pour le pare feu, tu aurais pas bloqué les USA par hasard ? Sinon, c'est que tu as oublié le pramètre --dns dns_ovh lors dans demande de certificat, dans ce cas le comportement par défaut d'acme est une vérification HTTP-01, la même que celle de DSM et qui nécessite donc l'ouverture des ports 80 et 443 (si c'est ça ils sont donc aussi ouverts sur ton routeur !!)...
sinon saute l'étape 3A, j'ai pas trop compris pourquoi le tuto réclame ça. @Einsteinium te rappelles-tu ce qui t'avais amené à passer par un import manuel ? ca m'intéresse 😛
edit: j'ai relu le début du thread, c'est pour forcer tous les services internes du dsm a s'attacher du cert ? moi comme j'utilise un SAVED_SYNO_Certificate='' vide, ca remplace le cert par défaut, qui est seul et utilisé pour tout chez moi, pas besoin d'import donc 😄
Donc @axb, dans ton account.conf tu dois avoir ceci
SAVED_SYNO_Scheme='http'
SAVED_SYNO_Hostname='172.17.0.1'
SAVED_SYNO_Port='ton port'
SAVED_SYNO_Username='username'
SAVED_SYNO_Password='username_password'
SAVED_SYNO_Certificate=''
http et non https (inutile de faire du https car tu reste sur la même machine) : à priori déjà OK d'apres ton log
l'ip doit rester a 172.17.0.1 (et non pas l'ip locale de ton nas comme dans ton log)
le port lui doit bien être le port HTTP de ton dsm (64.... d'après ton log)
le SAVED_SYNO_DID pas la peine de le mettre, ca sert a rien si t'as pas la double auth (qui est de façon inutile si t'as bien restreint les droits de ton SAVED_SYNO_Username au strict minimum et bien activé fail2ban (protection de compte compte dans les options dsm).
SAVED_SYNO_Certificate='' doit donc rester vide pour te dispenser du step 3A, ca remplacera le cert par défaut directement
il faut aussi que tu edites le fichier /docker/Acme/domain.tld/domain.tld.conf et que tu supprimes (on remplace, au choix) les lignes SAVED_SYNO_xxx pour que acme prenne en compte tes modifs du account.conf
enfin tu lance en ssh root ou par tache exec unique root :
docker exec Acme --deploy -d domain.tld --deploy-hook synology_dsm
si tout est OK tu dois voir
[Fri Jul 23 20:22:38 UTC 2021] Logging into 172.17.0.1:tonport
[Fri Jul 23 20:22:38 UTC 2021] Getting certificates in Synology DSM
[Fri Jul 23 20:22:38 UTC 2021] Generate form POST request
[Fri Jul 23 20:22:38 UTC 2021] Upload certificate to the Synology DSM
[Fri Jul 23 20:22:42 UTC 2021] http services were restarted
[Fri Jul 23 20:22:42 UTC 2021] Success
le "http services were restarted" est important, c'est ce qui confirme que les serveurs web du dsm ont bien pris en compte le nouveau certificat (on aura un "not restarted" si on ne fait que rajouter / remplacer un certificat non-défaut).
En dernière vérif: refresh la page web dsm (relance ton navigateur au besoin pour forcer le refresh) et dans le cadenas à coté de l'url, regardes les propriétés du cert, tu devrais bien avoir ton wildcard dans details / subject alternative name
vala 🙂