kerod

Bonjour, Après 6 mois, est-ce que la solution est toujours stable et sans rejet ? A l'époque, j'avais suivi le tutoriel Mais comme son auteur, j'ai fini par l'arrêter car je commençais à avoir beaucoup de blocage des serveurs de mes destinataires...

@Einsteinium Ok merci pour la réponse. Juste une petite demande, sachant que je ne connais pas le fonctionnement : penses-tu qu'il soit possible d'enrichir la log afin de préciser la date de fin de validité et informer l'utilisateur que le certificat n'a pas été écrasé (toujours valide) ?

@Pinpon_112 je trouve facile to intervention...aucun contexte et tu te montres... je vais en donner car c’est de là que vient la déception et non la plainte... j’ai installé la solution (à 5-6 reprises) dès que je l’ai trouvé et je l’ai remise en question parce qu’il y avait des petites erreurs de codage (elles ont été corrigées à l’époque). Étant dans le codage, j’ai lu le script pour voir ce qu’il faisait et surtout pour le comprendre. Pour ne pas faire simple, j’ai opté pour la solution à la moins utilisée...Annulé et remplace. au premier renouvellement, j’ai eu une erreur, j’ai demandé de l’aide et j’en ai eu (j’ai modifié les valeurs de l’api car elles avaient sauté et personne ne m’a dit pourquoi à ce jour...). J’ai relancé le script et il a fonctionné en me donnant une erreur incohérente que j’ai remonté après ma lecture du code...À date, cette erreur est toujours là...j’ai demandé de m’aiguiller sur la logique du code pour que je fasse la modification moi-même, mais au bout de 3 mois sans considération ou réponse (si c’est moins fort), j’abandonne. tu sais ce n’est pas parce que tu ne fais pas comme les autres qu’il faut dénigrer ce qu’ils font en remettant leur solution en défaut, sans l’avoir éprouvée et j’en suis là. personne visiblement n’utilise l’annule et remplace, on me dit revoir ta solution, ça marche pour les autres dont moi, mais sans esprit critique pour se dire : je vais vérifier le fonctionnement de l’alternative qui est proposée... donc si le principe ici est d’être un mouton de faire comme tout le monde et quand il ne veut pas on lui montre du doigt (ses erreurs qu’on ne connaît pas...) ok je me casse... mon premier message il y a quelque jour était là pour dire qu’il avait toujours la même erreur que j’avais remonté...et on m’a sorti bancale sans en connaître la teneur de l’installation. Même dans l’éducation on ne sort pas ce terme... mais bravo et merci pour ton intervention @Pinpon_112

@Einsteinium Merci pour ton retour. J'ai repris le tutoriel et j'ai ajouté les éléments au .conf. Plus d'erreur sur l'identifiant et mot de passe, j'ai modifié le port pour qu'il soit celui de mon NAS et j'ai fini par avoir une nouvelle erreur. J'ai creusé et j'ai trouvé ce qu'il fallait valoriser et ça fonctionne. Par contre, j'ai un message comme quoi le certificat a été remplacé alors que la date de fin de validité n'a pas bougé. Est-ce normal ?

@Einsteinium Ok donc j'attends ton retour c'est ça ?

@oracle7 On ne va pas refaire l’histoire...J’ai déjà fait tout ce que vous m’avez dit il y a 2,5mois. Vous l’avez proposé votre aide et sans résultat... n’oublie pas que j’ai l’historique de nos échange...avisé avisé... j’ai déjà revue la totalité de la procédure mais avant de critiquer l’autre, il faudrait peut-être la revoir toi-même puisque tu proposes deux solutions et pour l’heure tu n’as toujours pas trouvé le problème dans la configuration annule et remplace et ce malgré t’avoir fourni les logs ainsi qu’à Bruno. il est bien dommage que je ne puisse pas faire de capture d’écran de nos échanges, mais je vais recopier tes derniers mp ici vu que tu sembles avoir oublié... Et on s'est arrêté là, avec un script qui me dit que le certificat n'est pas renouvelé alors que c'était bien le cas. Pour finir, lors de premier renouvellement en septembre, j'avais eu un problème avec le consumer key qui était refusé par le script. Je l'ai renouvelé et cela a fonctionné. Pour le renouvellement ce mois-ci, il m'a sorti une nouvelle erreur identique avec la connexion à l'API. Je n'ai pas renouvelé et j'ai utilisé la même API avec les mêmes clés avec une autre solution utilisant docker (mise sur ce forum également) et cela a fonctionné sans problème (sans renouvellement). On critique ma configuration, mais je l'ai déjà revue trois fois en septembre et je ne vais pas le refaire tous les trois mois parce que le système me dit qu'il faut que je le refasse alors que ça fonctionne bien avec d'autres système. Le jour où tu utiliseras la même configuration du script (Annule et Remplace et non Ajout) et que tu ne rencontreras pas les mêmes erreurs...on pourrait en rediscuter et mettre en défaut mon installation.

