[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"

[adaaud97]

Bonjour à tous,

La plupart des choses indiquées ici sont assez nouvelles pour moi, du coup je sais pas à quel point je peux bidouiller et essayer des trucs.

La mise en place du certificat s'était bien passée mais malheureusement le renouvellement ne se passe pas comme prévu. J'ai donc essayé de le réinstaller manuellement en reprenant l'étape de la création du certificat puis en reprenant même l'étape de la clé API mais rien n'y fait et dans les deux cas j'obtiens ce genre de log (qui m'est assez incompréhensible):
 

[Thu Feb  4 23:21:48 CET 2021] Running cmd: issue
[Thu Feb  4 23:21:48 CET 2021] _main_domain='xxx.yy'
[Thu Feb  4 23:21:48 CET 2021] _alt_domains='*.xxx.yy'
[Thu Feb  4 23:21:48 CET 2021] Using config home:/usr/local/share/acme.sh
[Thu Feb  4 23:21:48 CET 2021] default_acme_server
[Thu Feb  4 23:21:48 CET 2021] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Thu Feb  4 23:21:48 CET 2021] DOMAIN_PATH='/volume1/Certs/xxx.yy'
[Thu Feb  4 23:21:48 CET 2021] Using ACME_DIRECTORY: https://acme-v02.api.letsencrypt.org/directory
[Thu Feb  4 23:21:48 CET 2021] _init api for server: https://acme-v02.api.letsencrypt.org/directory
[Thu Feb  4 23:21:48 CET 2021] GET
[Thu Feb  4 23:21:48 CET 2021] url='https://acme-v02.api.letsencrypt.org/directory'
[Thu Feb  4 23:21:48 CET 2021] timeout=
[Thu Feb  4 23:21:48 CET 2021] _CURL='curl --silent --dump-header /usr/local/share/acme.sh/http.header  -L  -g '
[Thu Feb  4 23:22:41 CET 2021] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 6
[Thu Feb  4 23:22:41 CET 2021] ret='6'
[Thu Feb  4 23:22:41 CET 2021] Can not init api.
[Thu Feb  4 23:22:42 CET 2021] Le_NextRenewTime='1609020833'
[Thu Feb  4 23:22:42 CET 2021] Using CA: https://acme-v02.api.letsencrypt.org/directory
[Thu Feb  4 23:22:42 CET 2021] _on_before_issue
[Thu Feb  4 23:22:42 CET 2021] _chk_main_domain='xxx.yy'
[Thu Feb  4 23:22:42 CET 2021] _chk_alt_domains='*.xxx.yy'
[Thu Feb  4 23:22:42 CET 2021] Le_LocalAddress
[Thu Feb  4 23:22:42 CET 2021] d='xxx.yy'
[Thu Feb  4 23:22:42 CET 2021] Check for domain='xxx.yy'
[Thu Feb  4 23:22:42 CET 2021] _currentRoot='dns_ovh'
[Thu Feb  4 23:22:42 CET 2021] d='*.xxx.yy'
[Thu Feb  4 23:22:42 CET 2021] Check for domain='*.xxx.yy'
[Thu Feb  4 23:22:42 CET 2021] _currentRoot='dns_ovh'
[Thu Feb  4 23:22:42 CET 2021] d
[Thu Feb  4 23:22:42 CET 2021] _saved_account_key_hash is not changed, skip register account.
[Thu Feb  4 23:22:42 CET 2021] Read key length:4096
[Thu Feb  4 23:22:42 CET 2021] _createcsr
[Thu Feb  4 23:22:42 CET 2021] Multi domain='DNS:xxx.yy,DNS:*.xxx.yy'
[Thu Feb  4 23:22:42 CET 2021] Getting domain auth token for each domain
[Thu Feb  4 23:22:42 CET 2021] d='*.xxx.yy'
[Thu Feb  4 23:22:42 CET 2021] d
[Thu Feb  4 23:22:42 CET 2021] url
[Thu Feb  4 23:22:42 CET 2021] payload='{"identifiers": [{"type":"dns","value":"xxx.yy"},{"type":"dns","value":"*.xxx.yy"}]}'
[Thu Feb  4 23:22:42 CET 2021] RSA key
[Thu Feb  4 23:22:42 CET 2021] GET
[Thu Feb  4 23:22:42 CET 2021] url='https://acme-v02.api.letsencrypt.org/directory'
[Thu Feb  4 23:22:42 CET 2021] timeout=
[Thu Feb  4 23:22:42 CET 2021] _CURL='curl --silent --dump-header /usr/local/share/acme.sh/http.header  -L  -g '
[Thu Feb  4 23:23:36 CET 2021] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 6
[Thu Feb  4 23:23:36 CET 2021] ret='6'
[Thu Feb  4 23:23:36 CET 2021] Could not get nonce, let's try again.

