[[TUTO] Certificat Let's Encrypt avec acme.sh & api Ovh en Docker (DSM6/7) (Update 07/09/22)]

Il y a 3 heures, Pascalou59 a dit :

Bonjour

Question bete , faut il laisser cette ip ci dessus ??  ou mettre celle du Nas

car en mettant celle de mon Nas j'ai ce retour d'erreur en bas , je ne sais pas ce que cela veut dire

Install success!
[Sun Jan 31 00:34:01 UTC 2021] Using config home:/acme.sh
[Sun Jan 31 00:34:01 UTC 2021] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Sun Jan 31 00:34:01 UTC 2021] GET
[Sun Jan 31 00:34:01 UTC 2021] url='https://api.github.com/repos/acmesh-official/acme.sh/git/refs/heads/master'
[Sun Jan 31 00:34:01 UTC 2021] timeout=
[Sun Jan 31 00:34:01 UTC 2021] _CURL='curl --silent --dump-header /acme.sh/http.header  -L  -g '
[Sun Jan 31 00:34:01 UTC 2021] ret='0'
[Sun Jan 31 00:34:01 UTC 2021] Upgrade success!
[Sun Jan 31 00:34:01 UTC 2021] Using config home:/acme.sh
[Sun Jan 31 00:34:01 UTC 2021] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Sun Jan 31 00:34:01 UTC 2021] Auto upgraded to: 2.8.9
[Sun Jan 31 00:34:01 UTC 2021] Using config home:/acme.sh
[Sun Jan 31 00:34:01 UTC 2021] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Sun Jan 31 00:34:01 UTC 2021] _stopRenewOnError
[Sun Jan 31 00:34:01 UTC 2021] _set_level='2'
[Sun Jan 31 00:34:01 UTC 2021] di='/acme.sh/mondomaine.com/'
[Sun Jan 31 00:34:01 UTC 2021] d='mondomaine.com'
[Sun Jan 31 00:34:01 UTC 2021] Using config home:/acme.sh
[Sun Jan 31 00:34:01 UTC 2021] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Sun Jan 31 00:34:01 UTC 2021] DOMAIN_PATH='/acme.sh/mondomaine.com'
[Sun Jan 31 00:34:01 UTC 2021] Renew: 'mondomaine.com'
[Sun Jan 31 00:34:01 UTC 2021] Le_API='https://acme-v02.api.letsencrypt.org/directory'
[Sun Jan 31 00:34:01 UTC 2021] Using config home:/acme.sh
[Sun Jan 31 00:34:01 UTC 2021] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Sun Jan 31 00:34:01 UTC 2021] Skip, Next renewal time is: Fri Mar 26 23:00:48 UTC 2021
[Sun Jan 31 00:34:01 UTC 2021] Add '--force' to force to renew.
[Sun Jan 31 00:34:01 UTC 2021] Return code: 2
[Sun Jan 31 00:34:01 UTC 2021] Skipped mondomaine.com
[Sun Jan 31 00:34:01 UTC 2021] _error_level='3'
[Sun Jan 31 00:34:01 UTC 2021] _set_level='2'
[Sun Jan 31 00:34:01 UTC 2021] ===End cron===

 

Salut, tous va dépendre dans quel fichier est ta variable. En effet tu la retrouve dans 2 fichiers config sur le docker.

• 1. account.conf
• 2. mydomain.com/mydomaine.conf

Regarde sur la page précédente dans le fichier tu garde l'ip 172.17.0.1 et sur le fichier 2 tu met l'ip de ton nas

 

[[TUTO] Certificat Let's Encrypt avec acme.sh & api Ovh en Docker (DSM6/7) (Update 07/09/22)]

il y a 49 minutes, Einsteinium a dit :

Effectivement docker c’est toujours en root en ligne de commande, je vais le préciser.

Donc le port a changer c’est sur si tu a changer le 5000 par défaut, si cela ne marche toujours pas, à mon avis tu as un problème de password (un caractère spécial qui doit foutre la merde)

Haaa j'avais pas pensé aux caractères spéciaux avec mon générateur de password, je vais aller check ça.

