seb773 Posté(e) le 29 juin 2016 Posté(e) le 29 juin 2016 (modifié) Bonsoir, J'ai le message suivant quand j’essaie de changer mon certificat Let's encrypt: Citation Echec de l'operation. Reconnectez vous à DSM et réessayez Avez-vous une idée de la cause ? Le bouton "supprimer" est grisé, donc impossible de supprimer le certificat actuel. J'ai simplement besoin d'ajouter un nouveau "autre nom d'objet" (ex:test.domaine.com) mais je vois pas comment faire à part refaire un certificat mais malheureusement ça ne marche pas. Merci Modifié le 29 juin 2016 par seb773 citation 0 Citer
seb773 Posté(e) le 30 juin 2016 Auteur Posté(e) le 30 juin 2016 J'ai réussi à supprimer mon certificat "Let's encrypt" en créant un nouveau certificat auto-signé. J'ai donc voulu refaire un nouveau Let's encrypt et j'ai toujours cette erreur. Je suis donc maintenant en self-signed, ce qui ne m’arrange pas trop... 0 Citer
seb773 Posté(e) le 1 juillet 2016 Auteur Posté(e) le 1 juillet 2016 Pour info j'ai trouvé la solution. Problème avec le reverse proxy..., j'ai du le désactiver le temps de la création du certficat. 0 Citer
gaetan.cambier Posté(e) le 1 juillet 2016 Posté(e) le 1 juillet 2016 il y a 4 minutes, seb773 a dit : Pour info j'ai trouvé la solution. Problème avec le reverse proxy..., j'ai du le désactiver le temps de la création du certficat. ca peux passer avec le reverse proxy, mais faut que les domaine et sous domaine que tu demande dans le certificat soit effectivement accessible via le port 80 via le reverse proxy Let's encrypt est assez contraignant pour ca, sans compter que si on demande un certificat ssl, c parfois pour ne plus utiliser le port http(80) 0 Citer
Valmalenco Posté(e) le 8 août 2016 Posté(e) le 8 août 2016 (modifié) Bonjour, J'espère que mon message ne sera pas considéré comme du déterrage de topic. Je rencontre le même problème, à savoir que j'ai le même message d'erreur. Sur ma box, j'ai bien ouvert le port 80 en TCP. Le reverse proxy c'est quoi exactement ? Je n'ai pas d'IP fixe utilise DynHost de OVH. Merci à vous, Edit : C'est fou, j'ai 2 SYNOLOGY, configurer de la même façon mais à distance. Je viens d'essayer sur le second, ça fonctionne très bien... Je n'arrive donc pas à comprendre, pourquoi sur le principal, ça ne fonctionne pas. Modifié le 8 août 2016 par Valmalenco 0 Citer
Fenrir Posté(e) le 8 août 2016 Posté(e) le 8 août 2016 il y a une heure, Valmalenco a dit : Sur ma box, j'ai bien ouvert le port 80 en TCP. et sur le firewall du syno ? il y a une heure, Valmalenco a dit : Le reverse proxy c'est quoi exactement ? si tu ne sais pas ce que c'est, c'est que tu n'en as pas, donc ce n'est pas ça ton problème 0 Citer
Valmalenco Posté(e) le 8 août 2016 Posté(e) le 8 août 2016 il y a 37 minutes, Fenrir a dit : si tu ne sais pas ce que c'est, c'est que tu n'en as pas, donc ce n'est pas ça ton problème Effectivement, j'ai vérifier dans les paramètres et il n'était pas activé. il y a 38 minutes, Fenrir a dit : et sur le firewall du syno ? J'ai comparer les deux, et le 80 n'était pas ouvert sur celui qui pose problème. Je viens de l'ouvrir et de tester, mais ça ne semble pas fonctionner. Sur le NAS qui fonctionne avec le certificat, j'avais bien une erreur m'indiquant un soucis avec le port 80. Ici, j'ai simplement le message : "Echec de l'opération, déconnectez-vous du DSM et réessayez. J'ai vérifié, j'ai bien la dernière version du DSM, mise à part que la grande différence, c'est que sur cette box je suis ouvert en DMZ. 0 Citer
