Bonjour,

Je suis désolé si cette question a déjà été posée, mais j'ai eu beau lire toutes les pages des différents sujets qui parlent d'acme.sh e n'ai pas trouvé ma réponse et je n'y arrive toujours pas.

Est-il possible d'utiliser acme.sh pour créer et renouveler un certificat pour un domaine xxx.synology.me ?

Si oui est-il possible de le faire via docker ?

J'ai essayé en installant et configurant le paquet DNS Serveur et en utilisant la commande suivante, en direct sur le NAS :

acme.sh --issue --server letsencrypt -d xxx.synology.me -d *.xxx.synology.me --dns dns_synology_dsm --keylength ec-384

Mais j'obtiens toujours une erreur suivante :

[Fri Dec 5 10:45:36 AM CET 2025] Using CA: https://acme-v02.api.letsencrypt.org/directory

[Fri Dec 5 10:45:36 AM CET 2025] Multi domain='DNS:xxx.synology.me,DNS:*.xxx.synology.me'

[Fri Dec 5 10:45:39 AM CET 2025] Getting webroot for domain='xxx.synology.me'

[Fri Dec 5 10:45:39 AM CET 2025] Getting webroot for domain='*.xxx.synology.me'

[Fri Dec 5 10:45:39 AM CET 2025] Adding TXT value: xxxxxxxxxx for domain: _acme-challenge.xxx.synology.me

[Fri Dec 5 10:45:39 AM CET 2025] Using API for Synology DSM - adding TXT to Synology DNS Server

[Fri Dec 5 10:45:39 AM CET 2025] The TXT record has been successfully added.

[Fri Dec 5 10:45:39 AM CET 2025] Adding TXT value: xxxxxxxxxx for domain: _acme-challenge.xxx.synology.me

[Fri Dec 5 10:45:39 AM CET 2025] Using API for Synology DSM - adding TXT to Synology DNS Server

[Fri Dec 5 10:45:40 AM CET 2025] The TXT record has been successfully added.

[Fri Dec 5 10:45:40 AM CET 2025] Let's check each DNS record now. Sleeping for 20 seconds first.

[Fri Dec 5 10:46:01 AM CET 2025] You can use '--dnssleep' to disable public dns checks.

[Fri Dec 5 10:46:01 AM CET 2025] See: https://github.com/acmesh-official/acme.sh/wiki/dnscheck

[Fri Dec 5 10:46:01 AM CET 2025] Checking xxx.synology.me for _acme-challenge.xxx.synology.me

[Fri Dec 5 10:46:02 AM CET 2025] Not valid yet, let's wait for 10 seconds then check the next one.

Merci par avance

Modifié le 13 décembre 2025le 13 déc. par yoyo-du-44

La réponse est non. Pour pouvoir renouveler un certificat, il faut en être propriétaire c'est à dire avoir accès à la zone.

Le domaine xxx.synology.me appartient à Synology et ne peut-être demandé et renouvelé qu'à partir de dsm.

Il y a 3 heures, Mic13710 a dit :

La réponse n’est pas. Pour pouvoir renouveler un certificat, il faut en être propriétaire c'est à dire avoir accès à la zone.

Le domaine xxx.synology.me appartient à Synology et ne peut-être demandé et renouvelé qu'à partir de dsm.

Ah bah voilà réponse claire, je vais pouvoir arrêter de me creuser la tête pour rien 😅

Merci beaucoup

Il y a 10 heures, yoyo-du-44 a dit :

[Fri Dec 5 10:46:01 AM CET 2025] You can use '--dnssleep' to disable public dns checks.

Essaye ce qui est suggéré ?

il y a 11 minutes, CMDC a dit :

Essaye ce qui est suggéré ?

J'avais déjà essayé, mais cela ne changeait rien.

@CMDC inutile de chercher des solutions pour une situation qui n'est pas possible avec un nom de domaine tiers.