 

Edit :

J'ai changé mon password par un plus court et avec moins de caractères spéciaux (javais des # / \, au final j'ai conservé l'@).

Suite ce changement j'ai effectué divers teste de configuration IP:PORT sur les fichiers config et j'ai enfin droit un "SUCCESS" 🤩.

[Sat Jan 23 15:05:28 UTC 2021] Logging into IP_du_NAS:PORT
[Sat Jan 23 15:05:28 UTC 2021] Getting certificates in Synology DSM
[Sat Jan 23 15:05:28 UTC 2021] Generate form POST request
[Sat Jan 23 15:05:28 UTC 2021] Upload certificate to the Synology DSM
[Sat Jan 23 15:05:42 UTC 2021] http services were restarted
[Sat Jan 23 15:05:42 UTC 2021] Success

Pour les modifications de port perso, voici les fichiers de config

• account.conf

  LOG_FILE="/acme.sh/acme.sh.log"
  LOG_LEVEL=1
  
  AUTO_UPGRADE='1'
  
  #NO_TIMESTAMP=1
      
  USER_PATH='/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin'
  SAVED_OVH_AK='xxxxx'
  SAVED_OVH_AS='xxxxx'
  SAVED_OVH_CK='xxxxx'
  UPGRADE_HASH='xxxxx'
  
  SAVED_SYNO_Scheme='http'
  SAVED_SYNO_Hostname='172.17.0.1'
  SAVED_SYNO_Port='5000'
  SAVED_SYNO_Username='NEW_USER'
  SAVED_SYNO_Password='p@ssW0rd'
  SAVED_SYNO_DID=''
  SAVED_SYNO_Certificate='ACME_Wilcard_LE_DOCKER'

   

• mydomain.com/mydomain.com.conf
  au final j'ai remplacer le port 5000 par mon port perso http
  et le hostname 172.17.0.1 par l'IP de mon NAS en local

  Le_Domain='ndd.tld'
  Le_Alt='*.ndd.tld'
  Le_Webroot='dns_ovh'
  Le_PreHook=''
  Le_PostHook=''
  Le_RenewHook=''
  Le_API='https://acme-v02.api.letsencrypt.org/directory'
  Le_Keylength='4096'
  Le_OrderFinalize='https://acme-v02.api.letsencrypt.org/acme/finalize/...'
  Le_LinkOrder='https://acme-v02.api.letsencrypt.org/acme/order/...'
  Le_LinkCert='https://acme-v02.api.letsencrypt.org/acme/cert/...'
  Le_CertCreateTime='1611254755'
  Le_CertCreateTimeStr='Thu Jan 21 18:45:55 UTC 2021'
  Le_NextRenewTimeStr='Mon Mar 22 18:45:55 UTC 2021'
  Le_NextRenewTime='1616352355'
  Le_DeployHook='synology_dsm,'
  SAVED_SYNO_Scheme='http'
  SAVED_SYNO_Hostname='IP_DE_MON_NAS'
  SAVED_SYNO_Port='MON_PORT_PERSO_HTTP'

Maintenant, je verrai dans 2 mois ce que ça donne et surtout merci pour l'aide.

[[TUTO] Certificat Let's Encrypt avec acme.sh & api Ovh en Docker (DSM6/7) (Update 07/09/22)]

Retour sur la suite du tuto et merci à @Einsteinium pour son aide en mp.

Alors pour aider les prochains :

blocage du script ici :

 

Error add txt for domain:_acme-challenge.ndd.tld

Après vérification pas d'enregistrement "_acme-challenge..." sur ovh, l'erreur venait surement de moi.

En effet, j'ai exécuté la commande en mode feignant avec un :

 

sudo docker exec Acme sh -c "acme.sh --issue --keylength 4096 -d 'ndd.tld' -d '*.ndd.tld' --dns dns_ovh"

en exécutant la commande après être passé en root via un 'sudo -i' je n'ai pas eu d'erreur.

