[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"

[Jz84]

il y a une heure, oracle7 a dit :

@Jz84

Bonjour,

Attention à faire trop d'essais tu va griller tes 5 cartouches auxquelles tu à droit par semaine chez LE !

Ce serait bien aussi que tu répondes à TOUTES les questions qui te sont posées, sinon il me sera difficile de t'aider plus ... et donc de trouver une solution qui pourrait aider aussi les autres membres dans ton cas.

Cordialement

oracle7😏

A quelle question n'ai-je pas répondu?

 

Pour les 5 essais,j'ai appris l’existence de cette limite hier.... quand je l'avais franchi.

pour être claire sur la situation, il y à 2 jours, tout fonctionnait, hier j'ai fais le test du renouvellement via ligne de commande et via planification des tâches, => renouvellement OK, puis quelque temps aprés en voulant me connecter depuis l'extérieur j'ai eu l'erreur "SLL_ERROR_BAD_CERT_DOMAIN", je n'ai aucune certitude si c'est lié, mais c'était bien absent la veille.

j'ai donc cherché et vérifié entre autres si mes services était bien affecté aux application, c'était bien le cas...

 

J'ai donc recommencé la procédure, tout fonctionne à nouveau, j'attends maintenant de pouvoir renouveler voir si le problème revient.

 

merci

Bonne journée

[oracle7]

@jo.p

1. Pour notifier un membre d'une d'une réponse de ta part sinon il ne peux le savoir que par fouiller tos les posts antérieurs, tu tapes "@" et les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques sue le pseudo de ton interlocuteur qui apparaît alors sur fond bleu dans ton texte à la position du curseur.
2. Si les clés se sont créées alors tu as dû avoir un écran d'affiché avec les valeurs de celles-ci (comme dans le TUTO). Si ce n'est pas le cas, et vu ton erreur 502, je présume que tu n'as pas donner la bonne URL. Assures-toi quand tu copies cette URL à partir du Tuto que tu ne prends pas de caractères "parasites" invisibles (blancs par ex). Utilises pour cela un fichier texte intermédiaire que tu visualises dans un éditeur de textes. Cela arrive souvent, du coup la chaine est différente et d'où l'erreur retournée.

Cordialement

oracle7😏

[Pinpon_112]

@oracle7

Merci pour ton aide.  C'est tout bon.  Le certificat est bien créé, il n'y a plus qu'à voir en octobre si le renouvellement se fait bien.

Par contre, comme tu sais, je suis sur Mac et comment puis-je exporter mon certificat sur mon routeur ?

Dernière question, dois-je encore garder le fichier dans lequel j'ai mis les clés créées avec l'API de OVH ou il n'est plus nécessaire ?

Modifié le 21 juillet 2020 par Pinpon_112

[oracle7]

@Jz84

Bonjour,

il y a 12 minutes, Jz84 a dit :

J'ai donc recommencé la procédure, tout fonctionne à nouveau, j'attends maintenant de pouvoir renouveler voir si le problème revient.

En principe, après renouvellement (auto ou forcé à la main) le nouveau certificat ne sera pas affecté à tes services. C'est un constat que nous sommes plusieurs a avoir fait (relis les échanges précédents tu verras). Pour l'instant il faut réaffecter  le certificat manuellement à tous les services (menu configurer). Saches que je travaille actuellement avec  @bruno78 pour résoudre ce problème et complètement automatiser le processus.

Pour les réponses à mes questions précédentes : oublies, j'ai dû confondre.

Cordialement

oracle7😏

@Pinpon_112

Dans DSM, tu cliques droit sur ton certificat et là tu auras la commande "exporter".

Cordialement

oracle7😏

il y a 9 minutes, Pinpon_112 a dit :

Dernière question, dois-je encore garder le fichier dans lequel j'ai mis les clés créées avec l'API de OVH ou il n'est plus nécessaire ?

Oui gardes le précieusement pour le cas où ...

