Renouvellement certificat Let's encrypt

[Jeff777]

Il y a 7 heures, oracle7 a dit :

N'oublies pas que ACME utilise de base par défaut le défit HTTP-01

Oui mais si on lit le début de l'article. J'ai bien l'impression que l'on parle des deux défis.

Let’s Encrypt prend en charge IPv6 pour accéder à l’API ACME à l’aide d’un client ACME, et pour les recherches DNS et les requêtes HTTP que nous faisons lors de la validation de votre contrôle des noms de domaine.

...........Étant donné que le client ACME configure uniquement le serveur IPv4 pour répondre au défi, la validation du domaine échouera lorsque l’IPv6 du serveur sera utilisée.

Répondre au défi sans précision duquel

Comme toi je voudrais bien que cela ne concerne pas le défi DNS-01,.....bien que :

Ma zone que j'héberge sur le NAS1 ( et qui possède un slave sur le NAS2) a un enregistrement A et un enregistrement AAAA.

A pointe sur le NAS1 de mon LAN (IPV4 de mon domaine et redirection vers le NAS1) et AAAA est l'adresse IPV6 de mon NAS2.

Dans le cas d'un renouvellement de certificat Let's encrypt par acme sur le NAS1 Let’s Encrypt préférera toujours les adresses IPv6 pour la connexion initiale. Donc dans mon cas le NAS2 et 

Étant donné que le client ACME configure uniquement le serveur IPv4 pour répondre au défi, la validation du domaine échouera lorsque l’IPv6 du serveur sera utilisée.

sauf que dans mon cas le serveur IPV4 configuré c'est le NAS1  mais  la zone slave du NAS2  reproduit les enregistrements TXT faits sur le NAS1 dans le cas d'un défi DNS-1 et la validation du domaine n'échouera pas sur ce dernier.

Ce que je cherchais à comprendre c'est pourquoi malgré ma config. le renouvellement d'un certificat avec acme fonctionne. Je voudrais savoir si ce que je raconte ici tiens la route, ou bien si, comme tu le dis, DNS-1 n'est pas concerné par ce problème.

 

[oracle7]

@Jeff777

il y a 56 minutes, Jeff777 a dit :

J'ai bien l'impression que l'on parle des deux défis.

Bah  je ne crois pas. Je m'explique :

il y a 56 minutes, Jeff777 a dit :

Let’s Encrypt prend en charge IPv6 pour accéder à l’API ACME à l’aide d’un client ACME, et pour les recherches DNS et les requêtes HTTP que nous faisons lors de la validation de votre contrôle des noms de domaine.

Ce que je comprends, c'est que LE utilise le défit http-01 qui est configuré de base sur ACME, pour faire ses recherches DNS et ses requêtes HTTP (comme toute requête http/https standard le fait sur le net pour trouver un hôte distant). Si LE utilisait le défit DNS-01, alors l'article le citerait explicitement, ce qui n'est manifestement pas le cas.

Après, je crains (ne le prends pas mal) que tu ne mélanges les choses en les rapprochant de ta configuration spécifique.

Voilà ce que je comprends : c'est ton NAS1 qui reçoit en premier la requête en IPv4 de LE (et à ce moment là LE ne sait pas et ne peux savoir que tu as un NAS2 en esclave relié en IPv6) donc LE traite avec le NAS1 en IPv4 et pour moi, ce serait pour cela que cela fonctionne chez toi pour le renouvellement. Je vois cela comme çà mais je peux me tromper, non ?

Cordialement

oracle7😉

Modifié le 28 juin 2020 par oracle7

[Popop33]

Il y a 5 heures, oracle7 a dit :

@Popop33

Ton problème semble venir de ton DDNS, peut-être mal configuré.

As-tu bien rentré ton @IP externe (celle de la box) pour ton DDNS (Panneau de configuration / Acces externe / DDNS) ? Est-ce bien toujours la même ? (à vérifier, vas voir dans l'interface d'admin de la LB, celle qui a cours)

Le port 443 est-il bien ouvert dans ton pare-feu du NAS ?

Le port 80 quant à lui doit être ouvert uniquement pendant la période de renouvellement du certificat, en dehors il doit être fermé sur le paré-feu du NAS (la règle désactivée suffit).

Cordialement

oracle7😉

 

Merci @oracle7 je vais effectivement creuser du côté du DDNS. Les ports, oui,  normalement c'est bon. Il mes reste jusqu'à mi-juillet avant expiration, je vais voir çà dans quelques jours car là je sature 😉

Merci !!!

[Popop33]

Yes... merci beaucoup @oracle7 c'était effectivement mon ddns non renseigné avec les paramètre de nom de domaine Synology !!!  Cà peut paraitre évident mais pour moi çà ne l'était pas 🙂

Du coup c'est ok et maintenant désactivation du port 80 sur la Box.

Merci pour ton aide.

[Jeff777]

Bonjour @oracle7

Je crois que chacun va rester sur sa position.🙄

Ah oui @Fenrir nous aiderait bien à faire la lumière !

Bonne journée