https://momh.fr/ My Own Memory Hole se veut une sorte de « vitrine » de mon parcours et de mon expérience mais aussi de mes centres d'intérêt et constitue donc en quelque sorte ma mémoire en ligne, mémoire virtuelle délocalisée mais ordonnée et indexée… fr SPIP - www.spip.net https://www.momh.fr/auto-hebergement-dynhost-ovh-et-certificat-let-s-encrypt-sous-raspbian https://www.momh.fr/auto-hebergement-dynhost-ovh-et-certificat-let-s-encrypt-sous-raspbian 2020-12-06T09:28:00Z text/html fr Brice Boucard Linux WeeWX auto-hébergement Raspberry Pi <p>Ayant «<small class="fine d-inline"> </small>associé<small class="fine d-inline"> </small>» ma station météo Netatmo à mon Raspberry Pi grâce à WeeWX (lire ce post), je souhaite désormais rendre accessible sur Internet le site web ainsi généré. Je considère ainsi que vous avez déjà un serveur Apache fonctionnel et configuré (même si nous aborderons la création d'un VirtualHost par la suite). <br class='autobr' /> DynHost et mise à jour de l'<span class="caps">IP</span> <br class='autobr' /> Étant chez <span class="caps">OVH</span>, je profite de leur service DynHOST qui «<small class="fine d-inline"> </small>permet de faire pointer un sous-domaine vers une adresse <span class="caps">IP</span> dynamique qui sera (…)</p> - <a href="https://www.momh.fr/blog" rel="directory">Blog</a> / <a href="https://www.momh.fr/linux" rel="tag">Linux</a>, <a href="https://www.momh.fr/weewx" rel="tag">WeeWX</a>, <a href="https://www.momh.fr/auto-hebergement" rel="tag">auto-hébergement</a>, <a href="https://www.momh.fr/raspberry-pi" rel="tag">Raspberry Pi</a> <div class='rss_chapo'><p>Ayant «<small class="fine d-inline"> </small>associé<small class="fine d-inline"> </small>» ma station météo Netatmo à mon Raspberry Pi grâce à WeeWX (<a href='https://www.momh.fr/station-meteo-netatmo-weewx-bis' class="spip_in">lire ce post</a>), je souhaite désormais rendre accessible sur Internet le site web ainsi généré. Je considère ainsi que vous avez déjà un serveur Apache fonctionnel et configuré (même si nous aborderons la création d'un VirtualHost par la suite).</p></div> <div class='rss_texte'><h2 class="spip">DynHost et mise à jour de l'<span class="caps">IP</span></h2> <p>Étant chez <span class="caps">OVH</span>, je profite de leur service DynHOST qui «<small class="fine d-inline"> </small><i>permet de faire pointer un sous-domaine vers une adresse <span class="caps">IP</span> dynamique qui sera mise à jour dans votre zone <span class="caps">DNS</span> à chaque changement de celle-ci.</i><small class="fine d-inline"> </small>».</p> <p>On crée notre DynHost puis on en gère les accès, en créant un nouvel identifiant. Puis, sur notre Raspberry Pi, on installe <code class='spip_code spip_code_inline' dir='ltr'>ddclient</code> :</p> <div class="precode"><pre data-language="bash" class='spip_code spip_code_block language-bash' dir='ltr' style='text-align:left;'><code>sudo apt install ddclient </code></pre></div> <p>Lors de l'installation, des écrans successifs vont nous permettre de le configurer :</p> <ul class="spip" role="list"><li> <i>Fournisseur de service de <span class="caps">DNS</span> dynamique :</i> Autre</li><li> <i>Protocole de mise à jour du <span class="caps">DNS</span> dynamique :</i> dyndns2</li><li> <i>Serveur de <span class="caps">DNS</span> dynamique :</i> <a href="http://www.ovh.com" class="spip_url spip_out auto" rel="nofollow external">www.ovh.com</a></li><li> <i>Mandataire <span class="caps">HTTP</span> :</i> néant</li><li> <i>Identifiant :</i> l'identifiant saisi précédemment (comprenant le nom de domaine en préfixe)</li><li> <i>Mot de passe :</i> le mot de passe correspondant</li><li> <i>Méthode de découverte d'adresse <span class="caps">IP</span> :</i> Service de découverte d'<span class="caps">IP</span> basée sur le web</li><li> <i>Hôtes à mettre à jour :</i> le DynHost créé précédemment</li></ul> <p>La configuration peut se faire sinon à la main, en éditant le fichier <code class='spip_code spip_code_inline' dir='ltr'>/etc/ddclient.conf</code> qui doit ressembler à cela :</p> <div class="precode"><pre class='spip_code spip_code_block' dir='ltr' style='text-align:left;'><code>protocol=dyndns2 use=web, web=checkip.dyndns.com server=www.ovh.com login=DOMAINE-USER password='PASSWORD' DYNHOST </code></pre></div> <p>Il vous faut ensuite éditer le fichier <code class='spip_code spip_code_inline' dir='ltr'>/etc/default/ddclient</code> et veiller à bien avoir :</p> <div class="precode"><pre class='spip_code