Valmalenco Posté(e) le 8 août 2016 Posté(e) le 8 août 2016 (modifié) J'y avais juste pensé, je viens de le faire et la réponse est malheureusement négative.` Edit: J'essaierai bien d'importer les configurations du NAS où le certificat fonctionne sur l'autre, et de tester avec des paramètres, je verrai au moins si c'est la configuration qui pose le problème ? Modifié le 8 août 2016 par Valmalenco 0 Citer
Fenrir Posté(e) le 8 août 2016 Posté(e) le 8 août 2016 Regarde dans les logs (dans l'appli de log et en ssh dans le dossier /var/log) 0 Citer
Valmalenco Posté(e) le 8 août 2016 Posté(e) le 8 août 2016 Je viens de regarder, je n'ai rien qui s'affiche en erreur, ou anormal. Parcoure, je viens de relancer la demande de certificat, et à présent j'ai le message qui m'indique qu'il y'a une erreur de port 80. On est bien d'accord, qu'une fois le certificat créé je dois bien laisser le port 80 ouvert sur le routeur en TCP ? 0 Citer
Fenrir Posté(e) le 8 août 2016 Posté(e) le 8 août 2016 il y a 5 minutes, Valmalenco a dit : Je viens de regarder, je n'ai rien qui s'affiche en erreur, ou anormal. Tu as regardé en ssh dans /var/log il y a 4 minutes, Valmalenco a dit : On est bien d'accord, qu'une fois le certificat créé je dois bien laisser le port 80 ouvert sur le routeur en TCP ? Il faut ouvrir le port pour créer le certificat et le renouveler, pour la suite tu fais comme tu veux. nb : ton nas doit aussi avoir accès à Internet 0 Citer
Valmalenco Posté(e) le 8 août 2016 Posté(e) le 8 août 2016 J'étais en déplacement cette après midi quand j'ai fais les tests. Je viens de me reconnecter à la box, qui me sert de routeur actuellement.. J'ai redémarrer cette dernière, recommencer un certificat et ça fonctionne... Au simple redémarrage de la box SFR.. Donc maintenant que c'est créé, je peux retirer ce paramètre de la box ? Merci beaucoup pour ton intervention ! Tu as toujours la solution ;) 0 Citer
StéphanH Posté(e) le 21 octobre 2016 Posté(e) le 21 octobre 2016 J'ouvre de nouveau ce sujet, en espérant ne pas poser une question redondante ... Ouvrir le port 80 sur mon NAS, pourquoi pas, mais cela me gêne de l'ouvrir à la terre entière ... (j'ai déjà eu de mauvaises surprises, résolues en limitant les accès à la France) Bref, savez vous de quel(s) pays viennent les requêtes de Let's Encrypt ? 0 Citer
Fenrir Posté(e) le 21 octobre 2016 Posté(e) le 21 octobre 2016 Je crois qu'ils passent par un CDN et qu'ils utilisent plusieurs "cloud", donc ça peut venir de n'importe où. Dans ton cas, tu as juste à faire en sorte que rien d'autre n'écoute sur le port 80 le temps de la manip. Si tu tiens vraiment à la faire de manière sécurisée, tu peux utiliser une validation par DNS, mais ce n'est pas géré par le syno. 0 Citer
StéphanH Posté(e) le 21 octobre 2016 Posté(e) le 21 octobre 2016 Merci pour ta réponse. j'ai cru comprendre que ce port devait rester ouvert, ne serait-ce que lors des renouvellement automatiques du certificat. Si c'est juste le temps de la récupération du premier certificat, cela ne me dérange pas ! 0 Citer
Fenrir Posté(e) le 21 octobre 2016 Posté(e) le 21 octobre 2016 Il y a 2 heures, StéphanH a dit : j'ai cru comprendre que ce port devait rester ouvert, ne serait-ce que lors des renouvellement automatiques du certificat. Il faut le ré-ouvrir au moment du renouvellement. 0 Citer
StéphanH Posté(e) le 21 octobre 2016 Posté(e) le 21 octobre 2016 Ok merci ;-) Envoyé de mon iPhone en utilisant Tapatalk 0 Citer
oli.oli Posté(e) le 23 avril 2017 Posté(e) le 23 avril 2017 Hello, Juste pour rebondir sur le sujet, je n'ai pas trouvé comment renouveler mon certificat Let's Encrypt depuis l'IHM... Si quelqu'un a l'information... Du coup, je suis passer en ssh avec la commande suivante : /usr/syno/sbin/syno-letsencrypt renew-all Et là, aucun problème (avec le port 80 ouvert bien sûr...). Si ça peut servir à d'autres... ;) 0 Citer