J'aimerais donc pouvoir remettre des certificats même manuellement dans un premier temps puis de manière automatique.

Merci d'avance pour votre aide!

Arnaud
 

[bruno78]

@adaaud97 bonjour, difficile de dire avec juste cet extrait.

Mais

Il y a 11 heures, adaaud97 a dit :

[Thu Feb 4 23:22:41 CET 2021] ret='6' [Thu Feb 4 23:22:41 CET 2021] Can not init api.

C'est pas terrible ... mais je ne vois pas l'origine dans cet extrait de log.

Disposes-tu toujours de tes certificats (repertoire /volume1/Certs/ndd.tld/) ?

Bruno78

[oracle7]

@adaaud97

Bonjour,

Je crains que ta création de clés ne se soit pas bien passée chez OVH :

Il y a 14 heures, adaaud97 a dit :

[Thu Feb 4 23:22:41 CET 2021] ret='6'

[Thu Feb 4 23:22:41 CET 2021] Can not init api.

[Thu Feb 4 23:22:42 CET 2021] Le_NextRenewTime='1609020833'

ou bien que tu ne les ais pas bien recopiées dans les variables avant exportation.

Vérifies cela.

Cordialement

oracle7😉

[AlexisG]

Bonjour à tous !

 

Après avoir réussi à mettre en place la session root en SSH via le tuto de @unPixel (merci à lui !), j'ai voulu suivre ce tuto de @oracle7 (merci à lui aussi !).

Ayant également un nom de domaine géré via OVH, je me suis dit que ça serait du gâteau mais évidemment, comme je ne suis pas un pro, je me suis cassé les dents dessus 🤕

Mon problème se situe à l'étape 4 au moment de la création du certificat. Je vous explique :

• J'ai premièrement voulu créer la clé sans restreindre la gestion de cette dernière à mon domaine via l'URL https://api.ovh.com/createToken/?GET=/domain/zone/*&POST=/domain/zone/*&PUT=/domain/zone/*&DELETE=/domain/zone/*/record/*
• Je créé la clé, tout va bien. Je lance la création du certificat et là je reproduis le problème de @_Megalegomane_ :

[Wed Jun  3 07:14:52 CEST 2020] Consumer key is ok.
[Wed Jun  3 07:14:53 CEST 2020] invalid domain
[Wed Jun  3 07:14:53 CEST 2020] Error add txt for domain:_acme-challenge.mondomaine.ovh

• Du coup je me rend sur les deux URLs suivantes pour changer la clé (merci @_Megalegomane_) :

https://api.ovh.com/console/#/me/api/application%23GET

https://api.ovh.com/console/#/me/api/application/{applicationId}#DELETE

• Etant un peu bête et méchant, je recommence tout en faisant attention aux copiés-collés mais j'ai toujours le même problème.
• Du coup, je recommence le processus de création de la clé mais cette fois via l'URL https://api.ovh.com/createToken/?GET=/domain/zone/votre-domaine.tld/*&POST=/domain/zone/votre-domaine.tld/*&PUT=/domain/zone/votre-domaine.tld/*&GET=/domain/zone/votre-domaine.tld&DELETE=/domain/zone/votre-domaine.tld/record/*
• Je créé la clé, tout va bien. Je lance la création du certificat et cette fois j'ai le problème suivant :