[Pinpon_112]

@oracle7

il y a 8 minutes, oracle7 a dit :

Dans DSM, tu cliques droit sur ton certificat et là tu auras la commande "exporter".

 

Merci mais cela me dit certificat illégal ! en configurant comme ceci :

Clé privée : privkey.pem
Certificat : chain.pem
Certificat intérmédiaire : cert.pem

Que puis-je faire ?

[oracle7]

@Pinpon_112

Vérifies tes fichiers en les ouvrant dans un éditeurs de texte. De mémoire un membre avait signalé le même problème et c'était un retour à la ligne en trop (au début je crois) dans un fichier mais je ne sais plus le quel. Si tu trouves dis le moi STP.

Cordialement

oracle7😏

[jo.p]

il y a une heure, oracle7 a dit :

@jo.p

1. Pour notifier un membre d'une d'une réponse de ta part sinon il ne peux le savoir que par fouiller tos les posts antérieurs, tu tapes "@" et les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques sue le pseudo de ton interlocuteur qui apparaît alors sur fond bleu dans ton texte à la position du curseur.
2. Si les clés se sont créées alors tu as dû avoir un écran d'affiché avec les valeurs de celles-ci (comme dans le TUTO). Si ce n'est pas le cas, et vu ton erreur 502, je présume que tu n'as pas donner la bonne URL. Assures-toi quand tu copies cette URL à partir du Tuto que tu ne prends pas de caractères "parasites" invisibles (blancs par ex). Utilises pour cela un fichier texte intermédiaire que tu visualises dans un éditeur de textes. Cela arrive souvent, du coup la chaine est différente et d'où l'erreur retournée.

Cordialement

oracle7😏

@oracle7

1. C'est noté 🙂

2. En fait je parviens à accéder à la page mais c'est après avoir validé avec le bouton "Create" que le message d'erreur 502 s'affiche. Je vais réessayer chez moi ce soir avec le copier coller dans un fichier, mais est il possible que ça bloque une fois que les clés ont été crées une première fois ?

Il faut peut-être faire autre chose avant de reprendre cette étape ?

 

J'anticipe les étapes suivantes : pour la partie 4 et la ligne $ export CERT_DNS="dns_ovh".

dns_ovh correspond à quoi exactement ? Il faut laisser tel quel ou remplacer par autre chose ?

Merci beaucoup.

[oracle7]

@jo.p

Bonjour,

il y a 3 minutes, jo.p a dit :

J'anticipe les étapes suivantes : pour la partie 4 et la ligne $ export CERT_DNS="dns_ovh".

dns_ovh correspond à quoi exactement ? Il faut laisser tel quel ou remplacer par autre chose ?

NON, tu laisses tel quel, c'est un paramètre important qui indique qu'il faut utiliser les API d'OVH. Si tu avais été chez un autre fournisseur de domaine 'xxxxx" cela aurait été une autre valeur du type "dns_xxxxx".

il y a 5 minutes, jo.p a dit :

mais est il possible que ça bloque une fois que les clés ont été crées une première fois ?

Je ne le pense pas.

il y a 6 minutes, jo.p a dit :

Il faut peut-être faire autre chose avant de reprendre cette étape ?

D'une façon générale, il fortement conseiller de réaliser toutes les étages dans la même session SSH. Sinon tu es bon pour refaire un nouvel export de toutes les variables d'environnement à chaque fois, faute de quoi cela plantera inévitablement.

Cordialement

oracle7😏

[jo.p]

il y a 20 minutes, oracle7 a dit :

@jo.p

Bonjour,

NON, tu laisses tel quel, c'est un paramètre important qui indique qu'il faut utiliser les API d'OVH. Si tu avais été chez un autre fournisseur de domaine 'xxxxx" cela aurait été une autre valeur du type "dns_xxxxx".

Je ne le pense pas.

D'une façon générale, il fortement conseiller de réaliser toutes les étages dans la même session SSH. Sinon tu es bon pour refaire un nouvel export de toutes les variables d'environnement à chaque fois, faute de quoi cela plantera inévitablement.

