Aller au contenu

[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"


oracle7

Messages recommandés

@Pinpon_112

Bonjour,

Le certificat créé sur le NAS est renouvelé automatiquement sans aucune intervention de ta part. Si tu as d'autres NAS et /ou un routeur Synology alors tous les trois mois il te faudra récupérer les fichiers "ndd.tld.key", "ndd.tld.cer" et "ca.cer" présents dans "/volume1/Certs/ndd.tld/" pour les réimporter sur les autres NAS et/ou ton routeur Synology.

Désolé mais on ne sait pas faire autrement aujourd'hui dans ce cas précis.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, oracle7 a dit :

Désolé mais on ne sait pas faire autrement aujourd'hui dans ce cas précis.

Bonjour @oracle7

A signaler que si on contrôle sa propre zone on peut automatiser la mise à jour du certificat sur le serveur où se trouve cette zone et le déployer automatiquement avec la commande déploy sur un autre NAS avec le script de @.Shad.. Je me demande pourquoi ce ne serai pas possible  dans ton cas de faire de même avec deploy ?🙂

Mais je laisse @.Shad. argumenter.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

il y a 2 minutes, Jeff777 a dit :

A signaler que si on contrôle sa propre zone

Justement dans mon cas et comme pour beaucoup, la zone DNS contrôlée se limite à la zone locale du fait de ne pas disposer d'@IP externe fixe et d'un second serveur DNS. Ce qui à ma connaissance ne permet pas un multiple déploiement automatique. Mais je peux me tromper.

Sauf peut-être à relancer périodiquement manuellement la commande de déploiement en adaptant au passage les variables d'environnement SYNO_Scheme, SYNO_Hostname, Syno_Port, SYNO_Username, SYNO_Password et SYNO_DID.

En plus, chaque déploiement viendrait modifier le fichier ndd.tld.conf qu'il faudrait ensuite alors remettre à jour pour le prochaine renouvellement sur le NAS originel. Pas simple tout çà ...

Très franchement ne n'ai pas testé cela et je me contente pour l'instant d'une réimportation manuelle des fichiers du certificat. Ce qui somme toute est assez simple et rapide mais à faire, je te l'accorde, tous les T0+60J minimum.

Peut-être qu'avec DSM7 le script de déploiement Synology_DSM.sh aura été mis à jour dans ce sens. J'ai lu sur github que Neil Pang devait implémenter le multi-déploiement (multiple deploy-hook) mais il disait cela hier en 2017, alors ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Le 18/10/2020 à 19:02, Jeff777 a dit :

Bonjour @Audio,

Si tu sélectionnes "remplacer" sur la dernière image puis importer  tu n'as pas besoin de redémarrer le serveur ni de détruire l'ancien certificat. 

Soit tu n'avais qu'un certificat alors celui-ci est remplacé et est d'office par défaut, soit tu en as plusieurs, il faut alors spécifier lequel tu veux remplacer et si nécessaire cocher par défaut.

Bonjour @Jeff777,

Effectivement en choisissant "remplacer" on devrait pas être obligé de redémarrer le serveur web et de détruire l'ancien certificat. J'avais pas intuité !

Cordialement

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

j'essaye donc de suivre ce tuto  et je suis direct bloqué à l'install de ACME.

(Désolé je suis loin d’être totalement compétent)

Voila:

root@zeptonet:/volume1/Certs/Acme_install/acme.sh-master# ./acme.sh --install --nocron --home "$ACME_HOME" --cert-home "$CERT_HOME" -- accountemail "monemailcomplété"
[Tue Dec  1 13:32:38 CET 2020] Unknown parameter : --

Ya un truc qui m'echappe.

Vous avez une idée du problème?

D'avance merci pour votre aide!

 

 

Lien vers le commentaire
Partager sur d’autres sites

Je n'ai  pas continué très longtemps....