[Sun Feb  7 10:33:57 CET 2021] Using CA: https://acme-v02.api.letsencrypt.org/directory
[Sun Feb  7 10:33:58 CET 2021] Multi domain='DNS:votre-domaine.tld,DNS:*.votre-domaine.tld'
[Sun Feb  7 10:33:58 CET 2021] Getting domain auth token for each domain
[Sun Feb  7 10:33:59 CET 2021] Create new order error. Le_OrderFinalize not found. {
  "type": "urn:ietf:params:acme:error:rateLimited",
  "detail": "Error creating new order :: too many failed authorizations recently: see https://letsencrypt.org/docs/rate-limits/",
  "status": 429
}
[Sun Feb  7 10:33:59 CET 2021] Please add '--debug' or '--log' to check more details.
[Sun Feb  7 10:33:59 CET 2021] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh
 

Est-ce par ce que j'ai trop tenté la création du certificat et que je suis arrivé à la limite ? Dois-je attendre une semaine avant de re-tenter ? Du coup, à partir de quelle étape je devrais reprendre le tuto ? (étape 3 "Création de la clé" ?). D'ailleurs, je ne suis pas certain de comprendre la différence entre les deux méthodes que j'ai essayé, je suis preneur de vos lumières.

Enfin, je ne suis pas certain se voir ce qu'était la source du problème de @_Megalegomane_ : une erreur de copier / coller dans les clés / nom de domaine ?

Merci par avance pour vos réponses !

[oracle7]

@AlexisG

Bonjour,

il y a 22 minutes, AlexisG a dit :

J'ai premièrement voulu créer la clé sans restreindre la gestion de cette dernière à mon domaine via l'URL https://api.ovh.com/createToken/?GET=/domain/zone/*&POST=/domain/zone/*&PUT=/domain/zone/*&DELETE=/domain/zone/*/record/*

Quelle idée tu as eu là, cela ne va pas dans le sens de la sécurité pour protéger ton domaine comme expliqué dans le TUTO. Mais si c'est ton choix ...

il y a 7 minutes, AlexisG a dit :

Est-ce par ce que j'ai trop tenté la création du certificat et que je suis arrivé à la limite ? Dois-je attendre une semaine avant de re-tenter ? Du coup, à partir de quelle étape je devrais reprendre le tuto ? (étape 3 "Création de la clé" ?).

Oui, la limite est de 5 tentative par semaine. Le message est clair --> "error:rateLimited",
  "detail": "Error creating new order :: too many failed authorizations recently".

OUI, Attendre une semaine calendaire à compter de la dernière tentative.

Tu reprends simplement à partir de l'étape 4 MAIS avant il te faudra redéfinir et exporter toutes les variables crées depuis le début du processus. Elles doivent être présentes en mémoire pour reprendre le processus normalement comme si de rien n'était.

Effectivement, soit vigilant dans les C/C des valeurs de clés, pas de caractères exotiques dans les Identifiants et surtout dans les mots de passe, utiliser du "vrai" root pour les sessions SSH.

Enfin, avant de vouloir amener des variantes au processus, il est préférable de respecter la trame normale proposée et quand tout fonctionne bien et SURTOUT que l'on a bien compris ce que l'on a fait, alors on peut envisager de recommencer avec des variantes mais pas avant. Ainsi on évite pas mal de désagréments en débutant. Maintenant ce que j'en dis ...

Cordialement

oracle7😉

[Stixen92]

@oracle7

Bonjour,

J'ai réussi, en suivant ce tutoriel, à créer un certificat et à le renouveler pour mon nom de domaine (*.ndd1.com)
Pour cela, j'ai limité les clés API OVH à mon nom de domaine (*.ndd1.com)

Maintenant, je souhaite pouvoir créer et renouveler un certificat pour un autre nom de domaine (*.ndd2.com)

Du coup, j'ai quelques questions:

1) Dois-je refaire tout le tutoriel pour ce nouveau nom de domaine (*.ndd2.com)?
Comment faire sans supprimer la configuration pour le premier nom de domaine (*.ndd1.com)?