Cordialement

oracle7😏

@oracle7

La partie SSH plantera, mais indépendamment de la génération des clés via l'API OVH on est d'accord ?

Je veux dire par là que mon erreur 502 Bad Gateway n'a rien à voir avec le déroulement des étapes précédentes sur ma session SSH ?

[Pinpon_112]

@oracle7

Le 14/06/2020 à 22:45, TuringFan a dit :

Pour info ça a fonctionné en important uniquement clef et certificat mais en laissant kle champs certificat intermédiaire vide.

Voilà, j'ai fait ceci et le certificat a été pris par mon routeur.

Par contre si la connexion avec le nas est bien en https, le routeur reste en https non sécurisé.

[oracle7]

@jo.p

il y a 24 minutes, jo.p a dit :

La partie SSH plantera, mais indépendamment de la génération des clés via l'API OVH on est d'accord ?

OUI et non dans le sens où il faut aussi que acme puisse communiquer correctement avec les serveurs d'OVH.

il y a 25 minutes, jo.p a dit :

Je veux dire par là que mon erreur 502 Bad Gateway n'a rien à voir avec le déroulement des étapes précédentes sur ma session SSH ?

En principe OUI, car ce message d'erreur 502 signifie a priori un problème de connexion avec les serveurs d'OVH.

Cordialement

oracle7😏

@Pinpon_112

il y a 18 minutes, Pinpon_112 a dit :

Par contre si la connexion avec le nas est bien en https, le routeur reste en https non sécurisé.

Désolé je ne te comprends pas, précises STP ta pensée ...

Cordialement

oracle7😏

[Jz84]

@oracle7

 

Il y a 3 heures, oracle7 a dit :

En principe, après renouvellement (auto ou forcé à la main) le nouveau certificat ne sera pas affecté à tes services. C'est un constat que nous sommes plusieurs a avoir fait (relis les échanges précédents tu verras). Pour l'instant il faut réaffecter  le certificat manuellement à tous les services (menu configurer). Saches que je travaille actuellement avec  @bruno78 pour résoudre ce problème et complètement automatiser le processus.

 

AH!!!! donc la effectivement il y à une coquille entre ce que tu dis et ce que j'ai eu.

Parce-que du coup, la date d'expiration du certificat à bien changée lors du renouvellement, et les applications étaient encore attribuées.....bref je verrais dans une semaine....

 

C'est vrai que automatiser cette dernière chose serait le top...

mais déjà super boulot pour ce tuto.

[oracle7]

@Jz84

il y a 12 minutes, Jz84 a dit :

Parce-que du coup, la date d'expiration du certificat à bien changée lors du renouvellement, et les applications étaient encore attribuées.....bref je verrais dans une semaine....

Eh bien c'est seulement en apparence.

Je vais citer ici une réponse de @bruno78 faite à un autre membre qui avait le même discours que toi à propos du renouvellement tel qu'il le constatait :

Citation

oui, si on regarde sur l'interface graphique du DSM (securité > certificat), le certificat est installé et on y voit les services associés. Maintenant si tu effaces le cache de ton navigateur, et que tu recharges le site en question, puis que tu examines le certificat utilisé par le navigateur, je suis prêt à parier que c'est toujours l'ancien (verifie par exemple la date d'expiration). En fait il en est ainsi, pour un certificat web, car dans la procedure tu n'as pas mis à jour les fichiers *.pem dans le repertoire /usr/local/etc/certificate/WebStation/vhost_xxxxx correspondant. Ce sont toujours les anciens fichiers.

Fait le test proposé par bruno78 pour te rendre compte par toi même. On connait le problème et on y travaille ...

Cordialement

oracle7😏

[Jz84]

je ne peux plus tester mais ça doit être ça.

mais alors, lors d'un renouvellement au bout de 85 jour, que nous reste t-il à faire?

et comment met-on les fichiers *.pem à jour ?