La seule possibilité pour obtenir un certificat sur un nom de domaine avec acme.sh c'est de pouvoir créer des API qui autorisent l'accès à la zone DNS. Pour cela il faut avoir accès à la gestion du nom de domaine. Ce qui n'est possible que par le propriétaire du nom ou les personnes ayant les droits d'accès donnés par le propriétaire.
Jusqu'à preuve du contraire, le site synology.me est le propriété de synology et ils sont les seuls à avoir accès à leur zone. Donc, vouloir créer soit même un certificat sur un nom de domaine sans avoir les droits d'accès relève de mission impossible. Et si ça l'était, ce serait une sérieuse faille de sécurité.

Pour rappel, ce tuto ne s'applique que pour des ndd propriétaires et seulement pour les registrar qui sont couverts par les services dns listés dans le github.

il y a 3 minutes, Mic13710 a dit :

@CMDCinutile de chercher des solutions pour une situation qui n'est pas possible avec un nom de domaine tiers.

La seule possibilité pour obtenir un certificat sur un nom de domaine avec acme.sh c'est de pouvoir créer des API qui autorisent l'accès à la zone DNS. Pour cela il faut avoir accès à la gestion du nom de domaine. Ce qui n'est possible que par le propriétaire du nom ou les personnes ayant les droits d'accès donnés par le propriétaire.
Jusqu'à preuve du contraire, le site synology.me est la propriété de synology et ils sont les seuls à avoir accès à leur zone. Donc, vouloir créer soit même un certificat sur un nom de domaine sans avoir les droits d'accès relève de mission impossible. Et si ça l'était, ce serait une sérieuse faille de sécurité.

Pour rappel, ce tuto ne s'applique que pour des propriétaires ndd et seulement pour les registrar qui sont couverts par les services dns listés dans le github.

Super réponse complète 😉

Bonjour,

Chez moi le certificat a bien été renouvelé sans soucis

Par contre au vu de ces 2 lignes ci-dessous le renouvellement se fait le mois d'après, si je ne me trompe.

2026/01/13 01:27:00,stdout,[Tue Jan 13 00:27:00 UTC 2026] Skipping. Next renewal time is: 2026-01-13T16:48:28Z

et apres

2026/01/17 01:27:00,stdout,[Sat Jan 17 00:27:00 UTC 2026] Skipping. Next renewal time is: 2026-02-12T00:27:59Z

Au vu du tuto il n'était pas prévu que le renouvellement se fasse au 2ème mois ? Si oui que faut-il modifier dans ce cas pour un renouvellement tous les 2 mois ?

Merci d'avance

Cdlt

Le certificat est valable 90 jours mais le renouvellement est lancé automatiquement à partir du 60 ème jour.

Sans plus d'informations, je ne vois pas à quoi correspondent les deux lignes que vous donnez.

Pour la durée maximum d'un certificat, il est prévu d'en réduire la validité pour passer à 47 jours en 2029.

Voici le planning :

• Jusqu’au 15 mars 2026, la durée de vie maximale d’un certificat TLS est maintenue à 398 jours.

• À compter du 15 mars 2026, la durée de vie maximale d’un certificat TLS sera de 200 jours.

• À compter du 15 mars 2027, elle passera à 100 jours.

• Et à compter du 15 mars 2029, la durée de vie maximale d’un certificat TLS sera réduite à 47 jours.

Ce qui signifie que les validités des certificats Let's Encrypt seront réduites en 2029.

Merci Mic pour votre réponse,

Alors avant tout, je tiens a dire que tout ca n'est pas très clair pour moi et j'ai du mal à comprendre le fonctionnement des certificats. Mais bon, le tuto est très clair et m'a permis d'installer un certificat qui marche.

Ces deux lignes orange sont récupérées dans le journal de "Acme" du "container manager" et visiblement, au vue de ces 2 lignes, il prépare le renouvellement au bout d'un mois chez moi. En soit c'est pas vraiment un pb si c'est tous les mois, mais je voulais savoir si on pouvait modifier cette durée et comment.

Par contre dans votre citation, si j'ai bien compris et il faut distinguer les deux notions de "renouvellement" et de "durée de vie maximale", les dates que vous mettez n'imposent-t-elles pas de recréer un nouveau certificat au delà de cette vie maximale ?