@Einsteinium J'ai testé ce jour la planification via le planificateur de tâches en y insérant directement le code (hors SSH). J'ai un message d'erreur... [Mon Dec 28 00:24:02 UTC 2020] SYNO_Username & SYNO_Password must be set [Mon Dec 28 00:24:02 UTC 2020] Error deploy for domain Je tiens à préciser que les deux sont existants...Est-ce réellement possible de le faire via le planificateur ?

@oracle7 Non je ne le ferai pas...C'est exactement ce que l'on a fait ensemble il n'y a près de trois mois (cf. messages privés) et vous n'avez pas trouvé d'où ça venait...sans compter le bogue du script python qui me dit qu'il ne renouvelle pas alors que c'est bien le cas avec le mode annule et remplace... Je suis passé sur une autre solution...

@oracle7 Non pas de connexion à double authentification/vérification en 2 étapes.

@oracle7 et @bruno78, nouveau renouvellement et nouveau KO. impossible de se connecter à l’api pourtant les codes sont bien là. La génération toujours en KO avec les mêmes erreurs précédemment partagées. Du coup, je suis passé sur la solution avec docker...avec la même API.

@Einsteinium oui tout était bien en root. Mais pour avoir lu sur Google il veut faire une interaction terminal qui n’existe pas et la solution était d’enlever le -it. 30min d’installation pour moi. J’attends donc le renouvellement pour voir si la suite fonctionne. PS : j’étais sur la solution d’oracle7 et bruno avant, on verra la différence dans deux mois.

Hello, Merci pour ce tutoriel. Mon petit retour est que je me suis cassé les dents sur le scripting via le planificateur de tâche. Lorsque je voulais lancer les commandes docker, j'avais toujours une erreur : the input device is not a TTY. J'ai donc enlevé l'option -ti pour que ce ça fonctionne, il faudrait peut-être le préciser dans le tutoriel.

@bruno78 Le remplacement a été simple. Rechercher / Remplacer. Si c'est comme ça, c'est que c'est la log qui l'a sortie ainsi.

@bruno78 j’ai tout blanchi et envoyé à @oracle7 hier soir. pas si simple que ça avec tout les token et lien envoyant vers des données de certificat. pour finir voici le début du log. -- acme_renew release : Version 1.44 Released -- 21-aout-2020 -- version Python system : Python 2.7.12 -- SYNOCERT : /usr/syno/etc/certificate -- LOCALCERT : /usr/local/etc/certificate -- ACMECERTS : /volume1/certs -- ndd.tld : -- certtype : RSA -- scriptdir : /volume1/certs/Acme_renew -- log [-l] : True -- clean [-c] : False -- force [-f] : False -- test [-t] : False

@oracle7 J'ai l'impression de ne pas parler français. [Mon Sep 28 20:08:57 CEST 2020] Success [Mon Sep 28 20:08:57 CEST 2020] Return code: 0 [Mon Sep 28 20:08:57 CEST 2020] _error_level='2' [Mon Sep 28 20:08:57 CEST 2020] _set_level='2' [Mon Sep 28 20:08:57 CEST 2020] The NOTIFY_HOOK is empty, just return. [Mon Sep 28 20:08:57 CEST 2020] ===End cron=== -- Nouveau certificat par DEFAULT : Yan5LF --- Le certificat n'a pas ete renouvele. --- => Consulter le log : /volume1/certs/Acme_renew/acmelog --- Fin de la procedure

Pourquoi elle ne fonctionnerait pas alors que je ne l'ai pas changé et que la première fois que j'ai utilisé le script cela a fonctionné ? Le certificat est généré mais on a toujours l'erreur suivante à la fin du processus - Nouveau certificat par DEFAULT : Yan5LF --- Le certificat n'a pas ete renouvele. --- => Consulter le log : /volume1/certs/Acme_renew/acmelog --- Fin de la procedure

@oracle7 Non je ne penses pas tu vois, je pense qu'il y a un chemin en dur dans le fichier qui est souvent mis à jour et que le test à blanc ne permet pas de tester jusqu'au bout ou en tous cas le script ne remontait pas le problème. La différence entre la première génération qui a été correctement effectuée par le script en manuel et maintenant c'est les différentes mises à jour du script.

