This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Ivanovitch

Membres
  • Compteur de contenus

    13
  • Inscription

  • Dernière visite

  • Jours gagnés

    1

Ivanovitch a gagné pour la dernière fois le 22 juillet

Ivanovitch a eu le contenu le plus aimé !

À propos de Ivanovitch

Mon Profil

  • Pays / Ville
    Paris
  • Mon NAS
    RS1221+

Visiteurs récents du profil

Le bloc de visiteurs récents est désactivé et il n’est pas visible pour les autres utilisateurs.

Ivanovitch's Achievements

Rookie

Rookie (2/14)

  • Collaborator Rare
  • Reacting Well Rare
  • Conversation Starter Rare
  • First Post Rare
  • Week One Done Rare

Recent Badges

5

Réputation sur la communauté

  1. Yep, faut plutôt voir ça comme un ultime garde-fou (on ne doit recevoir aucun e-mail si le docker marche car il renouvelle à 60 jours, les mails eux ne commencent qu’à 70). L’avantage c’est que c’est indépendant de toute config sur le Nas !
  2. Je ne pense pas non, mais tu peux toujours le faire au cas où tu supprimerai le dossier /ca , qui occasionnerai la création d’un nouveau compte Letsencrypt, tu n’aurais alors pas besoin de repasser la commande update-account
  3. tant que j'y pense, si vous voulez que let's encrypt vous envoie un mail de rappel pour le renouvellement (ça commence à partir de 20 jours de validité restante sur les 90 si on a pas déjà renouvelé) vous pouvez ajouter à votre account.conf avant la première demande de certificat : ACCOUNT_EMAIL='votre@email.tld' si vous avez déjà un certificat mis en place par acme (et donc un compte letsencrypt, automatiquement crée lors de la toute première demande), il faut passer la commande (en ssh ou tache planifiée exec unique) docker exec Acme --update-account --accountemail 'votre@email.tld' qui doit retourner account update success for https://acme-v02.api.letsencrypt.org/acme/acct/xxxxxxxxx c'est un mécanisme finalement assez utile, ça permet de se rendre compte si le docker déconne
  4. si le firewall de ton syno est actif, tu peux essayer de le désactiver temporairement ? le account.conf, tu l'as bien crée depuis l'éditeur de texte du syno en mode utf-8 ? car si tu l'as crée sur windows, les fin de lignes (caractère invisible cr-lf sur windows vs lf sur linux) peuvent foutre en carafe quand acme le relis. sinon, peux-tu paste la sortie de docker inspect Acme a call en ssh sur le nas
  5. yep, c'est tout à fait ce que je j'observe et décrit dans l'issue github j'ai testé mon fix comme un porc et y'a plus aucun soucis ni de délivrance du certificat ni de pollution, yay !
  6. ma PR a été mergée dans la branche dev, neil à meme pas posé de question donc mon fix sera dispo sur le docker à la prochaine release (merge de dev vers master) en attendant, si vous avez le problème, la seule solution est d'insister comme un porc sur la requête issue, ça fini par passer... c'est normal que tu vois des requetes /domain/zone/__acme-challenge.ndd.tld par contre elles doivent être refusées avec un 403 Unauthorized + "this call has not been granted" des fois elles ne le sont pas et acme considère que ton domaine est "__acme-challenge.ndd.tld" au lieu de "ndd.tld" et ca fait déconner tout le reste vu que c'est pas le bon domaine
  7. pour info, j'ai bien galéré, mais j'ai fini par trouver et ai proposé un patch pour fix le bug d'ajout/suppression des TXT https://github.com/acmesh-official/acme.sh/issues/3616
  8. problème de config réseau en dirait, acme.sh arrive pas à contacter l'API LE. ton nas à bien accès au net ? en ssh dessus, tu peux ping letsencrypt.org ? sinon un log plus long pourrais aider...
  9. bon j'ai une piste qui indiquerai que c'est pas les API ovh qui déconnent mais acme.sh... quand ça fail, c'est le script qui construit une requête "records of the zone" mal formée de Ia forme get domain/zone/_acme-challenge.ndd.tld/record?... au lieu de get domain/zone/ndd.tld/record?... l'api répond du json pour dire que ca n'existe pas (obviously, c'est pas le bon domaine). Le script lui s'attends à l'ID (rid, record id) associé au TXT demandé dans les params du get... il essaye de continuer avec le json au lieu d'un long int sur le call d'après (get record id properties ) et se fait jeter par curl qui lui dit requete mal formée ! maintenant reste à trouver pourquoi... si c'est avéré j'irai ouvrir une issue (ou ptet une PR de fix si c'est facile) sur GH bon, peux pas tester plus maintenant, incident let's encrypt
  10. ahah, je vois je suis donc pas fou ton script sera plus que le bienvenu !! Je viens de faire 10 essais de suite: 100% ok : 1 cert ok mais suppr record nok : 2 nok no cert : 7 donc, même avec le script de bruno pour dépolluer la zone, on est sur un taux de réussite de seulement 30% Et à priori c'est juste OVH qui déconne car -sur les problèmes que je vois- la partie LE concerne uniquement l'acquisition des challenges à mettre dans les TXT, pas leur création / suppression. A continuer de tester dans les jours/semaines qui suivent mais si OVH continue à faire des siennes, une solution plus pérenne pourrait être délocaliser la zone DNS chez DigitalOcean, CloudFlare, ... pas idéal mais bon C'est un txt nommé __acme_challenge.ndd.tld ? tu peux le supprimer, car justement il est (sont) normalement crée et détruit durant la procédure de renouvellement
  11. Ivanovitch

