[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"

[oracle7]

@Stixen92

Bonjour,

Que disent les logs "acmelog" et "acme_renew_python.log.1" situés dans "/volume1/Certs/Acme_renew/" ?

C'est la première chose à examiner lorsque tu as un dysfonctionnement du processus.

Assures-toi que tes mots de passe (à tous les niveaux) ne comportent pas de caractères "exotiques" spéciaux (que des lettres majuscules, minuscules et des chiffres !). C'est souvent cela qui crée les blocages.

Cordialement

oracle7😉

[Stixen92]

@oracle7

Il y a 2 heures, oracle7 a dit :

Que disent les logs "acmelog" et "acme_renew_python.log.1" situés dans "/volume1/Certs/Acme_renew/" ?

[Thu Jan 28 08:34:00 CET 2021] _CURL='curl --silent --dump-header /usr/local/share/acme.sh//http.header  -L  -g '
[Thu Jan 28 08:36:07 CET 2021] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 35
[Thu Jan 28 08:36:07 CET 2021] _ret='35'
[Thu Jan 28 08:36:08 CET 2021] code
[Thu Jan 28 08:36:08 CET 2021] d='mondomaine.fr'
[Thu Jan 28 08:36:08 CET 2021] Getting webroot for domain='mondomaine.fr'
[Thu Jan 28 08:36:08 CET 2021] _w='dns_ovh'
[Thu Jan 28 08:36:08 CET 2021] _currentRoot='dns_ovh'
[Thu Jan 28 08:36:08 CET 2021] get to authz error.
[Thu Jan 28 08:36:08 CET 2021] pid
[Thu Jan 28 08:36:08 CET 2021] No need to restore nginx, skip.
[Thu Jan 28 08:36:08 CET 2021] _clearupdns
[Thu Jan 28 08:36:08 CET 2021] dns_entries
[Thu Jan 28 08:36:08 CET 2021] skip dns.
[Thu Jan 28 08:36:08 CET 2021] _on_issue_err
[Thu Jan 28 08:36:08 CET 2021] Please check log file for more details: /volume1/Certs/Acme_renew/acmelog
[Thu Jan 28 08:36:08 CET 2021] socat doesn't exist.

socat:
[Thu Jan 28 08:36:08 CET 2021] Return code: 1
[Thu Jan 28 08:36:08 CET 2021] Error renew mondomaine.fr.
[Thu Jan 28 08:36:08 CET 2021] _error_level='1'
[Thu Jan 28 08:36:08 CET 2021] _set_level='2'
[Thu Jan 28 08:36:08 CET 2021] The NOTIFY_HOOK is empty, just return.
[Thu Jan 28 08:36:08 CET 2021] ===End cron===

 

Il y a 2 heures, oracle7 a dit :

Assures-toi que tes mots de passe (à tous les niveaux) ne comportent pas de caractères "exotiques" spéciaux (que des lettres majuscules, minuscules et des chiffres !). C'est souvent cela qui crée les blocages.

J'ai suivi tes conseils d'il y a 2 jours et aucun caractère spécial ou exotique dans mon nom d'utilisateur et mon mot de passe.
La preuve, cela marche correctement si je passe par la console SSH sous WinSCP.

Il n'y a que dans le planificateur de tâches de DSM que cela coince...

 

Modifié le 28 janvier 2021 par Stixen92

[oracle7]

@Stixen92

Bonjour,

Il n'y a pas que cela dans les logs.

Pour moi le problème est ailleurs même si le message parle du package socat.

De plus, comme dit dans le TUTO lors de l'installation de acme.sh, on utilise pas le "mode standalone" donc le package socat n'est pas à installer ni à utiliser.

Attention aux nombre de tentatives de renouvellement du certificat --> maxi 5 par semaine. Après tu seras bloqué pour une semaine calendaire à compter de la dernière tentative.

Cordialement

oracle7😉

[Stixen92]

@oracle7

il y a 38 minutes, oracle7 a dit :

Il n'y a pas que cela dans les logs.

Pour moi le problème est ailleurs même si le message parle du package socat.

Oui, mais j'ai repris les parties où apparaissent des messages d'erreur.

 

il y a 38 minutes, oracle7 a dit :

De plus, comme dit dans le TUTO lors de l'installation de acme.sh, on utilise pas le "mode standalone" donc le package socat n'est pas à installer ni à utiliser.