Nouveau blocage. Désolé pour mon incompétence!

j'en suis ici:

root@zeptonet:/usr/local/share/acme.sh# export OVH_END_POINT=ovh-eu
root@zeptonet:/usr/local/share/acme.sh# export OVH_AK="ma clé generée "
root@zeptonet:/usr/local/share/acme.sh# export OVH_AS="ma clé generée"
root@zeptonet:/usr/local/share/acme.sh# export OVH_CK="ma clé generée"
root@zeptonet:/usr/local/share/acme.sh# cd $ACME_HOME
root@zeptonet:/usr/local/share/acme.sh#  export CERT_DOMAIN="mon domaine"
root@zeptonet:/usr/local/share/acme.sh# export CERT_WDOMAIN="*.mondaine"
root@zeptonet:/usr/local/share/acme.sh# export CERT_DNS="dns_ovh"
root@zeptonet:/usr/local/share/acme.sh# ./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" --dns"$CERT_DNS"
[Tue Dec  1 15:08:29 CET 2020] Unknown parameter : --dnsdns_ovh

 

J'imagine que je devais rentrer une valeur à root@zeptonet:/usr/local/share/acme.sh# export CERT_DNS="dns_ovh" mais quoi?

Je me trompe?

Je ne vois pas sinon.

Une nouvelle fois merci!

 

Modifié par nebelnic
Lien vers le commentaire
Partager sur d’autres sites

Oh oui désolé... quel nul!

Bon ça progresse!! : certificat généré  et déployé sur le NAS.

Je reste bloqué maintenant sur quelque-chose qui va vous paraitre bien simple... Mais pas encore moi.

Comment copier le script depuis mon mac vers le dossier /volume1/Scripts sur le NAS?

je n'y suis pas arrivé avec le terminal.

Encore merci pour votre aide précieuse!

 

 

Lien vers le commentaire
Partager sur d’autres sites

@nebelnic

Bonjour,

Il y a 1 heure, nebelnic a dit :

Comment copier le script depuis mon mac vers le dossier /volume1/Scripts sur le NAS?

  1. Copier le script "acme_renew.py" dans un répertoire partagé de ton NAS accessible depuis ton MAC via le finder (par ex : "MonDossierPartage").
  2. Dans un terminal taper la commande :
cp -p /volume1/MonDossierPartage/acme_renew.py /volume1/Scripts

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour, j'ai voulu tester le déploiement d'un certificats avec une clé ecdsa 384 bits, mais voila ce qu'il m'affiche

Citation

./acme.sh --deploy --ecc -d "$CERT_DOMAIN" --deploy-hook synology_dsm
[Sat Dec  5 15:32:53 CET 2020] Logging into localhost:XXXX
[Sat Dec  5 15:32:54 CET 2020] Getting certificates in Synology DSM
[Sat Dec  5 15:32:54 CET 2020] Generate form POST request
[Sat Dec  5 15:32:54 CET 2020] Upload certificate to the Synology DSM
[Sat Dec  5 15:32:55 CET 2020] Unable to update certificate, error code {"error":{"code":5529},"success":false}
[Sat Dec  5 15:32:55 CET 2020] Error deploy for domain:mondomaine.ltd
[Sat Dec  5 15:32:55 CET 2020] Deploy error.

Une idée?

Merci

Edit : Bon j'ai cherché et testé, et c'est que DSM 6 ne prends pas (ou plus) en charge ce type de certificats.

DSM ecc.jpg

Modifié par ssj4gokusama
Trouvé la raison
Lien vers le commentaire
Partager sur d’autres sites

@ssj4gokusama

Bonjour,

Le 05/12/2020 à 15:44, ssj4gokusama a dit :

c'est que DSM 6 ne prends pas (ou plus) en charge ce type de certificats

Cela doit être plutôt "ne prend plus" et de façon assez récente, car lors des tests de mises en place du TUTO avec le script de renouvellement automatique, aucun problème n'avait été rencontré sur ce point précis avec une version DSM 6.2.3.