Bonjour, je suis dans le même cas, erreur lors de la tache de renew avec les txt qui ne sont pas ajoutés au domaine chez OVH acme_renew release : Version 1.44 Released -- 21-aout-2020 -- version Python system : Python 2.7.12 [Mon Sep 28 00:00:17 CEST 2020] error {"message":"This credential is not valid","httpCode":"403 Forbidden","errorCode":"INVALID_CREDENTIAL"} [Mon Sep 28 00:00:17 CEST 2020] The consumer key is invalid: SF8ErD1ESplr3w7sigucTHyY8vJ1fg02 [Mon Sep 28 00:00:17 CEST 2020] Please retry to create a new one. je vais faire du manuel ce soir pour voir

@bruno78 Merci toutes ces explications. Sur le sujet logs, je me suis en effet rendu compte que l’option était au final lié à acme.sh. Ce qui rend compréhension l’absence de contenu dans le fichier de logs. Il faut avouer que cela reste perturbant d’avoir un fichier de logs vide. a défaut d’avoir les logs acme.sh, on pourrait rediriger la sortie console dans le même fichier. Ça peut être une idée. Je n’ai pas analysé le code, je l’ai juste parcouru pour essayer de comprendre la logique de certaines choses qui me semblaient floues. Comme par exemple le mkdir. Ok c’est fait via le langage python mais du coup mon incompréhension (vu que j’ai fait très peu de Python) était sur le fait qu’on utilises le touch (commande SSG) pour le fichier de logs et l’inverse pour la création du dossier. C’est un choix, mais et c’est perturbant mais ça me va. merci pour ce script 😉

@oracle7 Si on doit vraiment réinstaller, on a le chapitre "2. Installation du Shell script ‘acme.sh’" Mais vu ta réponse j'en conclus que c'est possible...et que je peux le supprimer...et si un jour j'ai besoin de réinstaller, il me suffira de reprendre à l'étape 2. Merci. PS : Informatiquement parlant, cela s'appelle du nettoyage ou de la libération d'espace pour des packages qui ne sont plus utiles en l'état. Mais bon je m'arrête là. Cordialement.

@oracle7 Pour avoir fait de nombreux tutoriels dans ma "jeunesse" (et pourtant je le suis toujours), je ne trouve pas que c'est effrayé des personnes lambda. Par contre, quand on commence à parler de modification de compte root pour ne pas utiliser un sudo -i, là ça peut faire peur surtout connaissant les conséquences (comme tu le dis si bien). Personnellement, je passe pas le sudo -i et pas de souci sans avoir à créer une clé SSH RSA. Tout ça pour dire qu'une commande de test avec un -t en plus dans la ligne de commande que tu donnes déjà ne peut-être qu'un plus et qu'une suggestion pour une personne souhaitant tester le fonctionnement du python sans avoir un résultat disant que le certificat ne peut pas être renouveler car trop récent. Mais ce n'est que mon avis et pas mon tutoriel.

@oracle7 Tu n'es pas dans le développement pour dire ce genre de chose. Ce n'est pas parce qu'on a un affichage console qu'un log dans un fichier est inutile. Si c'était le cas, les développeurs et les administrateurs systèmes ne le feraient pas... Mais du coup je te retourne la question, si la console se suffit à elle-même, pourquoi générer un ficher vide ? Surtout que c'est le seul... @oracle7 Pour revenir sur le tutoriel, je me rend compte qu'on dit dès le début de récupérer les sources git Acme_install que l'on décompresse. Sauf erreur de ma part, on ne l'utilise plus son contenu après coup... Dans le python, on voit qu'on utilise /usr/local/share/acme.sh/acme.sh Et pas Acme_install/acme.sh-master/acme.sh Cela voudrait-il dire qu'on peut supprimer le répertoire Acme_install ? J'ai peut-être lu en diagonal mais je ne vois pas de passage sur la suppression de ce répertoire.

@oracle7 Certes, mais on peut dire que pour tester le fonctionnement du renew on peut utiliser la commande en y ajoutant le paramètre -t. Ca ne mange pas de pain et ça permet même aux personnes autres que des initiés de se rendre compte du fonctionnement sans avoir à attendre le cron du lundi.

@oracle7 Je ne sais pas si tu as vu mes derniers commentaires, donc je les remets ici. Qu'en penses-tu ?

@oracle7 J'ai préféré faire la ligne de commande réelle donc automatisée... Sauf erreur de ma part, ce n'est pas le manuelle qui est utilisée via le mode programmé. Donc diagonale, non je reste cohérent avec ce que je veux faire avec le script. EDIT Je suis repassé en mode "manuel" et donc en ligne de commande pour tester (peut-être qu'il faudrait le préciser dans le tutoriel autrement que via le -h). Je n'ai aucune erreur et ce malgré ma configuration spécifique comme indiquée dans le tutoriel.