Je n'utilise pas le mode standalone. J'ai suivi ton tuto à la lettre...

Ce que je ne comprends pas c'est pourquoi il y a échec du renouvellement du certificat en exécutant le script Python sur le planificateur de tâches de DSM alors que tout fonctionne correctement si j’exécute ce même script Python depuis la console SSH sur WinSCP...

Cela n'a aucun sens!

Du coup, vu que cela ne fonctionne pas depuis sur le planificateur de tâches, je ne peux pas profiter du renouvellement automatique...

 

il y a 38 minutes, oracle7 a dit :

Attention aux nombre de tentatives de renouvellement du certificat --> maxi 5 par semaine. Après tu seras bloqué pour une semaine calendaire à compter de la dernière tentative.

Oui, je l'ai malheureusement atteinte...

La limite de 5 comprend les tentatives infructueuses?


 

Modifié le 28 janvier 2021 par Stixen92

[oracle7]

@Stixen92

Bonjour,

Il y a 2 heures, Stixen92 a dit :

La limite de 5 comprend les tentatives infructueuses?

Je crains bien que oui.

Il y a 2 heures, Stixen92 a dit :

Ce que je ne comprends pas c'est pourquoi il y a échec du renouvellement du certificat en exécutant le script Python sur le planificateur de tâches de DSM alors que tout fonctionne correctement si j’exécute ce même script Python depuis la console SSH sur WinSCP...

Essaies de supprimer :

1. Dans la tâche : la commande python3 /volume1/Scripts/acme_renew.py -l ndd.tld et ressaisies là manuellement (surtout pas de copier/coller). Tu as peut-être introduit un caractère parasite invisible dans la commande avec le C/C initial, qui vient perturber l'interpréteur de commande de DSM.
2. Sinon supprimes complétement la tâche dans le gestionnaire et recrées-en une nouvelle entièrement par saisie manuelle (pas de C/C).

Cordialement

oracle7😉

[Fox_dj4]

Hello à tous!

Merci beaucoup pour ce super tuto très clair. J'ai pu faire toutes les étapes jusqu'au chapitre 5.

En effet j'ai pu récupérer mon certificat signé auprès de LE, mais impossible de passer l'étape de déploiement du certificat via CLI.

En effet comme certains ici je tombe sur le message d'erreur suivant :

[Fri Jan 29 14:18:37 CET 2021] Unable to authenticate to localhost:5000 using http.
[Fri Jan 29 14:18:37 CET 2021] Check your username and password.

J'ai bien vérifié en utilisant les options "--output-insecure --debug 3" que mon user et mon mot de passe sont ok : c'est bien le cas (et je n'ai pas de caractères exotique dedans).

Je n'ai pas de DID à vérifier car je ne suis pas en double authentification (d'ailleurs pour tester j'ai quand même installé firefox et impossible de trouver le moindre cookie DID, seulement un ID qui expire à la fin de la session).

J'ai écumé les sites pour trouver une solution, mais pas moyen malheureusement.. j'ai donc fini par aller récupérer les fichiers .key et .crt et les placer manuellement dans l'onglet sécurité du Synology et ils se sont bien appliqués. Je vois bien également que le certificat n'est valide que pendant 3 mois et que je devrais refaire cette manipulation là manuellement..

Si vous aviez une idée de la direction dans laquelle je peux chercher ça serait vraiment cool, je penche pour un souci de connexion à l'API mais pourtant je n'ai aucun message d'erreur hormis celui indiqué plus haut.

Merci à vous et bonne journée,

@+

Ryan.

[oracle7]

@Fox_dj4

Bonjour,

Quelques questions :

