Dut Surleweb

Alors, je n'ai rien fait de façon directe. LetsEncrypt, après l’échec de validation par le dépot d'un fichier sur le serveur web, fait une tentative de vérification d'une ligne déposée dans la Zone DNS. Dans le message emis lors du challenge, c'est que qui était indiqué avoir marché. ça se manifeste lors de la création du challenge par cette ligne. waiting for domain verification. challenge is valid generating 1096 bit RSA key for trucmuche.org ... Certificate has been created successfully quand je regarde ma zone, la seule ligne qui semble se rapporter à cela est TXT _acme-challenge-test 5 "pre-check" J'espère (sans beaucoup d'illusion) que ces indications pourront etre utile. Je vous remets en lien l'explication de Let's Encrypt sur les différents types de challenge. https://letsencrypt.org/fr/docs/challenge-types/ Cordialement.

Plusieurs jours après, et quelques tentative infructueuses, j'ai eu un retour positif. Il semblerai que pour la seul extension en nas., le challenge était résolu non par le dépot d'un fichier sur le seveur web du nas, mais par une verification au niveau du DNS. Je suppose donc que ton indication était concluante. Merci à toi. J'espère que ça ira mieux au renouvellement.

Alors oui, les deux lignes ci-dessus (en ayant préalablement oté la ligne évoquée non correcte) ne changent pas apparemment le comportement (même message abrupt) Par contre, après que j'aie fait cette manipulation sur le DNS, si je crée .well-known/acme-challenge dans mon arborescence web, à côté de index.html, j'obtiens un message d'échec plus engageant : J'ignore la nature de cette autorisation (droit sur un fichier, au niveau du serveur nginx?) Je constate donc que Scaleway a un fonctionnement plus strict que WebAlternative concernant le challenge, et j'aurai bien ça en tête pour la suite. et qu'il est evident que je n'ai pas suffisamment lu le manuel.

Je confirme que j'ai un hébergement sur un serveur (chez Scaleway) à l'adresse en .53. J'ai déclaré un sous domaine nas dans ma zone DNS pour pointer vers mon domicile(adresse en .155), et plus spécifiquement vers mon NAS (port80/5001/443) . le bail de mon NAS est statique et les redirections se font bien. nas.trucmuche.org affiche la page web de mon webstation, car quand on omet le port, le navigateur prend 80: par défaut, nas.trucmuche.org:5001 pointe vers le DSM et me permet toutes les manips tout fonctionne correctement, à l'exception de cette maudite histoire de certificat.

L'adresse en .53 est celle de mon domaine déclaré chez mon hébergeur. L'adresse en 155 est mon IP fixe à mon domicile, là où se trouve le NAS. Comme c'est une IP fixe, mon hébergeur précédent m'a indiqué de mettre des A et pas des CNAME. Je suis un garçon peu contrariant et je n'avais surtout pas d'argument contraire. l'adresse nas.trucmuche.org affiche la page web par défaut , c'est accédé en port 80 et ça montre que le Syno sert bien des pages web et que le port est ouvert. OK, je vais tenter d'ajouter un CNAME, mais je me demande bien pourquoi cela s'avèrerait necessaire maintenant seulement. OK. J'ai mis un CNAME à la place de A, sans amélioration.

@oracle7 Je suis désolé d'abuser de ta patience de te fourvoyer à cause de mes imprécisions. J'ai ré-initialisé le DSM pour que mes différentes manip soient annulées et partir d'une version «saine». Ce well-known, c'est un jeton que le service let's encrypt tente de poser sur le serveur web pour s'assurer qu'il est accessible. https://letsencrypt.org/fr/docs/challenge-types/ Concernant la zone DNS de mon trucmuche.org, elle contient de nombreuses entrées, dont je te mets quelques éléments significatifs en pièce jointe. J'accède à l'interface web DSM en tapant : https://nas.trucmuche.org:5001 Concernant l'autre question : J'ai créé le certificat let's encrypt depuis l'interface de gestion de mon hebergement (Direct admin). Nom principal : trucmuche.org, autres noms bla.trucmuche.org, bli.trucmuche.org, nas.trucmuche.org. C'est quand j'ajoute le nas.trucmuche que j'ai une erreur car le service lets encrypt me dit qu'il n'arrive pas à vérifier le jeton de challenge. (le site nas.trucmuche.org est pourtant bien accessible avec une page par défaut Hello Welcome to Synology) Si je tente de créer le certificat via l'interface du NAS, avec tous les noms, il me donne : «Echec de la connexion à Let's Encrypt: Assurez-vous que le domaine est valide» les ports 80 et 443 de ma box pointent bien sur ma box en TCP Je bute.

@oracle7 Je doute que ma Zone DNS soit en cause, elle n'a pas bougé depuis des années, que j'accède au DSM sans soucis (autre que le certificat) et que c'est le premier renouvellement qui me pose problème. Si je reviens en arrière, je me rends compte que j'avais tenté de faire deux certificats différents, suite à l'impossiblité de créer un certificat unique pour l'ensemble de mes sous domaines. J'avais un message de ce type pour le sous domaine nas. associé à mon Syno Or il se trouve que j'ai changé récemment mes disques durs de NAS et je constate que le serveur web utilisé par Syno est nginx (précédemment c'était apache il me semble). Je n'ai pas de repertoire .well-known sur mon arborescence web. J'ai suivi les conseils en pied de ce fil (https://community.synology.com/enu/forum/17/post/96812) en créant les répertoires, je leur ai donné les user:group http:http , l'autorisation maximum à acme-challenge (777) J'ai aussi ajouté dans le fichier /etc/nginx/nginx.conf location ^~ /.well-known { allow all; auth_basic off; alias /volume1/web/.well-known/; } pour tenter que le répertoire soit accessible au challenge Rien n'y a fait. Est-ce que ces éléments sont de nature à changer ton analyse du problème. As-tu une suggestion pour devenir quitte de ce soucis ?

