Ajouter ou modifier certificat "Let's encrypt"

[seb773]

Bonsoir,

J'ai le message suivant quand j’essaie de changer mon certificat Let's encrypt:

Citation

Echec de l'operation. Reconnectez vous à DSM et réessayez

Avez-vous une idée de la cause ?

Le bouton "supprimer" est grisé, donc impossible de supprimer le certificat actuel.

J'ai simplement besoin d'ajouter un nouveau "autre nom d'objet" (ex:test.domaine.com) mais je vois pas comment faire à part refaire un certificat mais malheureusement ça ne marche pas.

Merci

Modifié le 29 juin 2016 par seb773
citation

[seb773]

J'ai réussi à supprimer mon certificat "Let's encrypt" en créant un nouveau certificat auto-signé.

J'ai donc voulu refaire un nouveau Let's encrypt et j'ai toujours cette erreur.

Je suis donc maintenant en self-signed, ce qui ne m’arrange pas trop...

[seb773]

Pour info j'ai trouvé la solution.

Problème avec le reverse proxy..., j'ai du le désactiver le temps de la création du certficat.

[gaetan.cambier]

il y a 4 minutes, seb773 a dit :

Pour info j'ai trouvé la solution.

Problème avec le reverse proxy..., j'ai du le désactiver le temps de la création du certficat.

ca peux passer avec le reverse proxy, mais faut que les domaine et sous domaine que tu demande dans le certificat soit effectivement accessible via le port 80 via le reverse proxy

Let's encrypt est assez contraignant pour ca, sans compter que si on demande un certificat ssl, c parfois pour ne plus utiliser le port http(80)

[Valmalenco]

Bonjour, 

J'espère que mon message ne sera pas considéré comme du déterrage de topic.
Je rencontre le même problème, à savoir que j'ai le même message d'erreur.

Sur ma box, j'ai bien ouvert le port 80 en TCP.

 

Le reverse proxy c'est quoi exactement ?

 

Je n'ai pas d'IP fixe utilise DynHost de OVH.

 

Merci à vous,

 

Edit : C'est fou, j'ai 2 SYNOLOGY, configurer de la même façon mais à distance.
Je viens d'essayer sur le second, ça fonctionne très bien...

Je n'arrive donc pas à comprendre, pourquoi sur le principal, ça ne fonctionne pas.

Modifié le 8 août 2016 par Valmalenco

[Fenrir]

il y a une heure, Valmalenco a dit :

Sur ma box, j'ai bien ouvert le port 80 en TCP.

et sur le firewall du syno ?

il y a une heure, Valmalenco a dit :

Le reverse proxy c'est quoi exactement ?

si tu ne sais pas ce que c'est, c'est que tu n'en as pas, donc ce n'est pas ça ton problème

[Valmalenco]

il y a 37 minutes, Fenrir a dit :

si tu ne sais pas ce que c'est, c'est que tu n'en as pas, donc ce n'est pas ça ton problème

Effectivement, j'ai vérifier dans les paramètres et il n'était pas activé.

 

il y a 38 minutes, Fenrir a dit :

et sur le firewall du syno ?

J'ai comparer les deux, et le 80 n'était pas ouvert sur celui qui pose problème.
Je viens de l'ouvrir et de tester, mais ça ne semble pas fonctionner.
Sur le NAS qui fonctionne avec le certificat, j'avais bien une erreur m'indiquant un soucis avec le port 80.
Ici, j'ai simplement le message : "Echec de l'opération, déconnectez-vous du DSM et réessayez.

J'ai vérifié, j'ai bien la dernière version du DSM, mise à part que la grande différence, c'est que sur cette box je suis ouvert en DMZ.

 

[Fenrir]

essaye de rebooter ton nas

[Valmalenco]

J'y avais juste pensé, je viens de le faire et la réponse est malheureusement négative.`

Edit: J'essaierai bien d'importer les configurations du NAS où le certificat fonctionne sur l'autre, et de tester avec des paramètres, je verrai au moins si c'est la configuration qui pose le problème ?

Modifié le 8 août 2016 par Valmalenco

[Fenrir]

Regarde dans les logs (dans l'appli de log et en ssh dans le dossier /var/log)

[Valmalenco]

Je viens de regarder, je n'ai rien qui s'affiche en erreur, ou anormal.

Parcoure, je viens de relancer la demande de certificat, et à présent j'ai le message qui m'indique qu'il y'a une erreur de port 80.
On est bien d'accord, qu'une fois le certificat créé je dois bien laisser le port 80 ouvert sur le routeur en TCP ?

[Fenrir]

il y a 5 minutes, Valmalenco a dit :

Je viens de regarder, je n'ai rien qui s'affiche en erreur, ou anormal.

Tu as regardé en ssh dans /var/log

il y a 4 minutes, Valmalenco a dit :

On est bien d'accord, qu'une fois le certificat créé je dois bien laisser le port 80 ouvert sur le routeur en TCP ?

Il faut ouvrir le port pour créer le certificat et le renouveler, pour la suite tu fais comme tu veux.

nb : ton nas doit aussi avoir accès à Internet

[Valmalenco]

J'étais en déplacement cette après midi quand j'ai fais les tests.

Je viens de me reconnecter à la box, qui me sert de routeur actuellement..
J'ai redémarrer cette dernière, recommencer un certificat et ça fonctionne... Au simple redémarrage de la box SFR..
Donc maintenant que c'est créé, je peux retirer ce paramètre de la box ?
Merci beaucoup pour ton intervention ! Tu as toujours la solution ;)

[StéphanH]

J'ouvre de nouveau ce sujet, en espérant ne pas poser une question redondante ...

