Aller au contenu

[Résolu]Certificat Let's encrypt et OVH


DaffY

Messages recommandés

Bonjour à tous,

Je me décide (enfin dirons certains) à passer au SSL... J'ai bien suivi les différents tutos ici et là et correctement fait les paramétrages en amont. Du reste sur un DDNS ...xxx.myDS.me cela fonctionne sans pb.

Mon souci est le suivant : j'ai un nom de domaine chez OVH. Un accès DDNS depuis le syno pour mettre à jour l'ip du domaine parce que je suis chez Orange non pro donc avec une ip dynamique.

Tout cela fonctionne sans pb :  lorsque je fais un nslookup de mon domaine pas de pb j'arrive bien à mon ip du reste le serveur web s'affiche sans souci.

Hors lorsque je veut créer le certificat j'obtiens le message suivant m'indiquant que le nom de domaine n'existe pas (sic) :evil:

agxm.png

 

Pire... J'ai fait une demande à l’assistance d'OVH et leur réponse fut :
 

Citation

 

"Bonjour Monsieur xxx,

Votre demande concerne l'activation du certificat SSL Let's encrypt pour votre site "xxx.com".

Suite aux vérifications, je vois que ce domaine pointe vers une adresse IP d'un serveur qui n'est pas OVH et c'est pour cette raison vous ne pouvez pas activer le certificat car il n'est disponible que pour les domaines qui pointent vers leurs propres hébergements OVH.

;; QUESTION SECTION:
;xxx.com. IN A

;; ANSWER SECTION:
xxx.com. 60 IN A xx.xxx.xxx.40"

 

 

J'ai quand même un gros doute sur cette réponse....

Y'a t il parmi nous quelqu'un disposant d'un nom de domaine chez OVH sans hébergement CHEZ OVH, accédant à son NAS via ce nom de domaine et disposant d'un certificat (oui ça fait beaucoup je sais)...??

Merci pour votre support.

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Daffy , 

 

Moi ! 

- J'ai un domaine chez OVH

- J'accède à à mon Nas (et autres) via ce nom de domaine  (ou les sous domaines) 

- Et j'ai un certificat Let's encrypt pour mon domaine et les sous domaines 

Et j'ajouterais que je suis chez orange aussi et que , comme toi (si j'ai bonne mémoire), je suis sur Mac. 

Lien vers le commentaire
Partager sur d’autres sites

Il ne faut pas d'enregistrement de type A dans la zone OVH quand on a une IP dynamique.

Chez OVH, on crée un DynHost .nomdudomaine.toto dont la cible est l'IP publique actuelle.

Sur le NAS, on crée une entrée DDNS  avec les données OVH dans le menu accès externe qui va permettre d'informer le DynHost des changements d'IP.

Et pour les enregistrements de zone, on crée des enregistrements CNAME qui pointent sur le nomdudomaine.toto

Attention : il faut attendre un délai de propagation pour que les liens du nom de domaine soient enregistrés sur les serveurs. Il se peut entre temps que la création de certificat ne soit pas possible si le serveur interrogé n'a pas encore les infos.

Lien vers le commentaire
Partager sur d’autres sites

OK Merci pour vos retours,

Je vais de ce pas re-supprimer le A (ce qui était le cas initialement - ie il n'était pas présent) que je venais d'ajouter au cas où... tout comme un AAAA puisque orange fibre tout est en ipv6 par défaut..

Oui j'ai fais comme indiqué par vous deux. J'ai même supprimé 2 trois items TXT selon des posts parcourus ici et là sur le sujet.  J'avoue que je ne comprend pas car ce que ce domaine qui pose pb...

Sans vouloir abuser de votre patience,  je vous propose les écrans de ma configuration OVH afin que vous puissiez y détecter la/les différences avec les vôtres qui pourraient expliquer mon pb.[je pense par exemple à la couche sécurité dnsec d'OVH... car mon site est bien dispo sur tous les DNS de la planète mais pas lorsque je tente la création d'un certificat....]

Je ne serais pas offusqué si vous refusez pas de souci.

PDF image ecran OVH manager

Lien vers le commentaire
Partager sur d’autres sites

Je ne vois rien de choquant dans les enregistrements. Est-ce que le DynHost est bien paramétré dans le NAS et est-ce que l'IP publique indiquée sur OVH et celle qui est active ?

Que donnent les tests avec DNSLookUp ?

Ah oui aussi, est-ce que le port 80 du routeur est bien dirigé vers le NAS et est-ce que le parefeu autorise l'accès ?

Lien vers le commentaire
Partager sur d’autres sites

Oui pour dynhost, ip publique ok, du reste un nslook renvoie la bonne ip, 80 et 443 routés vers nas...
Firewall lb à moyen et désactivé sur le nas... J'aimerai tant que cela vienne de là...
Comme j'ai réussi à le faire pour un ddns (xxxmyds.me) pour moi le pb vient bien de quelque chose chez OVH...En trop ou en absence ou en mal paramétré...

Lien vers le commentaire
Partager sur d’autres sites

Je ne suis pas chez orange mais mon fils oui et il se trouve que j'ai créé son certificat la semaine dernière et ça a marché du premier coup.

Exception faite des adresses des serveurs OVH qui sont différentes (ns14 et dns14) et de la non activation du DNS Anycast, ses enregistrements comportent bien quelques CNAME de plus mais sont identiques aux tiens.

Lien vers le commentaire
Partager sur d’autres sites

Ouf..; j'y suis parvenu...

Il a fallut que j'investigue dans les logs (pour info c'est désormais dans var/log/messages que l'on trouve les traces). Là je me suis rendu compte que, lors de la procédure de création du certificat, un fichier est inscrit et appelé par letsencrypt.

[Invalid response from http://xxxx.com/.well-known/acme-challenge/3k2wVZAug1O6jgFrT1T1fxXCMZ1l_z52hdZUTvDnrf4: "<!DOCTYPE html>

Hors j'ai un serveur web du même nom que le domaine visé avec une gestion des pages d'erreur type 404.Du coup un appel hors page référencée amenait vers MA gestion d'erreur... et non le fichier en question... Ce qui, de facto empêchait la finalisation de la vérification du nom de domaine.

J'ai donc :

  1. désactivé mon site web [ie mis de côté le fichier de conf nginx du dossier sites-enabled],
  2. relancé nginx
  3. et refait la procédure.. qui est passée comme une lettre à la poste !!
Citation

OVH n'a rien à voir là dedans (et même si leur assistance 1er niveau demeure à mes yeux rapide en réponse.. inadaptée) la problématique venait bien de la spécificité chez moi de mon hébergement web.

J'ai beau essayé de faire les chose avec webstation... Je n'y parviens pas... en revanche je m"inspire de ce qui est produit par ce paquet pour réaliser  manuellement mon fichier conf pour nginx et cela fonctionne très bien.

Du coup les éléments en question sont pris dans le fichier conf du serveur ce qui, je l'espère, ne posera pas de problème lors du renouvellement. [au prie je sais quoi faire désormais...].

Merci à tous pour votre support.

[ Problème résolu ]

 

Lien vers le commentaire
Partager sur d’autres sites

Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.