[Résolu] Impossible de créer un certificat Let's Encrypt

[PatrickBt]

Bonjour à tous,

Je reviens vers vous pour un petit problème que j'aimerais bien comprendre.

J'ai un nom de domaine sur lequel j'avais déjà réussi à créer un certificat Let's Encrypt sur le NAS avec ce nom de domaine.

Après plusieurs problème de configuration sur le NAS, j'ai pris la décision de réinitialiser le NAS et de reprendre la confi de zéro. Pour info, je n'ai pas exporté, avant, le certificat pour le sauvegarder.

Avec cette nouvelle configuration, je tente un nouveau certificat Let's Encrypt et là je me retrouve avec le message "Echec à la connexion à Let's Encrypt. Assurez vous que le nom de domaine est valide".

Je n'en sais pas plus sur le problème. Est-ce une mauvaise configuration sur la NAS. Pourtant les ports 80 et 443 sont ouverts sur le routeur et sur le pare feu du NAS. 

Je me demande si ce n'est pas parce que j'ai déjà effectué une demande de certificat sur ce domaine que Let's Encrypt me refuse le certificat !

Avez-vous une idée ou pensez-vous que cette dernière supposition est possible ?

 

Merci par avance

Patrick

Modifié le 29 janvier 2021 par PatrickBt

[.Shad.]

Pour vérifier que le port 80 est ouvert (il faut d'ailleurs l'ouvrir pour tous, pas juste la France ou autre, les serveurs LE étant à l'étranger), tu vas sur : https://www.yougetsignal.com/tools/open-ports/
Ca éliminera déjà une variable.

LE applique en effet une limite de demande par semaine, 5 de souvenir je crois.

[PatrickBt]

Merci pour le retour.

Oui les ports 80 et 443 sont bien ouverts pour tous.

[.Shad.]

Tu peux éventuellement regarder dans /var/log/messages via SSH s'il n'y a pas plus d'information.

[PatrickBt]

SSH, je ne suis pas encore arrivé à ce niveau 😀

[TUTO] Accès SSH et ROOT via DSM 6 - Tutoriels - NAS-Forum (nas-forum.com)

 

 

Modifié le 28 janvier 2021 par PatrickBt

[Kramlech]

il y a 59 minutes, PatrickBt a dit :

Echec à la connexion à Let's Encrypt

Pour moi, cela semble être ton NAS qui n'arrive pas à joindre Let' Encrypt...

Dans "Panneau de configuration", "Réseau", "Général", est-ce que tu as défini manuellement ton serveur DNS, et si oui, quelle adresse IP as-tu mis ?

Autre vérification (qui va dans le même sens), quand tu vas dans le centre de paquet, est- que tu vois bien tous les paquets ?

(tout ceci est pour vérifier que ton NAS accède bien au réseau ...)

[PatrickBt]

il y a 3 minutes, Kramlech a dit :

Dans "Panneau de configuration", "Réseau", "Général", est-ce que tu as défini manuellement ton serveur DNS, et si oui, quelle adresse IP as-tu mis ?

Je n'ai rien mis à cet endroit, mais par contre, j'ai mis en place le DNS Serveur en suivant le tuto de Fenrir pour les parties 1 et 2. Tous mes tests nslookup  fonctionnent sur le serveur.

Dans mon routeur Free, comme DNS, je l'ai pointé sur l'adresse IP du NAS 

il y a 7 minutes, Kramlech a dit :

Autre vérification (qui va dans le même sens), quand tu vas dans le centre de paquet, est- que tu vois bien tous les paquets ?

Je vois tous les paquets.

[.Shad.]

Et tu penses avoir fait 5 demandes de certificat depuis une semaine ?

[PatrickBt]

J'ai fait une demande sur mon nom de domaine, ensuite un renouvellement pour y ajouter des sous-domaines.

Et là j'ai fais plusieurs demandes de suite, mais à chaque fois avec ce message d'erreur.

[.Shad.]

Peux-tu essayer d'obtenir un certificat pour ton nom de domaine Synology ?
Voir si le problème se manifeste aussi.