• Ton identifiant a-t-il la bonne structure type NETBIOS, à sa voir par ex longueur maxi = 15 car.
• Tu es certains que tes identifiants et mdp ne comportent pas de caractères spéciaux tels que  % \ / * ? : " < > | @ par ex ? Donc ces caractères sont à bannir. --> Que des lettres majuscules, minuscules et chiffres !
• Le port 5000 (et au passage le 5001) est-il bien ouvert/autorisé dans le pare-feu du NAS ?
• As-tu éventuellement modifiés les ports standards (5000 et 5001) du NAS ?
• Le HSTS n'est pas activé dans "Réseau / Paramètres de DSM" ? Si Oui le désactiver pour éviter que toutes les connexions HTTP ne soient refusées et automatiquement transformées en HTTPS.
• Dans le processus, quand tu as exporter les variables SYNO_Username et SYNO_Password", tu n'as pas fait de C/C des valeurs mais bien saisi manuellement ces valeurs ? Car tu pourrais avoir avec le C/C introduit un caractère parasite invisible (blanc, fin de ligne, etc ..) qui perturbe ensuite l'interpréteur. Cela arrive souvent !!!
• Que dit le log "acmelog" situé dans "/volume1/Certs/Acme_renew/" ?
  C'est la première chose à examiner lorsque tu as un dysfonctionnement du processus.

Il y a 1 heure, Fox_dj4 a dit :

et que je devrais refaire cette manipulation là manuellement..

Non pas pour la phase de création en tous cas, mais d'ici là j'espère bien qu'on aura trouvé ce qui coince dans ta configuration.😀

Cordialement

oracle7😉

Modifié le 29 janvier 2021 par oracle7

[Stixen92]

Salut @oracle7

 

Le 28/01/2021 à 17:21, oracle7 a dit :

Essaies de supprimer :

1. Dans la tâche : la commande python3 /volume1/Scripts/acme_renew.py -l ndd.tld et ressaisies là manuellement (surtout pas de copier/coller). Tu as peut-être introduit un caractère parasite invisible dans la commande avec le C/C initial, qui vient perturber l'interpréteur de commande de DSM.
2. Sinon supprimes complétement la tâche dans le gestionnaire et recrées-en une nouvelle entièrement par saisie manuelle (pas de C/C).

Oui, il faut que je teste ça mais je ne sais pas si cela va servir à quelque chose de le faire maintenant vu que j'ai atteint le quota de 5 certificats le Jeudi 28 Janvier.

Logiquement, je pourrai de nouveau renouveler mon certificat à partir du Jeudi 4 Février, c'est bien cela?

Si je fais une nouvelle tentative de renouvellement aujourd'hui, la date de réinitialisation de mon quota sera toujours le Jeudi 4 Février ou alors le Samedi 6 Février?

[Fox_dj4]

Hello Oracle7 et merci pour le temps pris pour me répondre et m'aider 🙂

Alors voilà pour les réponses :

• Ton identifiant a-t-il la bonne structure type NETBIOS, à sa voir par ex longueur maxi = 15 car.
  • Oui c'est un mdp de 9 caractères
• Tu es certains que tes identifiants et mdp ne comportent pas de caractères spéciaux tels que  % \ / * ? : " <
  • Oui je n'ai que des lettres et des chiffres dans mon mot de passe
• Le port 5000 (et au passage le 5001) est-il bien ouvert/autorisé dans le pare-feu du NAS ?
  • Le pare-feu du NAS est désactivé, et les ports http et https sont bien accessible que ce soit en local sur les ports 5000 et 5001, ou via le WAN via des redirections de ports Externe 80 et 443 vers respectivement 5000 et 5001 en Interne et tout fonctionne.
• As-tu éventuellement modifiés les ports standards (5000 et 5001) du NAS ?
  • Nope, je suis bien toujours sur les 5000 et 5001
• Le HSTS n'est pas activé dans "Réseau / Paramètres de DSM" ? Si Oui le désactiver pour éviter que toutes les connexions HTTP ne soient refusées et automatiquement transformées en HTTPS.
  • Non je n'ai pas activé le forçage du passage de HTTP vers HTTPS. Aucunes options n'est cochées dans l'onglet Réseau/Paramètres de DSM.
• Dans le processus, quand tu as exporter les variables SYNO_Username et SYNO_Password", tu n'as pas fait de C/C des valeurs mais bien saisi manuellement ces valeurs ? Car tu pourrais avoir avec le C/C introduit un caractère parasite invisible (blanc, fin de ligne, etc ..) qui perturbe ensuite l'interpréteur. Cela arrive souvent !!!
  • Effectivement j'y ai pensé au début car j'avais bien fait un copier/coller d'un fichier texte où j'avais mis toutes les bonnes valeurs. Mais j'ai essayé aussi plusieurs fois en rentrant bien manuellement toutes les données sans copier/coller (et je viens de réessayer à l'instant) et ça ne semble rien changer.
• Que dit le log "acmelog" situé dans "/volume1/Certs/Acme_renew/" ?
  • Je ne vois malheureusement aucun fichier de logs car je n'ai pas de répertoire "Acme_renew" dans /volume1/Certs/. Je n'ai que les répertoires "Acme_install" et "nomdedomaine.com". C'est pour ça que j'ai trouvé les arguments "--output-insecure --debug 3" pour avoir un peu plus d'informations.