En effet, je souhaite pouvoir créer et renouveler des certificats pour les 2 noms de domaine (*.ndd1.com) et (*.ndd2.com)

2) Au niveau des clés API OVH, comment dois-je m'y prendre en sachant que la première fois, j'ai limité les clés API OVH à mon premier nom de domaine (*.ndd1.com)?

Merci d'avance.

 

[oracle7]

@Stixen92

Bonjour,

Ah que voilà une bonne question ! 🤪

Comme je n'utilise qu'un seul domaine, je t'avouerai que je n'ai pas envisagé ni réfléchi à ce cas de figure.

De façon simpliste, je pourrais te dire : tu refais tout le processus (complet et exactement pareil, y compris pour les clés OVH) pour le second domaine "ndd2.com et *ndd2.com". Donc au final, deux jeux de clés et deux commandes de renouvellement dans le gestionnaire de tâches de DSM.

Cela dit, il me semble bien que @bruno78 gère plusieurs domaines, il saura alors mieux te répondre que moi sur ce point et vis à vis de ce qu'il fait dans ce cas de figure et si il y a des finesses" à suivre. Désolé de ne pouvoir t'en dire plus. Je serai toutefois très attentif à sa réponse pour ma culture personnelle.

Cordialement

oracle7😉

 

 

[bruno78]

@oracle7, @Stixen92,

oui, si tu as 2 domaines indépendants, surtout ne pas les mélanger. =>  les gérer de façon indépendante => jeu de clés OVH distincts. Ce n'est déjà pas simple comme cela, mais si tu as le même jeu de clés (je ne sais même pas si c'est possible !) ça va tourner au cauchemar pour le gérer.

J'en ai presque fini avec la reprise du script de déploiement qui avait planté chez toi (il restait des coquilles, ... et je ne prétends pas qu'il n'y en a plus !). Je viens de faire un renouvellement automatique avec succès, avec l'option "-force", et une double authentification (à ce propos, @oracle7 m'ayant posé un défi à ce sujet, j'ai perdu un peu de temps sur le reste .... 🙂 ).  Faut que je fasse attention aux 5 renouvellements / semaine ...

Cdt

Bruno78

[Stixen92]

Il y a 16 heures, bruno78 a dit :

@oracle7, @Stixen92,

oui, si tu as 2 domaines indépendants, surtout ne pas les mélanger. =>  les gérer de façon indépendante => jeu de clés OVH distincts. Ce n'est déjà pas simple comme cela, mais si tu as le même jeu de clés (je ne sais même pas si c'est possible !) ça va tourner au cauchemar pour le gérer.

J'en ai presque fini avec la reprise du script de déploiement qui avait planté chez toi (il restait des coquilles, ... et je ne prétends pas qu'il n'y en a plus !). Je viens de faire un renouvellement automatique avec succès, avec l'option "-force", et une double authentification (à ce propos, @oracle7 m'ayant posé un défi à ce sujet, j'ai perdu un peu de temps sur le reste .... 🙂 ).  Faut que je fasse attention aux 5 renouvellements / semaine ...

Cdt

Bruno78

Salut @bruno78

- Donc je crée un nouveau jeu de clés sur l'API OVH pour le second nom de domaine?

- Je ne touche pas à l'ancien jeu de clés (limité uniquement au premier nom de domaine)?

- Le fait de recommencer le tutoriel, depuis le début, pour le second nom de domaine n'effacera pas les fichiers de configuration liés au premier nom de domaine?

Merci pour ton travail sur le script. 😉

J'attends ton retour.
 

Modifié le 8 février 2021 par Stixen92

[nebelnic]

Bonjour ,

Bon et bien toujours pas...J'avais pourtant bon espoir après la modif effectuée la semaine dernière.

Voici les fichiers log générés après ce nouveau renouvellement échoué.

D'avance merci pour votre aide!

 

 

 

Modifié le 21 février 2021 par nebelnic

[oracle7]

@nebelnic

Bonjour,

A la vue de tes fichiers logs, je constate que tu aurais 2 certificats : un ndd.tld et un zxxx.ndd.tld dans ton répertoire "/volume1/Certs".

