Aller au contenu

[TUTO] Certificat Let's Encrypt avec acme.sh & api Ovh en Docker (DSM6/7) (Update 07/09/22)

Einsteinium

Par Einsteinium
dans Tutoriels

 Partager

Messages recommandés

Recommandé

Posté par Mic13710,

Ce n'est pas la raison. Le déploiement se fait directement après le renouvellement du certificat. Par la suite, le script ne fait que vérifier la date de validité du certificat. S'il c'est moins de 2 mois, il termine la tâche. Il ne vérifie pas si le certificat a été déployé ou pas. J'ai moi aussi été confronté à l'histoire des SAVED sur le nom du certificat, ce qui a bloqué son déploiement et par voie de conséquence son affichage dans DSM. En supprimant le SAVED_ et en remettant

dans certains cas le nom du certificat n'est pas pris correctement en compte par le script

Recommandé par Einsteinium

0

Points de réputation

Aller sur ce message
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

Quelques fois mais très rarement. Dans ce cas, je relance un déploiement. Si c'est systématique, c'est peut être que les certificats sont renouvelés ensemble. Il faudrait revoir la chronologie des mises à jour en décalant leurs renouvellements de quelques jours. Rien de garanti.

0
  • Réponses 807
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

Einsteinium
Einsteinium

Bonjour à tous, Nous allons voir dans ce tutoriel comment mettre en place rapidement un certificat Let's Encrypt avec la méthode acme.sh en utilisant l'api Ovh en Docker, si vous êtes rapide, en

Karnak.Tharn
Karnak.Tharn

Haaa j'avais pas pensé aux caractères spéciaux avec mon générateur de password, je vais aller check ça.   Edit : J'ai changé mon password par un plus court et avec moins de caractères s

bruno78
bruno78

Quelques explications ici : https://github.com/acmesh-official/acme.sh/wiki/Change-default-CA-to-ZeroSSL Où il est notamment précisé : Starting from August-1st 2021, acme.sh will release

Images postées

msappdem Apprentice

msappdem

Posté(e)
Posté(e)

dans mon cas c’est à chaque fois. je fais une pause entre deux par exemple :

 

docker exec acme sh -c "acme.sh --deploy -d 'domaine.ovh' --deploy-hook synology_dsm"
sleep 2
docker exec acme sh -c "acme.sh --deploy -d 'home-assistant.domaine.ovh' --deploy-hook synology_dsm"
sleep 2

 

tu entends quoi par je relance un déploiement ?

0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

Exactement cela : relancer le deploy-hook.

Ceci étant dit, je ne comprends pas très bien votre approche. Est-ce que domaine.ovh et home-assistant.domaine.ovh sont issus du même domaine de premier niveau domaine.ovh ?

Si c'est le cas, il me semble normal que le déploiement soit un peu compliqué.

Pourquoi faire deux certificats séparés alors que tout peut être regroupé en un seul ? Si vous demandez un wildcard *.domaine.ovh avec votre domaine.ovh, ou même home-assistant.domaine.ovh avec domaine.ovh si vous ne voulez couvrir que ce dernier, à ce moment là vous n'avez qu'un seul certificat pour l'ensemble du ndd domaine.ovh.

Attention, le wildcard couvre le deuxième niveau mais pas le troisième. Si vous avez par exemple toto.home-assistant.domaine.ovh, le wildcard ne le couvrira pas. Dans ce cas, il faut l'inclure dans la demande de certificat en indiquant domain.ovh, *.domaine.ovh, home-assistant.domaine.ovh, *.home-assistant.domaine.ovh.

En clair, ne pas multiplier les certificats mais n'en faire qu'un seul qui couvre le domaine principal et ses différents niveaux.

 

0
msappdem Apprentice

msappdem

Posté(e)
Posté(e)

je me rappel plus pourquoi j’étais partie comme ça (ça fait des années) et du coup j'ai de plus en plus de certificat (un seul niveau). donc il faudrait que je re génère le certificat, je vais tester ça pour n'en avoir plus qu'un ça résoudrait mes problèmes.

ha si je me rappel pourquoi j'avais plusieurs certificats! c’était pour ne pas voir la liste des url dans le certificat.

0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)
il y a 42 minutes, msappdem a dit :

c’était pour ne pas voir la liste des url dans le certificat.

Dans quel but ? Parce que si c'est pour que des tiers ne voient pas les ndd dérivés du ndd principal, ce n'est pas ça qui sécurise mieux votre site. Il n'est pas non plus nécessaire de passer par les ndd couverts par le certificat pour trouver cela. Par contre, vous vous embêtez copieusement la vie si vous créez un certificat par ndd. A vous suivre, il me faudrait des dizaines de certificats pour couvrir tous mes domaines. Ce n'est pas sérieux.

Et comme je l'ai dit, vous n'avez pas besoin de donner les noms de chaque ndd créé. Un wildcard couvre l'ensemble et ne donne aucune information sur les noms utilisés en destination.

Reprenez vos certificats (ou votre certificat si vous n'avez qu'un nom de domaine), utilisez le wildcard et ça sera tout de suite beaucoup plus simple.

0
msappdem Apprentice

msappdem

Posté(e)
Posté(e)
Citation

Dans quel but ? Parce que si c'est pour que des tiers ne voient pas les ndd dérivés du ndd principal, ce n'est pas ça qui sécurise mieux votre site.

c'était l'idée....

 

donc uniquement celui la :

docker exec acme sh -c "acme.sh --issue --keylength 4096 -d 'domaine.ovh' -d '*.domaine.ovh' --dns dns_ovh --dnssleep 300"

 

mais je vais avoir des erreurs de prise en compte dans les navigateurs ?

ok je suis une quiche...

j'ai fait :

docker exec acme sh -c "acme.sh --issue --keylength 4096 -d '*.domaine.ovh' --dns dns_ovh --dnssleep 300"

docker exec acme sh -c "acme.sh --deploy -d '*.domaine.ovh' --deploy-hook synology_dsm"

et ça semble fonctionner.

 

0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

Franchement, je ne comprends pas tout. 

docker exec acme sh -c "acme.sh --issue --keylength 4096 -d 'domaine.ovh' -d '*.domaine.ovh' --dns dns_ovh convenait très bien. Il couvre le premier niveau et tous les deuxième niveaux.

Dans le suivant vous ne couvrez que le deuxième niveau, le ndd principal n'étant pas couvert.

Pour rappel, cette commande est ni plus ni moins celle du tuto.

0
msappdem Apprentice

msappdem

Posté(e)
Posté(e)

c'est moi je m'embrouille tout seul... je vais me poser et refaire propre mais avec un seul certificat je vais moins galérer.

merci pour ta dispo.

0

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.