spip_code_block' dir='ltr' style='text-align:left;'><code>run_daemon="true" </code></pre></div> <p>Et enfin, on redémarre ddclient :</p> <div class="precode"><pre data-language="bash" class='spip_code spip_code_block language-bash' dir='ltr' style='text-align:left;'><code>sudo service ddclient restart </code></pre></div><h2 class="spip">Redirection des ports</h2> <p>Ensuite, il faut se rendre dans l'interface de gestion de votre Box Internet et configurer, dans la section <span class="caps">NAT</span>, la redirection des port 80 et 443 vers ceux de votre Raspberry Pi (pour en connaître l'<span class="caps">IP</span> sur votre réseau local, utilisez la commande <code class='spip_code spip_code_inline' dir='ltr'>hostname -I</code>).</p> <p>Désormais, en saisissant l'<span class="caps">URL</span> de votre DynHost, vous devriez accéder à la même page que lorsque vous accédez à l'adresse localhost.</p> <h2 class="spip">Mise en place du <span class="caps">HTTPS</span></h2> <p>Pour ce faire, nous allons générer un certificat Let's Encrypt pour notre DynHost.</p> <p>On commence par copier, dans <code class='spip_code spip_code_inline' dir='ltr'>/etc/apache2/sites-available/</code>, le fichier <code class='spip_code spip_code_inline' dir='ltr'>000-default.conf</code> vers <code class='spip_code spip_code_inline' dir='ltr'>DYNHOST.conf</code><small class="fine d-inline"> </small>; par exemple :</p> <div class="precode"><pre data-language="bash" class='spip_code spip_code_block language-bash' dir='ltr' style='text-align:left;'><code>sudo cp /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/meteo.momh.fr.conf </code></pre></div> <p>puis par le configurer pour pointer vers notre répertoire <code class='spip_code spip_code_inline' dir='ltr'>/var/www/html/weewx</code> ou autre répertoire en fonction du ou des skin(s) que vous utilisez. Par exemple, minimalement :</p> <div class="precode"><pre data-language="apacheconf" class='spip_code spip_code_block language-apacheconf' dir='ltr' style='text-align:left;'><code><VirtualHost *:80> ServerName meteo.momh.fr ServerAdmin webmaster@localhost DocumentRoot /var/www/html/weewx ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined </VirtualHost> </code></pre></div> <p>Pour générer le certificat, nous allons utiliser <code class='spip_code spip_code_inline' dir='ltr'>certbot</code>, qu'il convient d'installer :</p> <div class="precode"><pre data-language="bash" class='spip_code spip_code_block language-bash' dir='ltr' style='text-align:left;'><code>sudo apt install certbot python3-certbot-apache </code></pre></div> <p>puis d'activer le module ssl d'Apache :</p> <div class="precode"><pre data-language="bash" class='spip_code spip_code_block language-bash' dir='ltr' style='text-align:left;'><code>sudo a2enmode ssl sudo systemctl restart apache2 </code></pre></div> <p>On peut alors générer notre certificat avec la commande suivante :</p> <div class="precode"><pre data-language="bash" class='spip_code spip_code_block language-bash' dir='ltr' style='text-align:left;'><code>sudo certbot --apache -d DynHOST </code></pre></div> <p>Il vous est proposé de rediriger l'éventuel traffic <span class="caps">HTTP</span> vers <span class="caps">HTTPS</span> :</p> <div class="precode"><pre data-language="bash" class='spip_code spip_code_block language-bash' dir='ltr' style='text-align:left;'><code>Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1: No redirect - Make no further changes to the webserver configuration. 2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for new sites, or if you're confident your site works on HTTPS. You can undo this change by editing your web server's configuration. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2 </code></pre></div> <p>Un certificat est alors généré et un nouvel hôte virtuel est configuré dans Apache, à l'emplacement <code class='spip_code spip_code_inline' dir='ltr'>/etc/apache2/sites-available/DYNHOST-le-ssl.conf</code>. Si vous avez choisi l'option 2, le VirtualHost présenté ci-dessus se voit modifié avec les lignes suivantes :</p> <div class="precode"><pre data-language="apacheconf" class='spip_code spip_code_block language-apacheconf' dir='ltr' style='text-align:left;'><code>RewriteEngine on RewriteCond %{SERVER_NAME} =DYNHOST RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent] </code></pre></div> <p>Pour voir que tout fonctionne, on peut utiliser l'outil de test proposé par <a href="https://www.ssllabs.com/ssltest/analyze.html" class="spip_out" rel="external">ssllabs.com</a>.</p></div>