 

 

 

[oracle7]

@Jz84

Ne t'inquiètes pas, sous peu je fournirai un moyen de renouvellement qui fera les choses complètement et correctement. Avec @bruno78 nous y travaillons. Patience donc ...

Cordialement

oracle7😏

[jo.p]

Il y a 1 heure, oracle7 a dit :

@jo.p

OUI et non dans le sens où il faut aussi que acme puisse communiquer correctement avec les serveurs d'OVH.

En principe OUI, car ce message d'erreur 502 signifie a priori un problème de connexion avec les serveurs d'OVH.

Cordialement

oracle7😏

Problème résolu, ma démarche initiale était la bonne et l'identifiant que j'avais pris était le bon. J'avais mal compris le tuto, je pensais que l'erreur se produirait au niveau SSH en cas de mauvais identifiant...

Je vais enfin pouvoir continuer le tuto ! Merci beaucoup @oracle7

[TuringFan]

Le 17/07/2020 à 11:21, .Shad. a dit :

Il faut s'assurer que le service Drive soit associé à ton certificat dans DSM. Dans panneau de configuration -> sécurité -> certificat -> configurer. Vérifier que Synology Drive soit associé à ton certificat valide.

Merci @.Shad. et pardon pour ce retour si tardif.

Drive est bien associé à ce certificat, en revanche j'ai l'impression que c'est plutot côté appareil que ça se passe. J'ai bien téléchargé puis installé le certificat et le certifiact intermédiaire en .pem sur mon iPhone mais impossible d'insaller la clef privée : le problème persiste.

Du coup, plusieurs questions :

• Comment installer la clef privée sur l'Iphone ?
• Quel est le risque à ne pas installer ce certificat sur mon Iphone ?
• Que se passera t il lors du renouvellement ?

Merci d'avance,

[Pinpon_112]

@oracle7

Le 21/07/2020 à 17:40, oracle7 a dit :

Le 21/07/2020 à 16:59, Pinpon_112 a dit :

Par contre si la connexion avec le nas est bien en https, le routeur reste en https non sécurisé.

Désolé je ne te comprends pas, précises STP ta pensée ...

Je veux simplement dire par là que le certificat qui est dans mon NAS me donne bien une connexion sécurisée (le cadenas à coté de l'url est bien verrouillé) mais le même certificat que j'ai mis dans mon routeur (sauf la clé intermédiaire pour rappel) me donne une connexion non sécurisée (le cadenas est ouvert), voir copie d'écran.

[oracle7]

@Pinpon_112

Il y a 4 heures, Pinpon_112 a dit :

mais le même certificat que j'ai mis dans mon routeur (sauf la clé intermédiaire pour rappel) me donne une connexion non sécurisée (le cadenas est ouvert), voir copie d'écran.

Je ne sais que te répondre précisément sur ce point. Peut-être par ailleurs, un problème de configuration de ton routeur, je ne sais ?

Le 21/07/2020 à 15:14, Pinpon_112 a dit :

Merci mais cela me dit certificat illégal ! en configurant comme ceci :

Clé privée : privkey.pem
Certificat : chain.pem
Certificat intérmédiaire : cert.pem

Tu n'aurais pas par hazard, inversé les fichiers pour les certificats chain et intermédiaire ? Personnellement j'aurais fait l'inverse. Mais bon ... Essayes pour voir ce que cela donne.

Il faut aussi supprimer le retour à la ligne en première ligne du fichier "chain.pem".

Cordialement

oracle7😏

[Pinpon_112]

il y a 45 minutes, oracle7 a dit :

Il faut aussi supprimer le retour à la ligne en première ligne du fichier "chain.pem".

J'ai ouvert le fichier en question.  Je ne vois aucun retour à la ligne.  Si je fais cela, je supprime un caractère.
J'ai également inversé les fichiers comme tu le disait et j'ai certificat intermédiaire illégal.

[oracle7]

@Pinpon_112

Tant mieux si tu n'as pas ce retour charriot en début de fichier.