Quel certificat souhaites-tu renouveler effectivement ? car comme tes deux certificats ont la même racine, je soupçonne que cela mette la "cata" ...

Fais le ménage et ne retient qu'un seul certificat, à mon humble avis ce devrait être pour le domaine "ndd.tld" et son wilcard associé "*.ndd.tld" et c'est tout.

Je te rappelle que le domaine wilcard "*.ndd.tld" recouvre le domaine "zxxxx.ndd.tld" donc il est inutile de faire un certificat  pour le domaine "zxxxx.ndd.tld".

Cordialement

oracle7😉

[nebelnic]

Il y a 2 heures, oracle7 a dit :

Quel certificat souhaites-tu renouveler effectivement ? car comme tes deux certificats ont la même racine, je soupçonne que cela mette la "cata" ...

Fais le ménage et ne retient qu'un seul certificat, à mon humble avis ce devrait être pour le domaine "ndd.tld" et son wilcard associé "*.ndd.tld" et c'est tout.

Merci @oracle7,

Quand tu me dis "fais le ménage", concrètement c'est quoi? J'ai effectivement 2 répertoires dans cert : un ndd.tld et un zxxx.ndd.tld . je vire le repertoire zxxx.ndd.tld ?

Suivant ce que tu me dis je vais anticiper le renouvellement de la semaine prochaine, l'histoire de tester direct, sans dépasser le quota.

 

Modifié le 10 février 2021 par nebelnic

[oracle7]

@nebelnic

Bonjour,

il y a 47 minutes, nebelnic a dit :

je vire le repertoire zxxx.ndd.tld ?

OUI. Par ailleurs , tu avais créé tes clés OVH sur quel domaine ? SI ce n'est pas sur le domaine "ndd.tld" alors si j'étais toi, je ferais aussi le ménage chez OVH pour virer toutes les clés et repartir sur une base saine.

Pour cela, pour supprimer des clés API :

• ·         Se connecter sur OVH ici : https://api.ovh.com/console/ (avec le compte -ovh, pas l'@eMail)

• ·         Aller sur : https://api.ovh.com/console/#/me/api/application#GET et cliquer sur le bouton « execute »

• ·         On obtient la liste des ID d’applications API déjà créées

• ·         Dans https://api.ovh.com/console/#/me/api/application/%7BapplicationId%7D#GET saisir/coller l’ID dans le champ « applicationId » puis « execute »

• ·         Pour supprimer l’application : aller dans : https://api.ovh.com/console/#/me/api/application/%7BapplicationId%7D#DELETE et saisir/coller l’ID dans le champ « applicationId » puis « execute ».

 Rien de bien compliqué, mais soit bien attentif à ce que te fait à ce niveau.

Ensuite pour repartir sur une base parfaitement claire et saine, tu reprends la création complète d'un certificat sur le domaine "ndd.tld" telque dans le TUTO. Une fois cela fait tu supprimeras les anciens certificats encore présents dans DSM.

Cordialement

oracle7😉

 

[nebelnic]

Merci @oracle7,

Bon alors finalement, à la lecture de ta réponse, je me suis dis qu'ayant créer mes clés OVH  pour le domaine zxxx.ndd.tld, j'allais  plutot virer le repertoire ndd.tld . (pourquoi ai-je eu ce repertoire là ? peut être à cause des manips que j'avais faite ensuite, afin de reccreer le renouvellement du certificat pour ndd.tld et non pour xxx.ndd.tld? mystère..)

Avant de reprendre donc tout à zéro, j'ai viré ce fameux repertoire ndd.tld  et  tenté un renouvellement en changeant la date dans le planificateur de tache.

Et là bingo. renouvellement effectué! Alors l'email envoyé me dit qu'il n'a pas été renouvelé. Mais il me semble avoir lu ici que c’était pareil pour tout le monde.

Je ne te cache pas que du coup je ne vais pas tout reprendre à zéro. Comme je t'avais indiqué j'ai suivi le tuto en pointant vers xxx.ndd.tld car il est possible qu'a l'avenir d'autres NAS utilisent le nom de domaine ndd.tld avec leur propre sous domaine , leur propre certificat et leur propre IP....