Comme tu peux le voir, je n'ai pas vraiment de pistes pour creuser dans une certaine direction. J'ai vraiment cru sur le coup que cette histoire de DID réglerait la question mais je n'en ai pas car pas de double authentification.

Si tu as besoin d'autres infos n'hésite pas, et encore merci pour ton temps 🙂

@+ et bon weekend !

[oracle7]

Bonjour,

@Stixen92

Il y a 3 heures, Stixen92 a dit :

Logiquement, je pourrai de nouveau renouveler mon certificat à partir du Jeudi 4 Février, c'est bien cela?

Normalement OUI, après même s'il m'est arrivé aussi au début de refaire des tentatives car je ne connaissais pas encore la fameuse limite de 5 par semaine, a priori je dirais que c'est à compter de la date de la 5ème demande de renouvellement consécutive dans la même semaine que la limitation commence, je ne crois pas que la limite se décale avec de nouvelles tentatives, mais je peux me tromper ...

 

@Fox_dj4

Il y a 1 heure, Fox_dj4 a dit :

ou via le WAN via des redirections de ports Externe 80 et 443 vers respectivement 5000 et 5001 en Interne et tout fonctionne

????? Tu est sûr de ton coup avec ces redirections ????? Dans la box il faut rediriger les ports 80 et 443 vers respectivement les même ports 80 et 443 sur le NAS et c'est TOUT ! Dans la box on ne fait rien sur les ports 5000 et 5001 pour justement ne pas exposer ton NAS à Internet par soucis évident de sécurité. Saches que ces ports (comme le port 22 SSH) sont des cibles de choix des malveillants.

Ensuite, dans le pare-feu du NAS, tu ouvres/autorises les ports 80,443, 5000 et 5001.

Il y a 2 heures, Fox_dj4 a dit :

Je ne vois malheureusement aucun fichier de logs car je n'ai pas de répertoire "Acme_renew" dans /volume1/Certs/. Je n'ai que les répertoires "Acme_install" et "nomdedomaine.com".

OK, effectivement c'est normal, vu que le déploiement n'a pas eut lieu.

Regardes alors la variable LOG_FILE que tu trouveras dans le fichier /usr/local/share/acme.sh/account.conf . Elle te donnera le chemin vers le fichier log d'acme.sh et examines ce dernier.

Envoies moi en MP ton fichier log après avoir sous éditeur de texte, masqué avec des xxxxxx, ndd.tld, etc ... les valeurs confidentielles, que je regardes de plus près.

Cordialement

oracle7😉

[nebelnic]

Bonjour,

Bon et bien 2 mois après  avoir appliqué ce tuto, réussi manuellement à mettre à jour le certificat en le forçant pour voir si tout fonctionnait bien, le renouvellement automatique était prévu hier soir.

et malheureusement sans succès....

voici les 2 fichiers log qui ont été générés.

Je suis complétement largué. Si quelqu'un peut y jeter un œil. Si la solution est simple je tente une modification , sinon je pense laissé tomber. Je pense ne pas entre assez compétent.

D'avance merci!!

 

Modifié le 21 février 2021 par nebelnic

[Jérôme Damy]

Bonjour à tous,

Merci pour ce tuto très complet et que je cherchais depuis longtemps.

J'ai juste une question concernant le script de renouvellement.

J'ai créé un certificat qui contient un domaine "domaine.tld" et "*.domaine.tld".

Que dois-je indiquer dans le chemin : python3 /volume1/documents/Sauvegardes/Certificats/acme_renew.py -l .... ?

Merci d'avance.

Jérôme

[oracle7]

@nebelnic

Bonjour,

Après examen de tes fichiers logs, je dirais que ton renouvellement ne s'est pas effectué parce que ta clé "Consumer Key" normalement présente dans le fichier "/usr/local/share/acme.sh/account.conf" via la variable 'OVH_CK" n'a pas été trouvée.

