[TUTO] Certificat Let's Encrypt avec acme.sh & api Ovh en Docker (DSM6/7) (Update 07/09/22)

[Mic13710]

Il y a 19 heures, Mic13710 a dit :

Je verrai demain si le deuxième certificat se renouvèle avec son fichier de conf modifié.

Comme il fallait s'y attendre, le renouvellement du deuxième certificat ne s'est pas fait.

Mais je pense avoir compris pourquoi j'avais deux lancements du script. En fait, j'avais créé deux conteneurs, un par domaine, et les deux utilisaient le même account.conf. Il en résultait deux lancements automatiques simultanés et probablement que cela créait des télescopages entre les deux au niveau des acme_challenge car les logs rapportaient souvent des erreurs de lecture.

Je viens de supprimer un des conteneurs et restauré le fichier de conf du domaine 2. J'ai aussi édité le fichier de conf du domaine 1 pour y rajouter les lignes qui avaient été supprimées hier après le renouvellement.

Je verrai demain si le renouvellement du domaine 2 se fait.

[Einsteinium]

Ha oui belle boulette ^^

Pourquoi pas avoir fait 2 dossiers acme ? moi je pensais que tu avais fait sa quand tu parlais d'avoir fait 2 instances 🙂

[Einsteinium]

Voilà suite au sollicitation et aux échecs, j'ai testé toutes les nouvelles commande, j'ai mis une touche finale au tutoriel, surtout concernant le déploiement automatique, l'ayant mis en place 🙂

Au passage on place directement les variables dans notre account.conf à la racine, elle sont ensuite dupliqué vers le conf du domaine automatiquement 🙂

[Einsteinium]

Il y a 19 heures, kerod a dit :

Par contre, j'ai un message comme quoi le certificat a été remplacé alors que la date de fin de validité n'a pas bougé. Est-ce normal ?

Oui c'est logique, il a juste réimporter le même certificat qui été déjà créer, tu le verras au prochain update le changement.

[kerod]

@Einsteinium

Ok merci pour la réponse.

Juste une petite demande, sachant que je ne connais pas le fonctionnement : penses-tu qu'il soit possible d'enrichir la log afin de préciser la date de fin de validité et informer l'utilisateur que le certificat n'a pas été écrasé (toujours valide) ?

[Einsteinium]

Dans le log chaque jour il regarde pour le renouvellement, il te dit quand est le prochain update dans le log, 30 jours avant expiration : Skip, Next renewal time is:

Maintenant pour ma part, je vais désactivé ma notification iffft de renouvellement, vue que j’aurais une notification de connection de mon compte acme...

[Mic13710]

Il y a 22 heures, Mic13710 a dit :

Je verrai demain si le renouvellement du domaine 2 se fait.

Renouvellement de mon deuxième domaine effectué sans problème cette nuit. Rien de suspect dans les logs et mes fichiers de conf sont tous complets.

Pour résumer, je suis toujours sur la base de la première version du tuto mais je n'ai qu'une seule instance pour mes deux domaines. C'est possible uniquement si les deux registar sont différents pour des questions d'API. Pour ma part je suis chez OVH et Gandi. Je pense aussi qu'il ne faut pas avoir une simultanéité des renouvellements sans quoi le script acme.sh risque de buguer.

Juste un petit problème détecté dans DSM : le domaine par défaut qui était le domaine 1 a basculé sur le domaine 2. C'est un peu ennuyeux mais vite corrigé. Je vais suivre ça lors du prochain renouvellement dans 2 mois.

[Skylnex]

Hello, j'ai mis à jour mon installation suite à la mise à jour du tuto.

Je souhaite mettre en place le déploiement automatique des certificats.

J'ai crée pour cela un nouveau compte, appartenant au groupe admin ou j'ai enlevé tous les accès (app/dossiers).

Je coince à ce niveau la, j'ai un message d'erreur comme quoi le script n'arrive pas à s’authentifier :

[Thu Dec 31 16:20:45 UTC 2020] url='http://172.17.0.1:5000/webapi/query.cgi?api=SYNO.API.Info&version=1&method=query&query=SYNO.API.Auth'
[Thu Dec 31 16:20:45 UTC 2020] timeout=
[Thu Dec 31 16:20:46 UTC 2020] _CURL='curl --silent --dump-header /acme.sh/http.header  -L  -g '
[Thu Dec 31 16:20:46 UTC 2020] ret='0'
[Thu Dec 31 16:20:46 UTC 2020] Logging into 172.17.0.1:5000
[Thu Dec 31 16:20:46 UTC 2020] POST
[Thu Dec 31 16:20:46 UTC 2020] _post_url='http://172.17.0.1:5000/webapi/auth.cgi?enable_syno_token=yes'
[Thu Dec 31 16:20:46 UTC 2020] _CURL='curl --silent --dump-header /acme.sh/http.header  -L  -g '
[Thu Dec 31 16:20:51 UTC 2020] _ret='0'
[Thu Dec 31 16:20:51 UTC 2020] token
[Thu Dec 31 16:20:51 UTC 2020] Unable to authenticate to 172.17.0.1:5000 using http.
[Thu Dec 31 16:20:51 UTC 2020] Check your username and password.

Le soucis c'est que j'ai activé la double authentification sur mon autre compte admin, et de ce que je vois ce n'est pas possible de la désactivé uniquement pour un compte. Je pense que c'est ça qui coince, vu qu'elle n'est pas configurée. Est-ce que je dois la désactivé totalement ?