La première fois en ajoutant des sous-domaines.
La deuxième fois avec un domaine wildcard (donc juste *.xxx.synology.me dans les "alias"), vu que ça ne requiert pas d'ouverture de port, on vérifie par là-même que c'est opérationnel de ce côté-là.

[PatrickBt]

Je viens de créer un nom de domaine sur l'accès externe du genre "mondomaine.synology.me"

A la création, il m'a demandé si je voulais créer un certificat Let's Encrypt, J'ai répondu oui et le certifciat a été créé sans soucis. Sur cette partie, les ports 80 et 443 étaient fermés sur le routeur.

Ce certificat, je l'ai renouvelé dans la partie Securité=>certificat et il a bien été renouvelé. Sur cette partie, les ports 80 et 443 étaient ouverts sur le routeur, comme demandé par le NAS.

Modifié le 28 janvier 2021 par PatrickBt

[PatrickBt]

Avec le certificat Synology.me,

• si je rajoute un sous-domaine, il me met un message du genre "pas de réponse de serveur"
• si dans l'allias, je mets juste le domaine indiqué dans la 1ere case mondomaine.synology.me, çà fonctionne.

alors j'ai testé de créer un certificat pour mon nom de domaine ovh avec juste en allias le nom de domaine, j'ai toujours la même erreur "Echec à la connexion à Let's Encrypt. Assurez vous que le nom de domaine est valide".

 

Je me demande si le fait d'avoir déjà créer le certificat sur mon nom de domaine, ce n'est pas pour cela que j'ai ce message d'erreur. Il y a peut être besoin de faire une révocation du certificat. C'est dommage que je n'ai pas pensé à exporter mon certificat avant de réinitialiser le NAS

 

[.Shad.]

Pas sûr de comprendre pourquoi tu dis remettre le nom de domaine dans les alias, ce qu'il faut faire c'est quelque chose comme ça :

Tu fais quoi d'autre ?

Tu n'as pas vraiment besoin de révoquer ton certificat, laisse-le mourir de sa belle mort.

[Mic13710]

Un impératif pour que le certificat puisse être créé : il faut que les ndd soient valides.

L.E. vérifie chaque domaine au moment de la création du certificat. En reprenant l'exemple de @.Shad., les domaines domain1.ndd.tld, domain2.ndd.tld, etc... doivent correspondre à un enregistrement A ou CNAME existant dans la zone DNS. S'il y a une erreur, le certificat ne sera pas créé.

[PatrickBt]

Merci à vous pour vos retour

@Mic13710

dans les zones DNS sur mon domaine Ovh, j'ai

mondomaine.fr de type A

*.mondomaine.fr de type CNAME

Cet enregistrement CNAM le gène peut être pour la création du Certificat alors je vais modifier le "*" par plusieurs sous-domaines, genre "fichier.mondomaine.fr" ou "nas.mondomaine.fr"

J'ai déjà essayé de créer le certificat LE avec en alias seulement "mondomaine.fr" mais çà me le refuse aussi.

J'ai vu aussi sur ce post qu'il pouvait y avoir des soucis avec l'ipv6 de type AAAA. Je vais aussi tester cette piste. [Résolu]Impossible de créer un certificat Let's Encrypt - Installation, Démarrage et Configuration - NAS-Forum (nas-forum.com)

@.Shad.

Oui c'est bien comme cela que je demande le certificat. Peut-être que le CNAM sur les zones DNS OVH avec le "*" le dérange.

Pour le certificat, étant donné qu'il existe déjà chez LE avec une date de 3 mois, je me disais qu'il ne peuvent pas effectuer un doublon.

 

 

Je testerais tout cela cet après-midi chez moi et je vous tiens au courant de la situation.

NB : pour info, mon nom de domaine de type A et les sous-domaine de type CNAME sont bien en vert sur DNS Checker - DNS Propagation Check & DNS Lookup (whatsmydns.net)

J'ai aussi vérifié que l'adresse IP publique renseignée dans le type A était bien mon adresse IP.

Modifié le 29 janvier 2021 par PatrickBt

[.Shad.]

il y a 11 minutes, PatrickBt a dit :

Oui c'est bien comme cela que je demande le certificat. Peut-être que le CNAM sur les zones DNS OVH avec le "*" le dérange.

