[TUTO] Certificat SSL & reverse proxy via Docker

[.Shad.]

@CyberFr Je vois plusieurs erreurs d'indentation, version corrigée ci-après. Tu es sûr pour tes PUID et PGID ? Pour un Syno c'est au-dessus de 1026 obligatoirement. EXTRA_DOMAINS c'est pour les domaines qui ne sont pas déjà couverts par ta validation de type DNS pour ton domaine racine. Donc si URL=cyberfr.fr, tu n'as pas besoin d'ajouter access.cyberfr.fr

services:
   swag:
      image: linuxserver/swag
      container_name: swag
      cap_add:                     # en prévision d'une utilisation de fail2ban
         - NET_ADMIN
      networks:
         macvlan_net:
            ipv4_address: 192.168.1.145
      volumes:
         - /volume1/docker/swag/config:/config
      environment:
         - PUID=100
         - PGID=101
         - TZ=Europe/Paris
         - URL=ndd.fr
         - SUBDOMAINS=www,calendar,homepage,etc
         - VALIDATION=dns
         - CERTPROVIDER=ovh         # par défaut
         - DNSPLUGIN=ovh
         - EMAIL=cyberfr@free.fr    #facultatif pour OVH
         - ONLY_SUBDOMAINS=false    # optional
         - EXTRA_DOMAINS=access.cyberfr.fr
         - STAGING=false            # optional
      restart: unless-stopped

networks:
   macvlan_net:
      external: true

Le tutoriel date, il y a eu quelques ajouts de variables d'environnement, notamment CERTPROVIDER et PROPAGATION : SWAG - LinuxServer.io

 

Modifié le 13 mai par .Shad.

[CyberFr]

il y a 51 minutes, .Shad. a dit :

Je vois plusieurs erreurs d'indentation, version corrigée ci-après.

Erreurs de débutant quoi 👎

il y a 51 minutes, .Shad. a dit :

Tu es sûr pour tes PUID et PGID ? Pour un Syno c'est au-dessus de 1026 obligatoirement.

Le PUID est en effet 1027  et le PGID 101. Ce sont les miens sur le NAS.

il y a 51 minutes, .Shad. a dit :

EXTRA_DOMAINS c'est pour les domaines qui ne sont pas déjà couverts par ta validation de type DNS pour ton domaine racine. Donc si URL=cyberfr.fr, tu n'as pas besoin d'ajouter access.cyberfr.fr

J'ai un domaine en ndd.fr et un autre en access.cyberfr.fr, le dernier étant défini lors du renouvellement du certificat comme un autre nom de l'objet au niveau de DSM, il ne fait pas partie du domaine racine.

il y a 57 minutes, .Shad. a dit :

Le tutoriel date, il y a eu quelques ajouts de variables d'environnement, notamment CERTPROVIDER et PROPAGATION

J'avais ajouté CERTPROVIDER mais je ne trouve pas de trace de PROPAGATION dans le lien que tu donnes.

services:
   swag:
      image: linuxserver/swag
      container_name: swag
      cap_add:                     # en prévision d'une utilisation de fail2ban
         - NET_ADMIN
      networks:
         macvlan_net:
            ipv4_address: 192.168.1.145
      volumes:
         - /volume1/docker/swag/config:/config
      environment:
         - PUID=1027
         - PGID=101
         - TZ=Europe/Paris
         - URL=ndd.fr
         - SUBDOMAINS=www,calendar,homepage,etc
         - VALIDATION=dns
         - CERTPROVIDER=ovh         # par défaut
         - DNSPLUGIN=ovh
         - EMAIL=cyberfr@free.fr    #facultatif pour OVH
         - ONLY_SUBDOMAINS=false    # optional
         - EXTRA_DOMAINS=access.cyberfr.fr
         - STAGING=false            # optional
      restart: unless-stopped

networks:
   macvlan_net:
      external: true

Ce fichier de config provoque l'erreur :

Je dois être chat noir !

[.Shad.]

Si tu cliques sur "View all notifications" il y aura peut-être plus d'infos.
Comment tu as créé ton réseau macvlan ? il fonctionne correctement ?

[CyberFr]

il y a 16 minutes, .Shad. a dit :

Si tu cliques sur "View all notifications" il y aura peut-être plus d'infos.

Pas vraiment. Merci @.Shad. pour ton aide.

J'ai créé le réseau en suivant les instructions du tuto mais je n'ai pas eu l'occasion de tester s'il fonctionne correctement.

 

Je n'ai pas reçu d'e-mail d'avertissement pour le script.

 

[CyberFr]

@.Shad., je suis parvenu à déployer le stack dans Portainer et une fois de plus le problème se situait entre la chaise et le clavier...

J'ai créé le réseau macvlan dans Portainer (pourquoi donc s'embêter à suivre les instructions du tuto ? 😀) et j'ai omis de préciser le driver. J'ai donc recréé le réseau en SSH avec un driver macvlan et maintenant ça marche. Le container est déployé et l'état est "Running".

Maintenant, la principale question que je me pose est comment faire cohabiter DNS Server et Swag, je vais donc avancer dans le tuto pour trouver une réponse.