Le script a dû te le dire via un message qui te demandait d'aller sur un lien qu'il te donnait pour valider cette clé :

Citation

[Wed Feb  3 00:00:37 CET 2021] Using OVH endpoint: ovh-eu
[Wed Feb  3 00:00:37 CET 2021] OVH_API='https://eu.api.ovh.com/1.0'
[Wed Feb  3 00:00:37 CET 2021] OVH consumer key is empty, Let's get one:
[Wed Feb  3 00:00:37 CET 2021] POST
[Wed Feb  3 00:00:37 CET 2021] _post_url='https://eu.api.ovh.com/1.0/auth/credential'
[Wed Feb  3 00:00:37 CET 2021] _CURL='curl --silent --dump-header /usr/local/share/acme.sh//http.header  -L  -g '
[Wed Feb  3 00:00:37 CET 2021] _ret='0'
[Wed Feb  3 00:00:37 CET 2021] validationUrl='https://eu.api.ovh.com/auth/?credentialToken=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'
[Wed Feb  3 00:00:37 CET 2021] consumerKey='[hidden](please add '--output-insecure' to see this value)'
[Wed Feb  3 00:00:37 CET 2021] Please open this link to do authentication: https://eu.api.ovh.com/auth/?credentialToken=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
[Wed Feb  3 00:00:37 CET 2021] Here is a guide for you: https://github.com/acmesh-official/acme.sh/wiki/How-to-use-OVH-domain-api
[Wed Feb  3 00:00:37 CET 2021] Please retry after the authentication is done.

 

Donc, maintenant avant de relancer un renouvellement, il te faut a minima insérer cette clé "OVH_CK" dans le fichier "/usr/local/share/acme.sh/account.conf". Tu copies la valeur de clé à partir de la sauvegarde que tu as faite antérieurement et tu insères dans le fichier "/usr/local/share/acme.sh/account.conf" (à la fin) une ligne telle que :

OVH_CK='xxxxxxxxxxxxxxxxxxx_Valeur_clé_ CK_xxxxxxxxxxxxxxxxx'

Attention de ne pas prendre de caractères "parasites" invisibles (blancs, fin de ligne, etc ...) lors du C/C.

La prochaine fois, voire de temps en temps, avant un renouvellement vérifies la présence de cette clé dans le fichier.

Idem, si tu utilises la 2FA (double authentification) vérifies aussi que le cookie DID n'est pas périmé et que sa valeur courante est cohérente de celle sauvegardée dans la variable SYNO_DID du fichier "Volume1/Certs/ndd.tld/ndd.tld.conf".

Enfin une dernière remarque, pourquoi as-tu créé un certificat sur "xxxxx.ndd.tld" ? il aurait été plus simple et plus pertinent de le créer tout simplement sur "ndd.tld". Ainsi, "*.ndd.tld" aurait couvert ton domaine "xxxxx.ndd.tld".

Maintenant ce que j'en dit ...

Cordialement

oracle7😉

 

@Jérôme Damy

Bonjour,

1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

2. il y a 25 minutes, Jérôme Damy a dit :

   Que dois-je indiquer dans le chemin : python3 /volume1/documents/Sauvegardes/Certificats/acme_renew.py -l .... ?

   Il me semblait que le TUTO était explicite, mais bon ...

   Citation

   Ou si vous souhaitez utiliser la version sous « Python3 » :

   python3 /volume1/Scripts/acme_renew.py -l votre-domaine.tld

   
   Tu indiques tout simplement "votre-domaine.tld" en remplaçant par la bonne valeur.

Cordialement

oracle7😉

[Jérôme Damy]

Il y a 2 heures, oracle7 a dit :

1. Tu indiques tout simplement "votre-domaine.tld" en remplaçant par la bonne valeur.

Merci pour la rapidité de ta réponse, je viens de rédiger ma présentation 😉

Oui j'ai bien lu ta procédure et je voulais simplement savoir si le fait d'avoir plusieurs domaines dans le même certificat changeait quelque chose pour ce paramètre.

Bonne journée.

Jérôme

[bruno78]

@Jérôme Damy bonjour,

peux-tu stp préciser ton dernier message: disposes-tu de plusieurs "vrais" domaines (ndd.tld différents), ou plusieurs sous-domaines d'un même domaine ?

