Aller au contenu

Ajouter ou modifier certificat "Let's encrypt"


Messages recommandés

Bonsoir,

J'ai le message suivant quand j’essaie de changer mon certificat Let's encrypt:

Citation

Echec de l'operation. Reconnectez vous à DSM et réessayez

Avez-vous une idée de la cause ?

Le bouton "supprimer" est grisé, donc impossible de supprimer le certificat actuel.

J'ai simplement besoin d'ajouter un nouveau "autre nom d'objet" (ex:test.domaine.com) mais je vois pas comment faire à part refaire un certificat mais malheureusement ça ne marche pas.

Merci

Modifié par seb773
citation
Lien vers le commentaire
Partager sur d’autres sites

  • Réponses 52
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Meilleurs contributeurs dans ce sujet

Images postées

il y a 4 minutes, seb773 a dit :

Pour info j'ai trouvé la solution.

Problème avec le reverse proxy..., j'ai du le désactiver le temps de la création du certficat.

ca peux passer avec le reverse proxy, mais faut que les domaine et sous domaine que tu demande dans le certificat soit effectivement accessible via le port 80 via le reverse proxy

Let's encrypt est assez contraignant pour ca, sans compter que si on demande un certificat ssl, c parfois pour ne plus utiliser le port http(80)

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour, 

J'espère que mon message ne sera pas considéré comme du déterrage de topic.
Je rencontre le même problème, à savoir que j'ai le même message d'erreur.

Sur ma box, j'ai bien ouvert le port 80 en TCP.

 

Le reverse proxy c'est quoi exactement ?

 

Je n'ai pas d'IP fixe utilise DynHost de OVH.

 

Merci à vous,

 

Edit : C'est fou, j'ai 2 SYNOLOGY, configurer de la même façon mais à distance.
Je viens d'essayer sur le second, ça fonctionne très bien...

Je n'arrive donc pas à comprendre, pourquoi sur le principal, ça ne fonctionne pas.

Modifié par Valmalenco
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Valmalenco a dit :

Sur ma box, j'ai bien ouvert le port 80 en TCP.

et sur le firewall du syno ?

il y a une heure, Valmalenco a dit :

Le reverse proxy c'est quoi exactement ?

si tu ne sais pas ce que c'est, c'est que tu n'en as pas, donc ce n'est pas ça ton problème

Lien vers le commentaire
Partager sur d’autres sites

il y a 37 minutes, Fenrir a dit :

si tu ne sais pas ce que c'est, c'est que tu n'en as pas, donc ce n'est pas ça ton problème

Effectivement, j'ai vérifier dans les paramètres et il n'était pas activé.

 

il y a 38 minutes, Fenrir a dit :

et sur le firewall du syno ?

J'ai comparer les deux, et le 80 n'était pas ouvert sur celui qui pose problème.
Je viens de l'ouvrir et de tester, mais ça ne semble pas fonctionner.
Sur le NAS qui fonctionne avec le certificat, j'avais bien une erreur m'indiquant un soucis avec le port 80.
Ici, j'ai simplement le message : "Echec de l'opération, déconnectez-vous du DSM et réessayez.

J'ai vérifié, j'ai bien la dernière version du DSM, mise à part que la grande différence, c'est que sur cette box je suis ouvert en DMZ.

 

Lien vers le commentaire
Partager sur d’autres sites

J'y avais juste pensé, je viens de le faire et la réponse est malheureusement négative.`

Edit: J'essaierai bien d'importer les configurations du NAS où le certificat fonctionne sur l'autre, et de tester avec des paramètres, je verrai au moins si c'est la configuration qui pose le problème ?

Modifié par Valmalenco
Lien vers le commentaire
Partager sur d’autres sites

Je viens de regarder, je n'ai rien qui s'affiche en erreur, ou anormal.

Parcoure, je viens de relancer la demande de certificat, et à présent j'ai le message qui m'indique qu'il y'a une erreur de port 80.
On est bien d'accord, qu'une fois le certificat créé je dois bien laisser le port 80 ouvert sur le routeur en TCP ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 5 minutes, Valmalenco a dit :

Je viens de regarder, je n'ai rien qui s'affiche en erreur, ou anormal.

Tu as regardé en ssh dans /var/log

il y a 4 minutes, Valmalenco a dit :

On est bien d'accord, qu'une fois le certificat créé je dois bien laisser le port 80 ouvert sur le routeur en TCP ?

Il faut ouvrir le port pour créer le certificat et le renouveler, pour la suite tu fais comme tu veux.

nb : ton nas doit aussi avoir accès à Internet

Lien vers le commentaire
Partager sur d’autres sites

J'étais en déplacement cette après midi quand j'ai fais les tests.

Je viens de me reconnecter à la box, qui me sert de routeur actuellement..
J'ai redémarrer cette dernière, recommencer un certificat et ça fonctionne... Au simple redémarrage de la box SFR..
Donc maintenant que c'est créé, je peux retirer ce paramètre de la box ?
Merci beaucoup pour ton intervention ! Tu as toujours la solution ;)

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

J'ouvre de nouveau ce sujet, en espérant ne pas poser une question redondante ...

