré de certifs.


Image par Arek Socha de Pixabay