Autre question pour être sur que j'ai bien compris, quand tu dis "tâche en exécution unique" @Einsteinium, cela veut dire que c'est une tache exécuté une seule fois manuellement (elle ne sera pas planifiée pour être exécutée tous les x temps)

Merci de votre aide

[Mic13710]

il y a 48 minutes, Skylnex a dit :

et de ce que je vois ce n'est pas possible de la désactivé uniquement pour un compte.

Alors vous avez mal compris. On peut tout à fait supprimer la double authentification pour un compte. Une fois connecté sur le compte, aller dans le profil en haut à droite, puis Perso pour désactiver la double authentification.

Tâche en exécution unique veut bien dire ce que ça veut dire : une seule fois.

[Mic13710]

Décochez la vérification en 2 étapes dans le menu utilisateur, onglet Avancé. Ca ne devrait pas supprimer les doubles authentifications en place mais vous laisse le choix de l'appliquer ou pas pour tel ou tel compte.

Mais vous pouvez tout à fait garder la double authentification en utilisant un SYNO_DID dans vos paramètres. Voir ceci pour la mise en place :

https://github.com/acmesh-official/acme.sh/wiki/deployhooks#20-deploy-the-cert-into-synology-dsm

[Skylnex]

Effectivement en désactivant cette option dans les paramètres j'ai pu ensuite désactivé uniquement sur le compte.

Tout fonctionne correctement à présent.

Est-ce que vous pensez que c'est possible de déployer automatiquement le certificat en même temps sur mon RT2600AC ?

[Mic13710]

Je n'en sais rien, je n'ai pas de RT. Perso je ne fais pas de déploiement. Chaque NAS gère son propre certificat.

[Einsteinium]

@Mic13710 A bien répondu, la double authentification de toute façon fini toujours par poser problème, avec tous les droits bloqués le compte admin ne pourra faire que de l’api, mais chaque appel fait une connection au dsm.

Perso je reçois une alerte par rapport au connection via les notifications du centre de journaux via les mots clefs : signed in, logged in, failed

Concernant le RT, jamais testé, mais je dirais qu’il suffit de reproduire le acme une seconde fois (on peut faire plusieurs demandes sans soucis par semaine, 5 de mémoire par domaine).

@Mic13710 J’ai regarder les logs dsm et effectivement il marque qu’il passe le certificat en défaut (bon j’en est qu’un mais quand même...)

[Einsteinium]

Update du script de déploiement 😉😉

[unPixel]

Merci 😉

 

[Einsteinium]

Indépendamment du dock, l'update de acme est complet et pas incrémentiel, l'update ce fessant en début de cron, cela écrase le script de déploiement dsm 7 avant renouvellement si update il y a...

Update du tutoriel en conséquence, ceux en dsm 7 utiliseront la branche dev du dock en attendant le déploiement dans la version latest (Je mettrais à jour quand cela sera le cas le tutoriel)

Le tutoriel est désormais finalisé, merci au testeur et remonté que vous aurez faites pour ce dernier 🙂

[drrakendu78]

@Einsteinium Merci pour le tuto je suis à la fin quand on créa un compte on modifie l'adresse host name ou non ? Si oui par l'ip local ou externe

édit 1 je suis bien en HTTPS via mon domaine  mais aucun compte ne s'est créer est ce que c'est normal ?

Modifié le 10 janvier 2021 par drrakendu78

[Einsteinium]

Tu parles du déploiement automatique ? Si oui on copie tel quel, le compte admin c’est à toi de le faire 🙂

 

[drrakendu78]

@Einsteinium a d'accord désolé pour mes questions de néophyte et donc si je comprends bien je fais la même manipulation pour des sous domaine ?

[Einsteinium]

Non si tu as suivis le tutoriel c’est tout bon, tu auras fait pour domain.tld et *.domain.tld (un wildcard ou si tu préfères un générique pour tout le domaine et ses sous domaine), après tu utilises le portail de connection pour les applications synology et le reverse proxy pour les autres afin de gérer tes sous domain (il y a un tutoriel sur le reverse proxy dans la section pour l’exemple.

[drrakendu78]

@Einsteinium Merci encore une fois pour ta patience donc si je comprends bien je vais chez OVH je fais des sous domaine  sans modifier le A  et cname ? Puis dans dsm je fais des reverse proxy sans mème faire de certificat pour ces sous domaine ça va marché ? car dans le tuto du reverse proxy il fais des demandes de certificat pour chaque sous domaine

 

édit 1 j'ai réussi à faire marcher des sous demain mais aucun n'a de certificat et je ne sais pas pourquoi

Modifié le 11 janvier 2021 par drrakendu78

[Einsteinium]

Ce tutoriel vient en complémentaire en partant de la base que tu as déjà pris quelques préparations...

Deux cas, tu gardes la racine chez ovh et tu fais pointe les sous domaine vers ton nas ou alors la totalité, dans ce second cas :

Chez ovh dans les dns :

domain.tld A tonip

*.domain.tld CNAME domain.tld

Et Côté nas installe web station pour faire ta racine.

Tu accédez bien en https ?

[drrakendu78]

@Einsteinium merci je vais voir  ça ce soir après le boulot 😊

[Einsteinium]

Plus besoin de la dev pour dsm 7 désormais, édition du tutoriel dans ce sens

[bruno78]

Merci pour l'info @Einsteinium. Je vais mettre en place dans la journée.