J'ai bien vu une fois sur Github un gars qui avait eut le même problème avec le même code d'erreur 5529 mais comme il n'a plus donné de signe de vie après avoir posté, on ne sait pas comment il a ou pas solutionné la chose. Donc difficile de t'en dire plus.

PS : Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

Cordialement

oracle7😉

@xofox

Bonjour,

Très bien, content pour toi que tu ais pu adapter ce TUTO à Cloudfare. Comme quoi ...

PS : Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, oracle7 a dit :

@ssj4gokusama

Bonjour,

Cela doit être plutôt "ne prend plus" et de façon assez récente, car lors des tests de mises en place du TUTO avec le script de renouvellement automatique, aucun problème n'avait été rencontré sur ce point précis avec une version DSM 6.2.3.

J'ai bien vu une fois sur Github un gars qui avait eut le même problème avec le même code d'erreur 5529 mais comme il n'a plus donné de signe de vie après avoir posté, on ne sait pas comment il a ou pas solutionné la chose. Donc difficile de t'en dire plus.

PS : Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

Cordialement

oracle7😉

Bon pour la présentation, je le ferai si j'ai un peu de temps et si je suis amené à revenir ici. Et merci de m'avoir répondu.

Sinon c'est ridicule d'avoir retiré cette prise en charge. Espérons qu'ils la réintègre avec la 7.0...En attendant j'ai déployé en RSA, ce qui est déjà bien. Mais je vais voir si cela fonctionne en utilisant un nginx sous docker plutôt que de passer par celui intégré à DSM. Si cela fonctionne, Il me restera à créer un script pour lancer le renouvellement et relancer le nginx pour prendre en compte les nouveaux certifs.

Modifié par ssj4gokusama
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Mauvaise surprise pour moi à l'instant. Je viens de recevoir un rappel par email de Let's Encrypt m'indiquant que mon certificat va expirer le 20 décembre. Or sur la page de configuration du DSM le certificat est indiqué comme valide jusqu'au 3 mars.

J'avais suivi le tuto jusqu'a bout. Je me suis meme assuré que tout allait bien en faisant une MaJ forcée manuelle.

Cette semaine j'ai bien eu une alerte comme quoi le script s’était lancé et que le renouvellement n’était pas nécessaire.

Avez-vous déjà eu des emails de Let's Encrypt comme moi malgré un certificat indiqué comme à jour?

Merci pour votre aide. Si je dois vous donner un fichier log quelquonque dites le moi (et si possible ou aller le chercher) .

D'avance merci!!!

 

Edit : en lisant l'email de Let's Encrypt je vois indiqué : "In particular, note that this reminder email is still sent if you've obtained a slightly different certificate by adding or removing names. If you've replaced this certificate with a newer one that covers more or fewer names than the list above, you may be able to ignore this message."

Or suivant le tuto un peu bêtement pas à pas j'ai  indiqué *.sousdomaine.votre-domaine.tld   et  sousdomaine.votre-domaine.tld au moment de créer le certificat .

Voici d'ailleurs ce qu'indique le certificat  renouvelé

34520599_Capturedecran2020-12-10a15_30_15.thumb.png.04b784c7a4b426be150ccbb0b65be984.png Le certificat a été créé a la base pour un sous domaine: sousdomaine.mondomaine.com.  Il s'agit déjà d'un DNS d'un sous domaine .

Pensez-vous que le problème vient du fait que j'ai suivi le tuto et que le certificat indique en plus maintenant  *. sousdomaine.mondomaine.com ?

SI oui , est-il nécessaire que je modifie le certificat créé? Autrement dit, est-ce que dans 2 mois je vais avoir un nouveau un message d'alerte de let's encrypt m'indiquant que le certificat n'a pas été renouvelé? ou alors c'est la seul fois que je vais avoir ce souci de fausse alerte (si cela en est une...!!) et qu'ensuite tout rentrera dans l'ordre car le certificat renouveler sera totalement identique?

Suis-je completement à coté de la plaque dans mon analyse du probleme?

Merci pour vos conseils!!

