Renouvellement certificat Let's encrypt

[seb773]

Bonjour,

 

J'utilise sur mon nas un certifcat Let's encrypt depuis des années maintenant sans aucun problème.

Le renouvellement se fait automatiquement avant son expiration de 90 jours habituellement.

Cependant cela fait maintenant quelques jours qu'il est expiré et impossible de faire le renouvellement.

Je n'ai pas changé de configuration, le transfert des ports 80 et 443 est toujours actif alors je ne vois pas trop le problème.

Y'a t'il un problème en ce moment ?

 

Merci beaucoup,

[Thierry94]

As tu un filtre actif sur les ip de Let's Encrypt dans ton firewall ? Si c'est le cas il faut le supprimer car ces adresses ip ne sont plus valides depuis le début d'année 

[seb773]

il y a 1 minute, Thierry94 a dit :

As tu un filtre actif sur les ip de Let's Encrypt dans ton firewall ? Si c'est le cas il faut le supprimer car ces adresses ip ne sont plus valides depuis le début d'année 

Non je n'ai pas de filtre pour çà.

[Thierry94]

Je n'avais pas vu que ton certificat était expiré.

Dans ce cas je crois que le renouvellement n'est plus possible et qu'il faut en recréer un nouveau

[seb773]

il y a 5 minutes, Thierry94 a dit :

Je n'avais pas vu que ton certificat était expiré.

Dans ce cas je crois que le renouvellement n'est plus possible et qu'il faut en recréer un nouveau

Je viens d'essayer de le remplacer en créant un nouveau et j'ai une ereeur "echec de connexion à Let's encrypt".

Même problème en désactivant le firewall.

[Thierry94]

Peut etre un pb ponctuel !

[oracle7]

@seb773

Bonjour,

Quelle méthode utilises-tu pour générer ton certificat ?

Cordialement

oracle7😉

[seb773]

je fais "Renouveller le certificat" via le panneau de configuration \ Sécurité depuis DSM car il ne c'est pas fait pas automatiquement.

[oracle7]

@seb773

Question peut-être saugrenue, mais au moment du renouvellement, tes ports 80 et 443 sont-ils bien ouverts sur "TOUS" pour les IP sources dans le pare-feu du NAS ?

Cordialement

oracle7😉

[seb773]

Il y a 1 heure, oracle7 a dit :

@seb773

Question peut-être saugrenue, mais au moment du renouvellement, tes ports 80 et 443 sont-ils bien ouverts sur "TOUS" pour les IP sources dans le pare-feu du NAS ?

Cordialement

oracle7😉

Oui j'ai même essayé sur une DMZ sans firewall

[seb773]

J'ai trouvé le problème.

Ce sont mes zones en IPv6 dans mon serveur DNS.

Le renouvellement passe mais uniquement en IPv4.

Modifié le 12 juin 2020 par seb773
correction

[oracle7]

@seb773

il y a 9 minutes, seb773 a dit :

J'ai trouvé le problème.

Ce sont mes zones en IPv6 dans mon serveur DNS.

Très bien et tant mieux pour toi mais tu pourrais STP expliciter un peu plus, pour que d'autres ne fasses pas la même erreur ?

Cordialement

oracle7😉

[seb773]

J'ai supprimé toutes les entrées avec une IPv6 dans le DNS. 

[CyberFr]

Bonjour,

J'ai créé un nouveau certificat Let's Encrypt afin d'ajouter www.ndd.fr et cela a marché. Avant de lancer la procédure, j'ai arrêté Web Station parce que je craignais que le renouvellement ne débouche sur le site web et non sur l'interface d'administration du NAS. En effet si je tape http://ndd.fr ou https://ndd.fr j'arrive sur le site web.

Fallait-il vraiment arrêter Web Station ?

[Popop33]

Le 12/06/2020 à 17:20, oracle7 a dit :

@seb773

Très bien et tant mieux pour toi mais tu pourrais STP expliciter un peu plus, pour que d'autres ne fasses pas la même erreur ?

Cordialement

oracle7😉

Bonjour, oui, j'aimerais bien des explications sur les manipulations à réaliser... C'est quoi et où son serveur DNS ?

[Jeff777]

Bonjour à tous,

Voilà peut-être l'explication ☺️.

Je viens de tomber par hasard sur ce site  et je me suis souvenu de ce post. 

[oracle7]

@Jeff777

Bonjour,

Merci pour le rappel de ce lien.

D'où tout l’intérêt de passer par un défit "DNS-01" pour éviter ce genre de désagrément avec le défi "HTTP-01" et un IPv6 mal ou pas configuré.