Désolé mais là je sèche. Tu dois avoir un autre problème de configuration quelque part, et là il faudrait être devant ton PC pour pouvoir analyser correctement.

Cordialement

oracle7😏

[oracle7]

@Pinpon_112

En fait cela me revient maintenant, l'import des fichiers ".pem" dans le routeur ne marche pas. Il ne faut pas exporter les fichiers depuis le NAS.

Tu copies sur ton PC/Mac, les fichiers qui ont générés dans "Volume1\Certs\ndd.tld" lors de la création du certificat (i.e. si tu as utilisé ma méthode via acme.sh.

Sur le RT tu importes directement cette copie ( ndd.tld.key, ndd.tld.cer et l'intermédiaire ca.cer). Ne pas oublier de supprimer l'éventuel "saut de ligne" présent en début du fichier "ca.cer" avec un éditeur de texte.

Désolé pour le "flottement" ...

Cordialement

oracle7😏

Modifié le 24 juillet 2020 par oracle7

[Pinpon_112]

@oracle7

Pas de problème pour le flottement 😉

J'ai bien créé les certificats via acme comme ton tuto.  Par contre dans mon dossier Certs, je n'ai que le dossier suivant : 'Acme_Install'.  Où puis-je trouver les certificats alors ?

Merci pour ton aide.

[oracle7]

@Pinpon_112

Bonjour,

il y a 1 minute, Pinpon_112 a dit :

J'ai bien créé les certificats via acme comme ton tuto. Par contre dans mon dossier Certs, je n'ai que le dossier suivant : 'Acme_Install'.

C'est pas possible qu'il n'y ait que ce dossier !

Si tu as bien suivi mon Tuto, c'est obligé, tu dois avoir dans le répertoire "/volume1/Certs", à l'issue de la création du certificat (§4) un dossier qui porte le nom de ton domaine "ndd.tld".

C'est là que sont les fichiers ndd.tld.key, ndd.tld.cer et l'intermédiaire ca.cer. Pour preuve, regardes aussi les 4 dernières lignes du log qui a été affiché à l'écran lors des opérations de création du certificat.

Ou alors c'est que tu as renseigné un autre chemin lorsque tu as défini la variable d'environnement CERT_HOME et dans ce cas, le dossier "ndd.tld" sera à cet endroit. Je ne peux mieux te dire.

Cordialement

oracle7😏

[Pinpon_112]

@oracle7

Voilà ce que j'ai tapé (copie du terminal) :

Citation

root@xxx:/volume1/Certs/Acme_install# cd acme.sh-master

root@xxx:/volume1/Certs/Acme_install/acme.sh-master# ACME_HOME="/usr/local/share/acme.sh"

root@xxx:/volume1/Certs/Acme_install/acme.sh-master# CERT_HOME="/volume1/Certs"

root@xxx:/volume1/Certs/Acme_install/acme.sh-master# ./acme.sh --install --nocron --home "$ACME_HOME" --cert-home "$CERT_HOME" --accountemail "xxx@ndd.net"

[Tue Jul 21 14:33:15 CEST 2020] It is recommended to install socat first.

[Tue Jul 21 14:33:15 CEST 2020] We use socat for standalone server if you use standalone mode.

[Tue Jul 21 14:33:15 CEST 2020] If you don't use standalone mode, just ignore this warning.

[Tue Jul 21 14:33:15 CEST 2020] Installing to /usr/local/share/acme.sh

[Tue Jul 21 14:33:15 CEST 2020] Installed to /usr/local/share/acme.sh/acme.sh

[Tue Jul 21 14:33:15 CEST 2020] Installing alias to '/root/.profile'

[Tue Jul 21 14:33:15 CEST 2020] OK, Close and reopen your terminal to start using acme.sh

[Tue Jul 21 14:33:15 CEST 2020] Good, bash is found, so change the shebang to use bash as preferred.

[Tue Jul 21 14:33:18 CEST 2020] OK