Voilà pour la résolution de ce problème.

_____________________________________________________

Cependant j'ai un souci sur le déploiement auto.

J'ai parcouru plusieurs fois le sujet et @Skylnex à rencontré le même problème, j'ai suivi les conseils du tuto et ceux donner à Skylnex mais toujours pareil.

J'ai bien un compte admin privé de tous les droits et j'ai désactivé ma double authentification dans la gestion des users.

root@syno:~# docker exec Acme sh -c "acme.sh --deploy --home . -d 'ndd.tld' --deploy-hook synology_dsm"
[Sat Jan 23 13:44:16 UTC 2021] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 7
[Sat Jan 23 13:44:16 UTC 2021] Logging into 172.17.0.1:5000
[Sat Jan 23 13:44:16 UTC 2021] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 7
[Sat Jan 23 13:44:16 UTC 2021] Unable to authenticate to 172.17.0.1:5000 using http.
[Sat Jan 23 13:44:16 UTC 2021] Check your username and password.
[Sat Jan 23 13:44:16 UTC 2021] Error deploy for domain:ndd.tld
[Sat Jan 23 13:44:16 UTC 2021] Deploy error.

Le fait d'avoir mes dossiers docker sur le volume3 et non le 1 ne doit pas avoir d'impact mais du coup je le précise au cas où.

J'ai également des ports perso pour l'accès au Nas qui ne sont plus 5000 et 5001. J'ai fait des tests en changeant le port et le host dans le fichier account.conf et ndd.tld.conf mais pas d'amélioration.

J'ai également vérifié l'ip de mon docker qui est 172.17.0.3 et j'ai bien 172.17.0.1 pour la gateway. Reboot le syno et même donner les droits d'accès en écriture au nouveau profil au dossier docker.

Si l'un de vous à d'autres pistes.

Merci et bonne journée.

[[TUTO] Certificat Let's Encrypt avec acme.sh & api Ovh en Docker (DSM6/7) (Update 07/09/22)]

Bonsoir,

Je souhaite mettre en place votre solution pour le certificat LE.

La génération du certificat semble être OK (j'ai pas vue de message d'erreur ou alors j'ai pas fait attention).

Cependant il y a un point que je ne comprend pas lors du 3.a.

Citation

 

• 3) Installation des certificats :

 

A) Importation manuel :

Vos certificats seront disponibles directement dans filestation "docker/Acme/votredomaine" et ce qui nous intéresse dedans :

Certificat : mydomain.com.cer
Clé privée : mydomain.com.key
Certificat intermédiaire : ca.cer

On va maintenant faire leur import manuellement, dans "Panneau de configuration/Sécurité/Certificat", il faudra faire une petite conversion, avec le planificateur de tâche (Cf point 2C) ou en ssh en remplaçant "mydomain.com" et "DOSSIEREXPORT" :

openssl x509 -in /volume1/docker/Acme/mydomain.com/mydomain.com.cer -out /volume1/DOSSIEREXPORT/certificat.pem
openssl x509 -in /volume1/docker/Acme/mydomain.com/ca.cer -out /volume1/DOSSIEREXPORT/certificatintermediaire.pem
cp /volume1/docker/Acme/mydomain.com/mydomain.com.key /volume1/DOSSIEREXPORT/cleprivee.key

Dans un premier temps je n'ai pas les même extension de fichier pour le certificat qui est en csr au lieu de cer, ni de clé ca. Après exécution de la commande en ssh voici les fichiers et dossier qui sont créer.

Acme
-ca
--acme-v02.api.letsencrypt.org
---account.json
---account.key
---ca.conf
-mydomain.com
--mydomain.com.conf
--mydomain.com.csr
--mydomain.com.csr.conf
--mydomain.com.key
-account.conf
-acme.sh.log
-http.header

Dans un second temps, à quoi sert de changer mydomain.com par DOSSIEREXPORT. Est-ce que c'est pour pouvoir mieux dl les fichiers ?

Bonne soirée/journée