    Hai

    oulah oui en effet ! C'est corrigé, c'était à cause mon extension Dark Reader (pour pas se buter les yeux dans le noir) !
  12. Ivanovitch

    Hai

    bon ca fait 10 ans que j'ai un compte ici, faudrait ptet que je me présente ! - Votre âge : ~30 - Votre niveau en informatique : dev pas trop dans le domaine linux à la base (embarqué, genre petit microcontrôleurs) mais j'y viens petit à petit ! - Vous avez quel modèle de nas et de disque dans celui ci. RS1221+ avec 2 ssd ironwolf pro de 1TB en raid 1 et 3 HDD ironwolf 6TB (les plus gros modeles seagate en 5400rpm) en SHR pour le reste upgradé à fond avec 32GB de ram crucial ECC, une carte réseau 2*10 GB mellanox connect-x 3 MCX312B double sfp+ connecté à un unifi switch aggregation en DAC lui même connecté à une unifi dream machine pro qui choppe son net direct depuis l'ONT FTTH RED (thx lafibre.info ), et j'ai un failover 4G via un modem nighthawk M1 4G (les coupures fibre chez red sont pas si rares que ça....) tout ca dans un rack startech 12U qui héberge aussi mon pc principal dans un boitier 4U. Homelab FTW! Ayy un onduleur 2U 1000VA cyberpower aussi. Bel engin 20kg+ ! j'ai aussi un RS819 qui me sert de backup / test / roue de secours... mais il va probablement partir sur la section A/V ! - Vous êtes utilisateur d’un synology depuis longtemps ? Vous avez eu d’autres modèles avant ? depuis dsm4 je crois, j'ai commencé par un 1511+ qui est monté progressivement à 5*2TB - Un peu d’informations sur votre utilisation, services, paquets, etc... dockers & vm en tout genre pour le taff, en perso en ce moment je teste pleins de trucs pour la domotique: home assistant, esphome, node red, grafana, influxdb, home bridge, ... j'ouvrirai probablement un volet media avec la série des dockers rrrrr par la suite
  13. salut à tous et un grand merci pour le tuto ! est-ce que vous rencontrez des problèmes aléatoires avec les APIs OVH ? Elle sont super instables chez moi: un coup tout passe, un coup c'est un des deux txt record add qui fail (du coup pas de cert derrière), un coup c'est le delete record qui fail (donc cert obtenu mais ca poubellise ma zone DNS)... je précise que quand c'est 100% OK ou quand j'ai juste erreur sur la suppression d'un des record txt je peux continuer et déployer le cert sans soucis. j'ai supprimé puis recrée les API plusieurs fois: ça ne change rien. Surtout, si elles étaient crées NOK ca ne passerai jamais... https://api.ovh.com/createToken/?GET=/domain/zone/ndd.tld/*&POST=/domain/zone/ndd.tld/*&PUT=/domain/zone/ndd.tld/*&GET=/domain/zone/ndd.tld&DELETE=/domain/zone/ndd.tld/record/* pas d'espace alakon ni rien donc voici ma procédure de test ssh root (pas sudo, vrai root par clé) docker run --rm -itd --name=AcmeSSL -v /volume1/docker/AcmeSSL:/acme.sh neilpang/acme.sh daemon puis la boucle de test en elle même: docker exec AcmeSSL --issue --keylength 4096 -d ndd.tld -d *.ndd.tld --dns dns_ovh --test suppr dossiers ca & ndd.tld du volume (pour pouvoir boucler sans se manger un 'domain already verified') go to 1 utilisation du --test pour utiliser les serveurs staging de LE, histoire de pas consommer les 5 certs/semaine comme je lance le docker en --rm je peux éventuellement faire un RAZ total en faisant un docker stop AcmeSSL mais en pratique ca change rien à l'occurrence je vais essayer de faire flow de test un peu plus debuggable avec un soft genre Postman, mais déjà si des gens ici ont une idée / observent la même chose ...?