Ouvrir le port 80 sur mon NAS, pourquoi pas, mais cela me gêne de l'ouvrir à la terre entière ... (j'ai déjà eu de mauvaises surprises, résolues en limitant les accès à la France)

Bref, savez vous de quel(s) pays viennent les requêtes de Let's Encrypt ?

[Fenrir]

Je crois qu'ils passent par un CDN et qu'ils utilisent plusieurs "cloud", donc ça peut venir de n'importe où.

Dans ton cas, tu as juste à faire en sorte que rien d'autre n'écoute sur le port 80 le temps de la manip.

Si tu tiens vraiment à la faire de manière sécurisée, tu peux utiliser une validation par DNS, mais ce n'est pas géré par le syno.

[StéphanH]

Merci pour ta réponse.

j'ai cru comprendre que ce port devait rester ouvert, ne serait-ce que lors des renouvellement automatiques du certificat.

Si c'est juste le temps de la récupération du premier certificat, cela ne me dérange pas !

 

[Fenrir]

Il y a 2 heures, StéphanH a dit :

j'ai cru comprendre que ce port devait rester ouvert, ne serait-ce que lors des renouvellement automatiques du certificat.

Il faut le ré-ouvrir au moment du renouvellement.

[StéphanH]

Ok merci ;-)

Envoyé de mon iPhone en utilisant Tapatalk

[oli.oli]

Hello,

Juste pour rebondir sur le sujet, je n'ai pas trouvé comment renouveler mon certificat Let's Encrypt depuis l'IHM...

Si quelqu'un a l'information...

Du coup, je suis passer en ssh avec la commande suivante :

/usr/syno/sbin/syno-letsencrypt renew-all

Et là, aucun problème (avec le port 80 ouvert bien sûr...).

Si ça peut servir à d'autres... ;)

[Mic13710]

Normalement, le renouvellement est automatique si le port 80 est ouvert. C'est du moins ce que dit l'aide du DSM.

Les certificats émis par Let's Encrypt sont valides 90 jours. DSM renouvelle automatiquement les certificats avant qu'ils n'expirent si la validation du domaine s'est effectuée avec succès. Vérifiez que le port 80 de votre Synology NAS et du routeur est ouvert pour le renouvellement des certificats.

Les miens doivent être renouvelés prochainement. J'espère que ça va fonctionner, j'ai assez galéré pour leur mise en place.

[oli.oli]

@Mic13710,

En fait mon port 80 est toujours fermé et je ne l'ouvre qu'à la demande quand nécessaire. Du coup, je m'attendais à avoir la possibilité de renouveler mon certificat manuellement par le biais de l'interface.

N'ayant pas trouvé la solution, j'ai posté ici ce que j'avais trouvé pour le faire (en attendant quelque chose de mieux sur l'IHM) en me disant que ça pourrait toujours servir à d'autres... ;)

Mais tu semble me confirmer que seul le renouvellement automatique est prévu...

C'est aussi ce que j'avais trouvé lors de mes recherches

Merci pour le retour en tout cas.

Oli

[Mic13710]

Je suis dans la panade.

Aujourd'hui mon premier certificat est arrivé à expiration et n'a pas été renouvelé.

Pourtant le port 80 est ouvert et dirigé en permanence vers le NAS et il est autorisé dans le pare feu.

A vrai dire, je ne sais même pas quand le renouvellement auto à lieu. J'ai lu quelque part que c'était 30 jours avant expiration mais je n'en suis pas sûr.

J'ai essayé la commande :

sudo /usr/syno/sbin/syno-letsencrypt renew-all

mais ça ne fonctionne pas.

Pourtant les noms de domaine sont bien inscrits dans le serveur DNS et ils fonctionnent correctement.

Impossible non plus de recréer un nouveau certificat à partir de DSM.

Bref, je ne sais pas où ça coince.

Mon soucis c'est que le prochain certificat expire demain et que c'est de loin le plus important.

Je suis encore sous DSM 6.0.

Quelqu'un aurait-il une piste ?

[Fenrir]

Tu n'as pas un message d'erreur ?

----

/usr/syno/sbin/syno-letsencrypt renew-all -vv

 

Modifié le 8 mai 2017 par Fenrir

[Mic13710]

Salut Fenrir,

Merci pour ta réponse. Je te confirme, je suis un boulet.

Entre temps je viens de trouver la raison du non renouvellement à partir de DSM. Il y avait un des noms que j'avais supprimé du serveur DNS car je ne l'utilisais plus. D'où le blocage et l'impossibilité d'un renouvellement auto.

Même chose pour le certificat qui expire demain.

Restes de mes tâtonnements lors de la mise en place du serveur DNS. Une fois supprimés les intrus, j'ai pu renouveler mes certificats.

C'est toujours ce message trompeur de DSM qui lorsqu'un nom de domaine n'existe pas dit que le port 80 n'est pas ouvert.....

Conclusion : il ne faut pas oublier de corriger les certificats dès qu'on supprime des noms sinon le renouvellement est impossible. Et surtout vérifier avant l'échéance que tous les noms sont toujours valides pour éviter que ça bloque.

Par contre je ne sais toujours pas quand intervient le renouvellement auto afin de vérifier dans les logs s'il y a eu des messages. Car hormis les mails de Let's Encrypt, je n'ai reçu aucune notification de la part de DSM.

[Fenrir]

30 jours avant l'expiration à priori : cat /usr/syno/etc/letsencrypt/letsencrypt.default