Merci pour ta patience une nouvelle fois ! Je continue à suivre ce thread ne serait-ce que pour la MaJ du script prochainement.

 

 

 

Modifié le 10 février 2021 par nebelnic

[AlexisG]

Le 07/02/2021 à 11:33, oracle7 a dit :

Tu reprends simplement à partir de l'étape 4 MAIS avant il te faudra redéfinir et exporter toutes les variables crées depuis le début du processus. Elles doivent être présentes en mémoire pour reprendre le processus normalement comme si de rien n'était.

Hello @oracle7 !

Il s'est à peu près écoulé une semaine donc j'ai voulu faire un nouvel essai.

J'ai supprimé l'ancienne appli dans l'API OVH, j'en ai généré une nouvelle et je re-tente la création du certificat mais j'ai toujours l'erreur suivante :

[Fri Feb 12 17:08:25 CET 2021] Using CA: https://acme-v02.api.letsencrypt.org/directory
[Fri Feb 12 17:08:25 CET 2021] Multi domain='DNS:votre-domaine.tld,DNS:*.votre-domaine.tld'
[Fri Feb 12 17:08:26 CET 2021] Getting domain auth token for each domain
[Fri Feb 12 17:08:29 CET 2021] Getting webroot for domain='votre-domaine.tld'
[Fri Feb 12 17:08:29 CET 2021] Getting webroot for domain='*.votre-domaine.tld'
[Fri Feb 12 17:08:29 CET 2021] Adding txt value: **************************** for domain:  _acme-challenge.votre-domaine.tld
[Fri Feb 12 17:08:30 CET 2021] Using OVH endpoint: ovh-eu
[Fri Feb 12 17:08:30 CET 2021] Checking authentication
[Fri Feb 12 17:08:30 CET 2021] Consumer key is ok.
[Fri Feb 12 17:08:31 CET 2021] Adding record
[Fri Feb 12 17:08:31 CET 2021] Add txt record error.
[Fri Feb 12 17:08:31 CET 2021] Error add txt for domain:_acme-challenge.votre-domaine.tld
[Fri Feb 12 17:08:31 CET 2021] Please add '--debug' or '--log' to check more details.
[Fri Feb 12 17:08:31 CET 2021] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh
 

Avec le mode debug et les logs ça donne les fichiers en PJ.

Pourtant, j'ai vérifié plusieurs fois les saisies et tout était niquel. Je ne vois pas trop d'où ça peut venir...

 

Debug.txt Logs.txt

[bruno78]

bonjour @AlexisG

[Fri Feb 12 17:09:01 CET 2021] invalid domain
[Fri Feb 12 17:09:01 CET 2021] Error add txt for domain:_acme-challenge.votre-domaine.tld

invalid domain ....

[oracle7]

@AlexisG

Bonjour,

Ce serait bien que tu fasses du ménage dans ta zone DNS chez OVH.

Vérifies qu'il existe pas d'enregistrements du type "_acme-challenge.votre-domaine.tld"

Normalement, il ne doit pas y en avoir. Si présent d'un, alors je pense que c'est cela qui bloque le processus car il ne peut en créer un autre (ce qui ferait un doublon) ni écraser l'existant pour le remplacer.

Acme en crée un le temps de vérifier l'authentification puis il le supprime.

Vérifie aussi dans DSM que tu n'as pas d'anciens certificat (.old) présents sinon supprimes les.

Cordialement

oracle7😉

 

[AlexisG]

Le 12/02/2021 à 17:38, bruno78 a dit :

invalid domain ....

 Oui @bruno78 j'ai vu cette erreur mais ça ne devrait pas car j'ai bien renseigné le bon nom de domaine dans les commandes (les logs sont juste "anonymisés").