Mic13710 Posté(e) le 23 avril 2017 Posté(e) le 23 avril 2017 Normalement, le renouvellement est automatique si le port 80 est ouvert. C'est du moins ce que dit l'aide du DSM. Les certificats émis par Let's Encrypt sont valides 90 jours. DSM renouvelle automatiquement les certificats avant qu'ils n'expirent si la validation du domaine s'est effectuée avec succès. Vérifiez que le port 80 de votre Synology NAS et du routeur est ouvert pour le renouvellement des certificats. Les miens doivent être renouvelés prochainement. J'espère que ça va fonctionner, j'ai assez galéré pour leur mise en place. 0 Citer
oli.oli Posté(e) le 23 avril 2017 Posté(e) le 23 avril 2017 @Mic13710, En fait mon port 80 est toujours fermé et je ne l'ouvre qu'à la demande quand nécessaire. Du coup, je m'attendais à avoir la possibilité de renouveler mon certificat manuellement par le biais de l'interface. N'ayant pas trouvé la solution, j'ai posté ici ce que j'avais trouvé pour le faire (en attendant quelque chose de mieux sur l'IHM) en me disant que ça pourrait toujours servir à d'autres... ;) Mais tu semble me confirmer que seul le renouvellement automatique est prévu... C'est aussi ce que j'avais trouvé lors de mes recherches Merci pour le retour en tout cas. Oli 0 Citer
Mic13710 Posté(e) le 8 mai 2017 Posté(e) le 8 mai 2017 Je suis dans la panade. Aujourd'hui mon premier certificat est arrivé à expiration et n'a pas été renouvelé. Pourtant le port 80 est ouvert et dirigé en permanence vers le NAS et il est autorisé dans le pare feu. A vrai dire, je ne sais même pas quand le renouvellement auto à lieu. J'ai lu quelque part que c'était 30 jours avant expiration mais je n'en suis pas sûr. J'ai essayé la commande : sudo /usr/syno/sbin/syno-letsencrypt renew-all mais ça ne fonctionne pas. Pourtant les noms de domaine sont bien inscrits dans le serveur DNS et ils fonctionnent correctement. Impossible non plus de recréer un nouveau certificat à partir de DSM. Bref, je ne sais pas où ça coince. Mon soucis c'est que le prochain certificat expire demain et que c'est de loin le plus important. Je suis encore sous DSM 6.0. Quelqu'un aurait-il une piste ? 0 Citer
Fenrir Posté(e) le 8 mai 2017 Posté(e) le 8 mai 2017 (modifié) Tu n'as pas un message d'erreur ? ---- /usr/syno/sbin/syno-letsencrypt renew-all -vv Modifié le 8 mai 2017 par Fenrir 0 Citer
Mic13710 Posté(e) le 8 mai 2017 Posté(e) le 8 mai 2017 Salut Fenrir, Merci pour ta réponse. Je te confirme, je suis un boulet. Entre temps je viens de trouver la raison du non renouvellement à partir de DSM. Il y avait un des noms que j'avais supprimé du serveur DNS car je ne l'utilisais plus. D'où le blocage et l'impossibilité d'un renouvellement auto. Même chose pour le certificat qui expire demain. Restes de mes tâtonnements lors de la mise en place du serveur DNS. Une fois supprimés les intrus, j'ai pu renouveler mes certificats. C'est toujours ce message trompeur de DSM qui lorsqu'un nom de domaine n'existe pas dit que le port 80 n'est pas ouvert..... Conclusion : il ne faut pas oublier de corriger les certificats dès qu'on supprime des noms sinon le renouvellement est impossible. Et surtout vérifier avant l'échéance que tous les noms sont toujours valides pour éviter que ça bloque. Par contre je ne sais toujours pas quand intervient le renouvellement auto afin de vérifier dans les logs s'il y a eu des messages. Car hormis les mails de Let's Encrypt, je n'ai reçu aucune notification de la part de DSM. 0 Citer
Fenrir Posté(e) le 8 mai 2017 Posté(e) le 8 mai 2017 30 jours avant l'expiration à priori : cat /usr/syno/etc/letsencrypt/letsencrypt.default 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.