Ouvrir le port 80 sur mon NAS, pourquoi pas, mais cela me gêne de l'ouvrir à la terre entière ... (j'ai déjà eu de mauvaises surprises, résolues en limitant les accès à la France)

Bref, savez vous de quel(s) pays viennent les requêtes de Let's Encrypt ?

Lien vers le commentaire
Partager sur d’autres sites

Je crois qu'ils passent par un CDN et qu'ils utilisent plusieurs "cloud", donc ça peut venir de n'importe où.

Dans ton cas, tu as juste à faire en sorte que rien d'autre n'écoute sur le port 80 le temps de la manip.

Si tu tiens vraiment à la faire de manière sécurisée, tu peux utiliser une validation par DNS, mais ce n'est pas géré par le syno.

Lien vers le commentaire
Partager sur d’autres sites

  • 6 mois après...

Hello,

Juste pour rebondir sur le sujet, je n'ai pas trouvé comment renouveler mon certificat Let's Encrypt depuis l'IHM...

Si quelqu'un a l'information...

Du coup, je suis passer en ssh avec la commande suivante :

/usr/syno/sbin/syno-letsencrypt renew-all

Et là, aucun problème (avec le port 80 ouvert bien sûr...).

Si ça peut servir à d'autres... ;)

Lien vers le commentaire
Partager sur d’autres sites

Normalement, le renouvellement est automatique si le port 80 est ouvert. C'est du moins ce que dit l'aide du DSM.

Les certificats émis par Let's Encrypt sont valides 90 jours. DSM renouvelle automatiquement les certificats avant qu'ils n'expirent si la validation du domaine s'est effectuée avec succès. Vérifiez que le port 80 de votre Synology NAS et du routeur est ouvert pour le renouvellement des certificats.

Les miens doivent être renouvelés prochainement. J'espère que ça va fonctionner, j'ai assez galéré pour leur mise en place.

Lien vers le commentaire
Partager sur d’autres sites

@Mic13710,

En fait mon port 80 est toujours fermé et je ne l'ouvre qu'à la demande quand nécessaire. Du coup, je m'attendais à avoir la possibilité de renouveler mon certificat manuellement par le biais de l'interface.

N'ayant pas trouvé la solution, j'ai posté ici ce que j'avais trouvé pour le faire (en attendant quelque chose de mieux sur l'IHM) en me disant que ça pourrait toujours servir à d'autres... ;)

Mais tu semble me confirmer que seul le renouvellement automatique est prévu...

C'est aussi ce que j'avais trouvé lors de mes recherches

Merci pour le retour en tout cas.

Oli

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Je suis dans la panade.

Aujourd'hui mon premier certificat est arrivé à expiration et n'a pas été renouvelé.

Pourtant le port 80 est ouvert et dirigé en permanence vers le NAS et il est autorisé dans le pare feu.

A vrai dire, je ne sais même pas quand le renouvellement auto à lieu. J'ai lu quelque part que c'était 30 jours avant expiration mais je n'en suis pas sûr.

J'ai essayé la commande :

sudo /usr/syno/sbin/syno-letsencrypt renew-all

mais ça ne fonctionne pas.

Pourtant les noms de domaine sont bien inscrits dans le serveur DNS et ils fonctionnent correctement.

Impossible non plus de recréer un nouveau certificat à partir de DSM.

Bref, je ne sais pas où ça coince.

Mon soucis c'est que le prochain certificat expire demain et que c'est de loin le plus important.

Je suis encore sous DSM 6.0.

Quelqu'un aurait-il une piste ?


 
Lien vers le commentaire
Partager sur d’autres sites

Salut Fenrir,

Merci pour ta réponse. Je te confirme, je suis un boulet.

Entre temps je viens de trouver la raison du non renouvellement à partir de DSM. Il y avait un des noms que j'avais supprimé du serveur DNS car je ne l'utilisais plus. D'où le blocage et l'impossibilité d'un renouvellement auto.

Même chose pour le certificat qui expire demain.

Restes de mes tâtonnements lors de la mise en place du serveur DNS. Une fois supprimés les intrus, j'ai pu renouveler mes certificats.

C'est toujours ce message trompeur de DSM qui lorsqu'un nom de domaine n'existe pas dit que le port 80 n'est pas ouvert.....

Conclusion : il ne faut pas oublier de corriger les certificats dès qu'on supprime des noms sinon le renouvellement est impossible. Et surtout vérifier avant l'échéance que tous les noms sont toujours valides pour éviter que ça bloque.

Par contre je ne sais toujours pas quand intervient le renouvellement auto afin de vérifier dans les logs s'il y a eu des messages. Car hormis les mails de Let's Encrypt, je n'ai reçu aucune notification de la part de DSM.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.