Le 12/02/2021 à 17:44, oracle7 a dit :

Vérifies qu'il existe pas d'enregistrements du type "_acme-challenge.votre-domaine.tld"

Je viens d'aller faire un tour et il n'y a rien @oracle7

Le 12/02/2021 à 17:44, oracle7 a dit :

Vérifie aussi dans DSM que tu n'as pas d'anciens certificat (.old) présents sinon supprimes les.

Dans le dossier Certs ? Il n'y a rien. Par contre étrangement, en allant faire un tour dessus, je trouve un dossier avec mon nom de domaine et 4 fichiers dedans (un .conf / un .csr / un .csr.conf / un .key).

Le fichier .key date de la semaine dernière (ma précédente tentative), les 3 autres datent d'hier (dernière tentative en date de création du certificat). C'est normail que j'ai ça ? Je pensais que la tentative avait échoué...ça serait les bons certificats ?

[oracle7]

@AlexisG

Bonjour,

il y a 12 minutes, AlexisG a dit :

Par contre étrangement, en allant faire un tour dessus, je trouve un dossier avec mon nom de domaine et 4 fichiers dedans (un .conf / un .csr / un .csr.conf / un .key).

Le fichier .key date de la semaine dernière (ma précédente tentative), les 3 autres datent d'hier (dernière tentative en date de création du certificat). C'est normail que j'ai ça ?

C'est complétement normal ! Les fichiers de ton certificat sont générés dans "/volume1/Certs" dans un dossier nommé avec ton nom de domaine "ndd.tld" et dans ce dossier tu trouves les quatre fichiers de ton certificat nommés aussi avec le nom de ton domaine plus les extensions ".conf", ".csr",  ".csr.conf" et ".key". Tu peux aussi y trouver trois autres fichiers : "ca.cer", fullchain.cer" et "ndd.tld.cer".

Le fichier ".key" ne change pas il est crée à la création du certificat. Seuls les autres changent  et prennent la date du renouvellement.

@bruno78 a raison, le message est clair "invalid domain" et c'est pour cela qu'il ne peut écrire le champ "_acme-challenge.votre-domaine.tld" chez OVH.

Tu es donc certain que tu saisis bien ton nom de domaine avec que des lettres minuscules et/ou des chiffres et/ou le caractère "tiret" soit "-" ?

Cordialement

oracle7😉

[Pinpon_112]

Bonjour @oracle7,

La procédure de renouvellement du certificat a eu lieu aujourd'hui et une fois de plus, il n'a pas été renouvelé...  Pourtant, suite à la dernière fois, je pensais que c'était en ordre puisque j'avais pu en faire une forcée qui avait bien fonctionné.

J'en perds donc mon latin 😞

[bruno78]

@Pinpon_112 bonjour,

tu peux nous en dire un peu plus stp ? (dsl je n'ai pas remonté tout le fil). Type d'erreur, et utilisation ou pas de la double authentification ?

Merci

[Pinpon_112]

@bruno78 et @oracle7,

Je vous envoie le acmelog en MP car je ne sais pas s'il est bien nettoyé.

Sinon, oui, j'ai une double authentification.  A l'époque le did n'était pas repris ou étais expiré.  En décembre, je l'avais renseigné avec une valeur d'expiration dans une dizaine d'année.

Merci pour votre aide à tous les deux.

[Audio]

Le 27/01/2021 à 21:29, oracle7 a dit :

@Stixen92

Bonjour,

Désolé je me suis mal exprimé en parlant de la date d'expiration, le DID comporte en fait une durée de validité fixée par la date d'expiration par rapport à sa date de création. Du coup, quand la date courante est supérieure à Date création + durée de validité alors le DID n'est plus valide. Quand tu changes manuellement la date d'expiration du DID dans FF pour la repousser aux calandres grecques, il te faut ensuite aller recopier dans le fichier account.conf la nouvelle valeur du DID dans la variable SAVED_DID. Il en est aussi de même après une mise à jour de FF car le DID est réinitialisé, il faut donc remodifier sa date d'expiration. Seulement à partir de là le NAS saura ... C'est chi... mais on n'a pas le choix que de subir cet état de fait.

Tu m'as lu ma précédente réponse en "diagonale" ! Je n'ai jamais parlé de variable SAVED_OVH_CK mais de variable OVH_CK.