DSM n'embarque pas la possibilité de créer des certificats wildcard pour des domaines autres que celui fourni gracieusement par Synology.
Donc, pour rejoindre ce qu'a dit @Mic13710, je pense qu'il faut indépendamment créer tes sous-domaines dans ta zone DNS, tu peux quand même laisser l'enregistrement wildcard dans la zone cela dit, ça ne gêne pas, il n'y aura pas de conflit car les sous-domaines explicitement définis prennent le pas sur le wildcard.

il y a 15 minutes, PatrickBt a dit :

J'ai déjà essayé de créer le certificat LE avec en alias seulement "mondomaine.fr" mais çà me le refuse aussi.

Ca aurait dû marcher ça par contre. Pour peu que le port 80 était accessible au moment de la demande de certificat.

[PatrickBt]

 

il y a 4 minutes, .Shad. a dit :

DSM n'embarque pas la possibilité de créer des certificats wildcard pour des domaines autres que celui fourni gracieusement par Synology.
Donc, pour rejoindre ce qu'a dit @Mic13710, je pense qu'il faut indépendamment créer tes sous-domaines dans ta zone DNS, tu peux quand même laisser l'enregistrement wildcard dans la zone cela dit, ça ne gêne pas, il n'y aura pas de conflit car les sous-domaines explicitement définis prennent le pas sur le wildcard.

J'ai créer les sous-domaine en CNAME sur OVH, mais je ne pourrais faire un test que cet après-midi.

 

il y a 7 minutes, .Shad. a dit :

Ca aurait dû marcher ça par contre. Pour peu que le port 80 était accessible au moment de la demande de certificat.

Oui, j'ai même essayé plusieurs fois en étant certain que le port 80 et le 443 était bien ouverts (routeur vers le nas et pare-feu du nas). Effectivement, la logique voudrait que çà aurait dû fonctionner avec cette méthode.

[PatrickBt]

Bon, j'ai effectué mes tests ; modifications des sous-domaines CNAME sur OVH et ajout d'un type AAAA avec l'adresse ipv6 de la Freebox, mais rien ni fait, toujours la même erreur :

 

Mes paramètres zones DNS sur OVH. Je me suis permis de cacher mon nom de domaine. J'ai créé le type AAAA que j'ai de suite supprimé après mon test de création de certificat LE.

 

Vérification de la propagation du DNS sur mon nom de domaine

 

Vérification des ports ouverts :

 

Le pare feu du Nas

 

La demande du certificat LE

 

Le résultat

☹️ SI vous voyez un truc qui n'est pas correct, merci.

Modifié le 29 janvier 2021 par PatrickBt

[.Shad.]

Tout m'a l'air bon, sauf le fait que tu remettes le nom de domaine racine dans les alias, tu mets juste le domaine racine dans le premier champ, le mail dans le deuxième, rien dans le troisième.

Modifié le 29 janvier 2021 par .Shad.

[PatrickBt]

Après test de ne rien mettre dans la troisième zone, toujours le même message.

Je commence à désespérer.

[Mic13710]

Je lis freebox, je me dis qu'il peut y avoir une histoire d'IP partagée. Ce qui expliquerait l'impossibilité de renouveler votre certificat.

Est-ce que votre IP est full stack ?

[PatrickBt]

Oui, je suis bien en full stack. J'ai toute la plage de ports disponibles sur cet IP

[Mic13710]

Si les CNAME sont récents, il faut attendre leur propagation, ce qui peut demander jusqu'à 24h.

[PatrickBt]

les CNAME ont été validés ce matin, mais ils apparaissent bien en vert sur DNS Checker.

[.Shad.]

Essaie de mettre l'IPv6 du NAS et pas celle de la box. On évite de faire du NAS en IPv6. Et assure-toi que ta box autorisé le traffic IPv6 entrant pour ton NAS pour le port 80. Par défaut je pense qu'elle doit le bloquer.

Si ça ne marche pas non plus je suis à court d'idées. Éventuellement désactiver l'IPv6 sur le NAS, ça forcera à passer par l'IPv4, ça coûte pas grand chose d'essayer.