Pour info : le script Python a évolué depuis la dernière version mise en ligne, et en particulier pour traiter le cas où l'on dispose de plusieurs domaines (ndd.tld) différents (ça complique un peu le process ....). D'autre part , je suis en train de retravailler dessus pour un problème avec le paramètre "-f" (le certificat est renouvelé mais le script ne s'en rend pas compte). Je suis en cours de tests, mais avec 5 essais max par semaine il faut faire attention .... J'espère pouvoir mettre en ligne une nouvelle version d'ici fin de semaine prochaine .... si on m'en laisse le temps par ailleurs 🙂

Bruno78

[nebelnic]

Il y a 3 heures, oracle7 a dit :

Donc, maintenant avant de relancer un renouvellement, il te faut a minima insérer cette clé "OVH_CK" dans le fichier "/usr/local/share/acme.sh/account.conf". Tu copies la valeur de clé à partir de la sauvegarde que tu as faite antérieurement et tu insères dans le fichier "/usr/local/share/acme.sh/account.conf"

 @oracle7 Merci beaucoup pour ta réponse .

Bon je pense que c'est là ou je vais commencer à être un peu lourd. Mais j'avoue direct que je n'arrive pas a accéder à ce fichier account.conf. Ou se trouve-t-il?  je suis perdu direct!

Je me suis connecté en root . je n'arrive pas à comprendre ou il est?  Il s'agit de mes répertoire partagé? dans mes répertoires partagés a été créé lorsque j'ai suivi le tuto un répertoire cert  et un autre scripts. Dois-je me mettre à la racine volume1 pour trouver le repertoire acme.sh ?

Vraiment désolé!

 

[oracle7]

@nebelnic

Bonjour,

Tu as dû me lire en "diagonale", je t'ai donné son chemin en début de ma précédente réponse.

Bon pas grave 🤪, re voici le chemin complet : "/usr/local/share/acme.sh/account.conf".

La racine "/usr" est au même niveau que "/volume1". Ce n'est pas un répertoire partagé du NAS mais un répertoire système de DSM.

Tu y accèdes via WINSCP ou PuTTY ou Terminal Mac dans une session SSH sous root.

Cordialement

oracle7😉

 

Modifié le 3 février 2021 par oracle7

[Jérôme Damy]

il y a une heure, bruno78 a dit :

@Jérôme Damy bonjour,

peux-tu stp préciser ton dernier message: disposes-tu de plusieurs "vrais" domaines (ndd.tld différents), ou plusieurs sous-domaines d'un même domaine ?

Pour info : le script Python a évolué depuis la dernière version mise en ligne, et en particulier pour traiter le cas où l'on dispose de plusieurs domaines (ndd.tld) différents (ça complique un peu le process ....). D'autre part , je suis en train de retravailler dessus pour un problème avec le paramètre "-f" (le certificat est renouvelé mais le script ne s'en rend pas compte). Je suis en cours de tests, mais avec 5 essais max par semaine il faut faire attention .... J'espère pouvoir mettre en ligne une nouvelle version d'ici fin de semaine prochaine .... si on m'en laisse le temps par ailleurs 🙂

Bruno78

Bonjour @bruno78,

Non c'est bien pour le même domaine, j'ai simplement un certificat wildcard avec en domaine "ndd.tld" + "*.ndd.tld", mais à titre professionnel, je suis preneur de ton évolution. 😁

Merci.

Jérôme

[bruno78]

@Jérôme Damy

oui donc c'est bien un seul domaine wildcard. Au niveau du script Python, c'est bien "ndd.tld" qu'il faut indiquer. L'indication du Wildcard a été donnée à la première création du certificat, avec les variables 

$ export CERT_DOMAIN="votre-domaine.tld"

$ export CERT_WDOMAIN="*.votre-domaine.tld"

puis lors de la création où on indique bien les 2 entrées -d CERT_DOMAIN et CERT_WDOMAIN:

$ ./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" --dns "$CERT_DNS"

Bruno78

[nebelnic]

Il y a 2 heures, oracle7 a dit :

La racine "/usr" est au même niveau que "/volume1".

Merci @oracle7 !

A la racine !.... pfiou par moment moi je me désole.

Bref.. j'ai effectué ce que tu m'as conseillé .

Alors a la fin de account.conf j'avais bien une ligne du type :

OVH_CK='xxxxxxxxxxxxxxxxxxx_Valeur_clé_ CK_xxxxxxxxxxxxxxxxx'

 mais elle ne contenait pas ma consumer key . C’était une autre clé!?!