Et pour cause, exporter une variable (par ex export OVH_CK="XXXX") n'est valable que durant la session SSH courante durant laquelle la variable reste en mémoire pour d'autres utilisations. La variable exportée n'est pas détruite à la fin du script qui l'utilise puisqu'elle n'a pas été définie dans ce script, ainsi si tu relances le script, la variable (et donc la valeur qu'elle stocke) est toujours disponible. Par contre elle est bien détruite à la fin de la session SSH. Il n'y a donc rien de bizarre. Ce que tu as constaté, est simplement normal.

Par ailleurs, saches qu'en aucun cas cet export n'écrit dans un quelconque fichier et donc pas dans account.conf. Seul le script acme.sh le fait.

NON, cette variable ne sert que pour et lors de la création du certificat. Le fichier account.conf sert lui, aux renouvellements du certificat.

Cordialement

oracle7😉

 

Bonsoir,

@oracle7, peux-tu confirmer que l'enregistrement du DID doit être faite dans le le fichier /usr/local/share/acme.sh/account.conf ?

Il me semble que dans la mise à jour du Tuto (Edit 10/01/2021) tu parles de l'enregistrer dans /volume1/Certs/votre-domaine.tld/votre-domaine.tld.conf.

J'ai effectivement expérimenté la "réinitialisation"du DID avec la MAJ de Firefox, c'est pas la panacée. Il faut faire une petite vérification/correction un peu avant que le script ne lance le renouvellement à moins de 60 jours (à marquer dans son agenda!!) pour ne pas se faire surprendre.

Cordialement

Audio

[oracle7]

@Audio

Bonjour,

il y a 45 minutes, Audio a dit :

peux-tu confirmer que l'enregistrement du DID doit être faite dans le le fichier /usr/local/share/acme.sh/account.conf ?

Il me semble que dans la mise à jour du Tuto (Edit 10/01/2021) tu parles de l'enregistrer dans /volume1/Certs/votre-domaine.tld/votre-domaine.tld.conf.

👍👏 Très bonne remarque, je viens de vérifier chez moi , le DID est sauvegardé à deux endroits :

SAVED_DID dans "/usr/local/share/acme.sh/account.conf"

SAVED_SYNO_DID dans "/volume1/Certs//volume1/Certs/votre-domaine.tld/votre-domaine.tld.conf"

Le TUTO a été mis à jour en conséquence.

il y a 45 minutes, Audio a dit :

Il faut faire une petite vérification/correction un peu avant que le script ne lance le renouvellement à moins de 60 jours (à marquer dans son agenda!!) pour ne pas se faire surprendre.

C'est effectivement une sage résolution qui "ne mange pas de pain" 🤗

Cordialement

oracle7😉

Modifié le 15 février 2021 par oracle7

[Mic13710]

@oracle7

Salut,

Je viens vers toi à propos de ce tuto car je me demande quelle en est encore la pertinence.

Je viens d'avoir 3 renouvellements automatiques avec deploy_hook sur 3 NAS, 2 avec la méthode Neilpang sur github dont la tienne est dérivée, et l'autre via Docker à partir de la toute première version du tuto d' @Einsteinium qui est en fait une réplique du même tuto de github.

J'ai aussi eu fin décembre un renouvellement auto via Docker sur un autre NAS et son prochain renouvellement est prévu pour le 27.

Tous se sont déroulés sans utilisation d'un script supplémentaire (celui de ton tuto) pour pallier un supposé dysfonctionnement et tous les certificats ont été correctement reportés dans les différentes applications concernées que ce soit dans /usr/syno/etc/certificate » ou « /usr/local/etc/certificate

Aussi, je me pose la question de l'utilité de ton script avec les dernières versions de DSM. Je me trompe peut-être, mais à mon avis le deploy_hook a été corrigé, ce qui de facto ne nécessiterait plus de rajouter ton script.

J'ai plusieurs renouvellements planifiés dans les prochains jours. Je te ferai un retour, mais je suis persuadé qu'ils se dérouleront sans encombre.