[CyberFr]

Après la création du container j'ai constaté qu'une erreur apparaissait dans le log de Swag.

Citation

16/05/2025 10:05  stderr   Ask for help or search for solutions at https://community.letsencrypt.org.
                           See the logfile /config/log/letsencrypt/letsencrypt.log or re-run Certbot
                           with -v for more details.
16/05/2025 10:05  stdout   ERROR: Cert does not exist! Please see the validation error above. Make sure you entered
                           correct credentials into the /config/dns-conf/ovh.ini file.
16/05/2025 10:05  stderr   requests.exceptions.ConnectionError: HTTPSConnectionPoo

                           (host='acme-v02.api.letsencrypt.org',
                           port=443): Max retries exceeded with url: /directory (Caused by NameResolutionError
                           (\<urllib3.connection.HTTPSConnection object at 0x7f2b49fd2030>: Failed to resolve
                           'acme-v02.api.letsencrypt.org' ([Errno -3] Try again)\"))
16/05/2025 10:05  stderr   An unexpected error occurred:

J'ai donc tenté de recréer les API d'OVH mais j'ai droit à "Error: Application already exists".

Puis-je supprimer l'existant ? Ou le modifier ?

Modifié le 16 mai par CyberFr

[CyberFr]

Je suis finalement parvenu à supprimer l'API d'OVH que j'avais créée ce qui n'est pas évident car l'URL n'est pas liée au compte chez OVH. J'ai appliqué les instructions figurant dans le tuto et la génération des clés s'est bien passée.

J'ai modifié le fichier de config afin de ne pas le compliquer avec les subdomains.

#
#  ╔═══════════════╗
#  ║    S W A G    ║
#  ╚═══════════════╝
#


services:
   swag:
      image: linuxserver/swag
      container_name: swag
      networks:
         macvlan_net:
            ipv4_address: 192.168.1.145
      cap_add:
         - NET_ADMIN
      environment:
         - PUID=1027
         - PGID=101
         - TZ=Europe/Paris
         - URL=attuly.fr
         - SUBDOMAINS=wildcard
         - VALIDATION=dns
         - CERTPROVIDER=ovh
         - DNSPLUGIN=ovh
         - DHLEVEL=2048
         - EMAIL=attuly@free.fr
         - ONLY_SUBDOMAINS=false
         - STAGING=false
      volumes:
         - /volume1/docker/swag/config:/config
      labels:
         - com.centurylinklabs.watchtower.enable=true
      restart: unless-stopped

networks:
   macvlan_net:
      external: true

Je signale au passage que lorsque j'ai fait docker-compose up -d j'ai eu droit à un "permisssion denied".

Citation

cyberfr@DS220:/volume1/docker/swag$ docker-compose up -d
permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get "http://%2Fvar%2Frun%2Fdocker.sock/v1.24/containers/json?all=1&filters=%7B%22label%22%3A%7B%22com.docker.compose.config-hash%22%3Atrue%2C%22com.docker.compose.project%3Dswag%22%3Atrue%7D%7D": dial unix /var/run/docker.sock: connect: permission denied

Je me suis donc logué en root et le conteneur a été lancé.

J'ai par contre un message d'erreur dans les logs.

Citation

PGID=101
TZ=Europe/Paris
URL=ndd.fr
SUBDOMAINS=wildcard
EXTRA_DOMAINS=
ONLY_SUBDOMAINS=false
VALIDATION=dns
CERTPROVIDER=ovh
DNSPLUGIN=ovh
EMAIL=cyberfr@free.fr
STAGING=false
Created .donoteditthisfile.conf
Using Let's Encrypt as the cert provider
SUBDOMAINS entered, processing
Wildcard cert for ndd.fr will be requested
E-mail address entered: cyberfr@free.fr
dns validation via ovh plugin is selected
Generating new certificate
Saving debug log to /config/log/letsencrypt/letsencrypt.log
An unexpected error occurred:
requests.exceptions.ConnectionError: HTTPSConnectionPool(host='acme-v02.api.letsencrypt.org', port=443): Max retries exceeded with url: /directory (Caused by NameResolutionError("<urllib3.connection.HTTPSConnection object at 0x7f0ca5421df0>: Failed to resolve 'acme-v02.api.letsencrypt.org' ([Errno -3] Try again)"))
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /config/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.
ERROR: Cert does not exist! Please see the validation error above. Make sure you entered correct credentials into the /config/dns-conf/ovh.ini file.

Or j'ai supprimé puis recréé les API d'OVH pour être sûr qu'elles soient correctes. Le fichier de log à /config/log/letsencrypt/letsencrypt.log n'est pas plus explicite.

Le tuto indique dans le chapitre 8-D. Création du conteneur « Normalement à ce stade vous disposez d'un certificat fonctionnel dans /volume1/docker/swag/config/keys/letsencrypt. ». Chez moi les certificats cert.crt et cert.key se trouvent dans /volume1/docker/swag/config/keys.

 

Modifié le 19 mai par CyberFr