Sais tu pour quelle raison? je l'ai donc remplacé par la consumer key que j'avais sauvegardé il y  a 2 mois. sauvegardé le fichier et ensuite replacé ce fichier à sa place.

Je pense attendre le renouvellement auto dans une semaine pour voir si ça fonctionne, plutôt que de forcer manuellement.

Qu'en penses-tu?

Encore merci pour ta patience.

 

 

[oracle7]

@nebelnic

Bonjour,

il y a 6 minutes, nebelnic a dit :

Sais tu pour quelle raison?

Aucune idée, comme cela ... Tu n'as pas, depuis ta sauvegarde, recréer de jeu de clé par hasard ?

Sinon, oui attends, ne consommes pas inutilement de "cartouches de renouvellement", on verra dans une semaine, au quel cas on supprimera tous les jeux existants pour en recréer un correct.

Cordialement

oracle7😉

Modifié le 3 février 2021 par oracle7

[nebelnic]

Il y a 3 heures, oracle7 a dit :

Aucune idée, comme cela ... Tu n'as pas, depuis ta sauvegarde, recréer de jeu de clé par hasard ?

@oracle7

Euh... Si!! Quand nous avions discuter le 11 décembre  de l’éventualité de refaire correctement la création du certificat en n'incluant pas xxxxx.ndd.tld afin d'avoir quelque-chose de plus propre. Finalement je n'y étais pas arrivé car de base j'avais créé  le DDNS chez OVH en incluant le sous domaine . Bref il fallait que je reprenne tout , y compris la création du DDNS et j'ai finalement décidé de ne pas le faire.... Mais effectivement j'ai au début tenté de recréer un jeu de clé.  oups!!

Je vais attendre donc la semaine prochaine et ça devrait rentrer dans l'ordre.

Encore merci.

 

Modifié le 3 février 2021 par nebelnic

[oracle7]

@nebelnic

Bonjour,

J'en conclue donc que tu es toujours avec un DDNS que je qulifierai de "pas adapté" et donc sur une création de certificat sur quelque chose comme "ddns.ndd.tld". Non pas que cela ne marchera pas , mais cela aurait été tellement plus propre de le faire sur simplement "ndd.tld". Maintenant ce que j'en dis ...

Bon, au cas où tu déciderais de tout reprendre quand même, ce que tu auras fait et vécu là, t'auras au moins fait progresser dans la connaissance du NAS et de ses arcanes et c'est très bien.😀

A dans une semaine donc ...

Cordialement

oracle7😉

 

[nebelnic]

Il y a 2 heures, oracle7 a dit :

J'en conclue donc que tu es toujours avec un DDNS que je qulifierai de "pas adapté" et donc sur une création de certificat sur quelque chose comme "ddns.ndd.tld". Non pas que cela ne marchera pas , mais cela aurait été tellement plus propre de le faire sur simplement "ndd.tld". Maintenant ce que j'en dis ...

Bonjour ,

En fait non . On avait eu une discussion la dessus le 11 décembre,  que tu as probablement oublié et c'est tout à fait normal!! je reprécise juste ici quand même ce que je t'avais dit: J'ai un site web héberger par OVH sur ndd.tld. C'est la raison pour laquelle j'avais créé ce ddns sur le sous domaine et je te précisais aussi également, qu'il serait possible que d'autres certificats soient créés à l'avenir pour d’autres sous domaines pointant vers d'autres NAS possédant d’autres IP...

J'ai relu tout notre échange que j'avais aussi déjà partiellement oublié... C'est finalement pour cette raison que je n'avais finalement pas changé ma configuration. Mais j'écris bien, lors de cette échange, avoir tenté à un moment de recréer la clé, d’où l'erreur de renouvellement automatique hier.

bien cordialement.

[oracle7]

@nebelnic

Bonjour,

Effectivement, on ne retient pas tous les échanges passés comme on ne remonte pas forcément en arrière (pas loin du moins) dans les posts. De plus, beaucoup de posts sont tellement proches qu'au final il est difficile de se rappeler ce que l'on a dit et à qui d'où parfois aussi une certaine confusion.

Dans tous les cas, n'hésites pas à faire un retour dans une semaine.

Cordialement

oracle7😉