Comme tu le constate @oracle7, je suis moins présent en fin de semaine... Je vais tenter de répondre dans la citation en surlignant. Indique-moi si c'est un choix malheureux ou pas l'usage sur ce forum. J'ajoute que j'ai demandé, et renouvelé un certificat depuis l'interface DSM pour nas.trucmuche.org, alors que j'ai par ailleurs un certificat général pour mon domaine trucmuche.org et quelques autre extensions. C'est pas problèmatique, ça ? Au plaisir de te lire.

@oracle7 1 : J'ai fait 2 : Je bute : quand je clique sur configurer, il ne me propose aucun choix (la fenêtre est vide : juste l'entête service, certificat, pas de champs affiché ni modifiable) 3 : Fait, 4 : Pas d'autre certificat en vue sur le navigateur je tapes bien nas.trucmuche.org:5001, désolé de l’imprécision, et je suis bien propriétaire du domaine trucmuche.org Quand j'accède avec nas.synology.me, j'ai le même message qu'avec nas.trucmuche.org Merci du temps que tu consacres à me répondre.

@oracle7 J'ai tout bien viré comme tu dis, mais toujours ce même message. C'est d'autant plus troublant que le certificat Synology (celui par défaut) n'apparait pas dans la liste. Quand j'affiche le certificat, j'ai bien un certificat pour Synology, donc l'alerte est logique J'ajoute qu'en cliquant sur le message, j'ai ce message, que je ne comprends pas

Merci @oracle7, je laisse tomber l'utilisation de wildcard, car je ne souhaite pas me lancer pour l'instant dans le tuto. Par contre, je suis perplexe car j'ai demandé la création d'un certificat Let's Encrypt depuis le NAS. Que celui-ci est le seul visible dans la liste des certificats, mais que pour autant quand me me connecte au NAS, j'ai un avertissement car le certificat affiché est celui de Synology. J'ai vidé l'historique et redemarré le NAS, bien-sûr.

Quinquagénaire par inadavertance, je suis un utilisateur régulier du web depuis... bien longtemps. Dans le cadre du montage d'un magazine web culturel contributif, j'ai été amené à assurer l'administration du site (en SPIP), puis de fil en aiguille l'hébergement d'autres sites SPIP, afin d'engranger de menues facturations et maintenir le premier dans la gratuité. L'un des clients de l'association, photographe , m'avait demandé d'héberger physiquement chez moi le NAS sur lequel il avait déposé l'ensemble de son fond photographique en guise de sauvegarde. J'ai pu ainsi commencer à disposer d'un Synology, principalement à but de dépot de sauvegardes des sites hébergés par mon association. Mon NAS est ancien, DS213J mais suffisant pour les besoins. J'ai récemment fait l'acquisition de deux disques 3To en remplacement de mes anciens, afin d'être plus à l'aise en espace de stockage et profiter d'un lecteur réseau hifi, qui s'alimente sur le NAS en réseau local. Mes paquets sont pour l'instant restreints : serveur web (pas utilisé dans la pratique car je travaille en dev sur un ubuntu local), serveur SVN pour suivre les évolutions de code des sites hébergés

Oracle7, merci de ton indication, qui m'a permis d'avancer grandement. Après avoir oublié l'adresse du NAS dans firefox, j'ai pu me connecter au DSM et ajouter le couple cléprivé/certificat via l'interface graphique Je remarque que dans les paramètre le HSTS n'était pas activé, mais la redirection des connexions HTTP vers HTTPS oui, donc j'ai décoché cette option. Je suis décoincé, mais j'ai encore le soucis suivant : Malgré un redemarrage du NAS. et le seul certificat apparaissant dans l'interface étant *.trucmuche.org, j'ai encore le message Que manque t'il pour que le certificat joker soit pris en compte ? Est-ce le fait que ce soit un joker qui pose problème ? Désolé de la relance.

Désolé, je ne peux pas passer outre car j'ai ce message : Si je demande les options avancées : Donc, il faut que je puisse intaller le certificat pour mon site trucmuche. J'ai bien en ma possession un certificat et une clé privé, mais j'ignore comment les injecter sur la NAS, sans pouvoir utiliser pour cela l'interface DSM. Merci de vos indication

Bonsoir et désolé si ma question est celle d'un néophyte. J'ai commis une bévue en supprimant le certificat let's encrypt de mon NAS. J'aimerai le remettre (j'ai sauvegardé quelque part le certificat et la clé privée), mais je n'accède pas au DSM : Le navigateur m'indique «Firefox ne fait pas confiance à ce site, car il utilise un certificat qui n’est pas valide pour nom.dunas:5001. Le certificat n’est valide que pour synology.» Merci si vous pouvez me confirmer que ces deux données sauvegardées pourront rétablir, et me donner un moyen de les importer via la ligne de commande. Cordialement.