Sur le site de let's Encrypt ici : https://letsencrypt.org/2025/12/02/from-90-to-45.html il ne parle pas ce ces notions, juste d'une durée de validité qu'on peut renouveler, si j'ai bien compris.

Est-ce que ces évolutions chez LE aura un impacte sur nos certificats créés avec le tuto ?

Merci par avance

Modifié il y a 52 minutes52 min par patapain

47 jours, ce sera probablement un renouvellement tous les mois avec Let's Encrypt. Ce n'est pas pour tout de suite et de toute manière le script acme sera adapté en conséquence. Si les lignes que vous donnez proviennent de votre dernier renouvellement, il est possible que acme ait déjà intégré le renouvellement à 30 jours.

Quant à pouvoir étendre la durée de validité, ce n'est pas possible. La durée indiquée est fonction du certificat obtenu auprès de LE. Vous ne pouvez pas la modifier. Vous pouvez raccourcir la période de renouvellement en modifiant le fichier .conf mais surtout pas l'allonger au dela de la validité du certificat.

Peu importe finalement la durée. Si vous avez suivi le tuto et fait l'installation dans les règles, le renouvellement se fait automatiquement à partir de la date enregistrée dans le .conf. C'est donc transparent côté utilisation.

Edit :

Je viens de contrôler sur mon NAS et effectivement, le renouvellement est passé à 30 jours alors que le certificat est valable 90 jours.

Mon dernier certificat est valable jusqu'au 27/03/2026, mais dans le .conf j'ai ceci :

Le_CertCreateTimeStr='2025-12-27T21:27:43Z'

Le_NextRenewTimeStr='2026-01-25T21:27:43Z'

soit un renouvellement 30 jours après la date de création.

Ce qui signifie que le script acme.sh a déjà anticipé une période de renouvellement plus courte.

Mic, vous avez été plus rapide que moi, vous m'avez répondu avant la modification de ma réponse.

En tout cas ca marche et vous avez surement raison le script doit prendre déjà en compte le chgt à 30 jours.

Si vous avez le temps regardez le lien que j'ai donné il donne 2028 pour le passage a 45 jrs et il ne parle pas de "durée de vie maximale" mais juste de "validités".

Alors je comprends pas trop ce que ça implique. Si je comprends bien une durée de vie implique qu'au delà de ce délai le certificat n'aura plus d'existence, alors que la durée de validité impose un renouvellement pour confirmer que le domaine existe toujours, est-ce bien cela ? En tout cas sur ce lien ils ne parlent pas de durée de vie maximale...

Merci

Je ne comprends pas votre intérrogation. Durée de vie d'un certificat ou durée de validité, c'est la même chose. Au delà, le certificat n'est plus valide ou si vous préférez, il est mort. Si vous voyez une différence entre les deux termes, pourquoi pas, mais au final, le certificat n'est plus reconnu par aucun navigateur.

Votre confusion vient plutôt de la date de renouvellement. Celle-ci doit bien évidemment être inférieure à la date de fin de vie du certificat.

La validité d'un certificat LE est de 90 jours. Jusqu'à présent, le renouvellement était déclenché par le script à partir du 60eme jour ce qui laissait 30 jours pour ce renouvellement. Ca n'a pas changé chez LE puisque la validité est toujours de 90 jours pour encore quelques temps mais il semble que le script acme.sh ait raccourci le renouvellement à 30 jours après la date de création. Encore une fois, ça n'a aucune incidence sur nos utilisations. Le certificat serait renouvelé tous les 10 jours que ce serait transparent.

Ensuite, que LE réduisent la durée de validité de leurs certificats de 90 à 45 jours avant la date d'échéance officielle est à leur seule discrétion. Il n'y a rien d'anormal d'anticiper si les utilisateurs ont pris leurs précautions pour faire face à ce changement. C'est fait du côté d'acme.sh, nous sommes donc parés pour des renouvellements plus fréquents.