Cordialement

oracle7😉

 

[Jeff777]

il y a 10 minutes, oracle7 a dit :

D'où tout l’intérêt de passer par un défit "DNS-01" pour éviter ce genre de désagrément avec le défi "HTTP-01"

Euh...je n'ai pas compris que ce problème était uniquement dans le cas d'un défi "HTTP-01". Si c'est vraiment le cas ça m'arrangerai en effet.

[oracle7]

@Jeff777

Bah refait une lecture du lien que tu as donné plus haut ... C'est ce que j'en ai compris et en ai déduit via ma réponse précédente. J'ai pas bon ? Tu me mets le doute là ...

Cordialement

oracle7😉

[Jeff777]

Si je te pose la question c'est que j'ai relu plusieurs fois l'article et que je ne vois nulle  part que c'est uniquement dans le cas d'un défi HTTPS-01.

L'article donne bien des précisions dans le cas de ce défi mais ne limite pas le pb à celui-ci.

Du moins avec mon maigre niveau de compréhension 🤣

[oracle7]

@Jeff777

N'oublies pas que ACME utilise de base par défaut le défit HTTP-01. Passer par le défit DNS-01 est une action volontaire réalisée par l'ajout de la directive correspondante dans la commande acme.sh. Du coup, j'en déduit que le problème évoqué dans l'article est bien uniquement dans le cas http-01. C'est juste mon interprétation ... Non ? Cela dit je peux me tromper aussi 😪

Cordialement

oracle7😉

[Popop33]

Bonjour aux participants,

Là je suis un peu perdu, d'autant plus que l'IPV6 n'est ni actif sur mon Syno, ni actif sur ma Box... J'ai forwardé sur ma Box Orange (4) j'ai même testé sans pare-feu (Syno et Box)

Par contre je ne comprends pas l'avertissement du Syno :

Assurez vous que : - DNS a été correctement configuré

Est-ce que quelqu'un peut me donner les paramètres côté Box et Syno (règles pare-feu et foward sur Box Orange 4)

----

J'ai aussi tenté avec Putty en SSH, et j'ai ces retours dans le log :

2020-06-28T16:05:49+02:00 NAS-SYN-ROGER synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_renew[3296]: certificate.cpp:965 syno-letsencrypt failed. 200 [DNS problem: NXDOMAIN looking up A for lrogersyn.synology.me - check that a DNS record exists for this domain]
2020-06-28T16:16:21+02:00 NAS-SYN-ROGER syno-letsencrypt: syno-letsencrypt.cpp:329 File not exist. [Permission denied][/usr/syno/etc/certificate/_archive/INFO]
 

J'ai un peu de mal à décrypter tout çà malgré mes recherches...

Merci beaucoup par avance pour ceux qui veulent bien m'aider ;)

 

[oracle7]

@Popop33

Bonjour,

1. Il est de bon ton pour les nouveaux membres de passer par la rubrique "Présentation" afin d'y faire la leur. Certains y sont sensibles ici et de cette façon, il sera plus facile d'adapter les réponses en fonction du niveau de connaissances et de la configuration utilisée. Rassures-toi il n'est pas trop tard pour bien faire ...
2. Commence aussi, si ce n'est pas encore fait par lire et appliquer le TUTO de @Fenrir sur la sécurisation des accès au NAS ici. Cela devrait déjà répondre à une partie de ta demande précédente. Après, reviens poser tes questions ...

Cordialement

oracle7😉

[Popop33]

Oui, pardon, je vais me présenter effectivement.

Le tuto de @Fennir , je l'ai lu et appliqué à la lettre comme celui pour un accès VPN (par OpenVPN) dans mon cas. Je découvre beaucoup de choses d'un coup et c'est  aussi intéressant que... compliqué pour un novice 😉

Voilà, présentation faite !

Non, je ne vois pas pour le moment quel paramètre bloque sur ma config... J'ai pourtant avant de poster tout repassé en revue, j'ai essayé plusieurs changements. Ily a forcément quelque chose que je loupe mais quoi ?

[oracle7]

@Popop33

il y a une heure, Popop33 a dit :

DNS problem: NXDOMAIN looking up A for lrogersyn.synology.me - check that a DNS record exists for this domain]

Ton problème semble venir de ton DDNS, peut-être mal configuré.

As-tu bien rentré ton @IP externe (celle de la box) pour ton DDNS (Panneau de configuration / Acces externe / DDNS) ? Est-ce bien toujours la même ? (à vérifier, vas voir dans l'interface d'admin de la LB, celle qui a cours)

Le port 443 est-il bien ouvert dans ton pare-feu du NAS ?

Le port 80 quant à lui doit être ouvert uniquement pendant la période de renouvellement du certificat, en dehors il doit être fermé sur le paré-feu du NAS (la règle désactivée suffit).

Cordialement

oracle7😉

 

Modifié le 28 juin 2020 par oracle7