 

 

 

 

 

 

 

 

 

Modifié par nebelnic
Lien vers le commentaire
Partager sur d’autres sites

@nebelnic

Bonjour,

Bon, je dirais pas que tu est à coté de la plaque mais il y a des choses pas claires dans ce que tu présentes.

  1. Déjà, ta copie d'écran montre que ton certificat est émis par l'une autorité nommée "R3". Premier problème : cela devrait être : "Let's Encrypt Authority X3".
    image.png.23e95751ea678f78a16d040eb04914cd.png
    D'où sort ce "R3" ?
     
  2. Il y a 1 heure, nebelnic a dit :

    Le certificat a été créé a la base pour un sous domaine: sousdomaine.mondomaine.com.  Il s'agit déjà d'un DNS d'un sous domaine .

    a) Saches que cela ne sert à rien de créer un certificat pour un sous-domaine comme tu le dis (au passage la notion de sous-domaine n'existe pas, on parle toujours de domaine !) et d'autant plus si on utilise la notion de "wilcard" ou " * ".
    La notation wilcard "*.ndd.tld" recouvre tous les domaines de second niveau (du type "xxxxxx.ndd.tld"). De plus, faire "*.xxxxx.ndd.tld" n'a pas de sens, à part complexifier les choses car tu rallonges la chaine à saisir et donc les risques d'erreur de saisie.
    b) Par ailleurs, je crains que tu ne mélanges les notions quand tu dis "Il s'agit déjà d'un DNS d'un sous-domaine". Renseignes-toi bien sur ce qu'est un DNS (Domaine Name System). Pour la faire très courte : un DNS est un système de traduction de nom de domaine en @IP. Cherches ton erreur ...
     
  3. Vis à vis du message de Let's Encrypt, tu as dû certainement modifié ton certificat en ajoutant "*. sousdomaine.mondomaine.com" après sa création sans réintégrer le nouveau certificat dans DSM d'où l'eMail d'avertissement.
     

Maintenant, à la vue de tout cela, si j'étais toi je reprendrai à zéro la création de ton certificat mais cette fois en indiquant simplement les domaines "*.mondomaine.com" et "mondomaine.com" tel que c'est expliqué dans le présent TUTO pour rester au premier niveau de domaine. Attention, penses à bien refaire tes clés OVH. Tu verras que le renouvellement se passera alors sans encombres le moment venu.

Cordialement

oracle7😉

 

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, oracle7 a dit :

@nebelnic

 

  1. Déjà, ta copie d'écran montre que ton certificat est émis par l'une autorité nommée "R3". Premier problème : cela devrait être : "Let's Encrypt Authority X3".
    image.png.23e95751ea678f78a16d040eb04914cd.png
    D'où sort ce "R3" ?
     

 Ça a l'air d’être nouveau:

https://letsencrypt.org/certificates/

 

 

Citation

Maintenant, à la vue de tout cela, si j'étais toi je reprendrai à zéro la création de ton certificat mais cette fois en indiquant simplement les domaines "*.mondomaine.com" et "mondomaine.com" tel que c'est expliqué dans le présent TUTO pour rester au premier niveau de domaine. Attention, penses à bien refaire tes clés OVH. Tu verras que le renouvellement se passera alors sans encombres le moment venu.

 

D'accord . je vais faire ça. merci beaucoup  pour les conseils et explications.


Nebelnic

 

Modifié par nebelnic
Lien vers le commentaire
Partager sur d’autres sites

@nebelnic

Bonjour,

Merci pour l'info et le lien Let'sEncrypt. Effectivement, la nouveauté est que les certificats auront maintenant une autorité d'origine dite "R3" (qui représente une unique paire de clefs publique/privée elle même certifiée par une racine “TrustID X3 Root”). Cette autorité intermédiaire "R3" va progressivement remplacer celle nommée actuellement "X3".

Donc, oublies ma remarque précédente sur ce point, ce n'était pas une anomalie. Comme quoi on en apprend tous les jours ...😀

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.