quenbo Posté(e) le 2 février 2019 Posté(e) le 2 février 2019 (modifié) Bonjour à tous, ayant reçu récemment, avec étonnement, un mail de Let's Encrypt m'invitant à renouveller mon certificat (installé depuis > 1 an) avant la fin du mois, j'ai d'abord tenté la commande suivante, qui n'a pas fonctionné...(mon port 80 est ouvert) /usr/syno/sbin/syno-letsencrypt renew-all -vv J'ai du forcer un hard reset de mon NAS il y a quelques temps et le certificat n'a pas bien vécu le passage semblerait-il... Bref, après quelques recherches, j'ai ouvert le log dans /var/log/messages et ai constaté le problème suivant : 2019-02-02T10:48:44+01:00 Diskstation syno-letsencrypt: syno-letsencrypt.cpp:312 can not find renew.json. [No such file or directory][/usr/syno/etc/certificate/_archive/ymzCAP/renew.json] En effet, le répertoire /usr/syno/etc/certificate/_archive/ymzCAP/ existe bien mais ne contient en effet que 4 fichiers *.pem : cert.pem, chain.pem, fullchain.pem, privkey.pem. Il n'y a pas de trace du fichier renew.json. Une petite lecture sur le net m'a suggéré de deleter l'ensemble de ce dossier _archive afin de resetter l'installation correcte des certificats (et de renew.json), puis de tenter renouveler mon certificat, mais ce delete a entrainé une erreur de volume sur un des disques du Syno ??? (qui a vérifié longuement sa cohérence de parité). Après redémarrage, un certificat autosigné "Synology.com" s'est réinstallé par défaut... J'ai réimporté mes clés de certficat let's encrypt, mais ce certificat maintenant ne couvre plus mon port 25001 (utilisé pour DSM) mais bien celui d'autres applications comme NoteStation... J'ai donc un message de connexion non sécurisée lors de la connexion au DSM, mais pas à NoteStation... Et ceci n'a pas corrigé non plus mon problème de renouvellement du certificat, car la commande " /usr/syno/sbin/syno-letsencrypt renew-all -vv " me renvoie toujours la même erreur de "renew.json not find" root@Diskstation:~# /usr/syno/sbin/syno-letsencrypt renew-all -vv DEBUG: Issuer name of certificate. [Let's Encrypt]->[/usr/syno/etc/certificate/_archive/l3npXZ/cert.pem] J'ai alors voulu demander un tout nouveau certificat Let's Encrypt àpd du DSM mais j'ai l'erreur suivante "failed to create Let's Encrypt certificate : (je suis chez OVH) 2019-02-02T12:17:51+01:00 Diskstation synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[12501]: certificate.cpp:973 syno-letsencrypt failed. 102 [Invalid response from http://MONSITE.FR/.well-known/acme-challenge/B_-FMOcsiyIqDbCRt-qjXJwwXOZs8cFGRRFQfHcBR1s: "<html xml:lang=\"fr-FR\" lang=\"fr-FR\">\n<head>\n<title qtlid=\"28806\">Félicitations ! Votre domaine a bien été créé chez OVH !</"] 2019-02-02T12:17:51+01:00 Diskstation synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[12501]: certificate.cpp:1392 Failed to create Let'sEncrypt certificate. [102][Invalid response from http://MONSITE.FR/.well-known/acme-challenge/B_-FMOcsiyIqDbCRt-qjXJwwXOZs8cFGRRFQfHcBR1s: "<html xml:lang=\"fr-FR\" lang=\"fr-FR\">\n<head>\n<title qtlid=\"28806\">Félicitations ! Votre domaine a bien été créé chez OVH !</"] Bref je ne sais plus trop quoi faire et viens vers vous pour voir si quelqu'un a une idée de solution et/ou peut vérifier l'existence de ce fameux "renew.json" chez lui et, si ce fichier est standard, me l'envoyer ? Pour des raisons de sécurité vous comprendrez bien je n'accepterai ce fichier que de forumeurs "reconnus"... D'ores et déjà merci pour votre aide, Quenbo Modifié le 8 février 2019 par quenbo
quenbo Posté(e) le 8 février 2019 Auteur Posté(e) le 8 février 2019 Salut à tous, vu le peu de réponse qu'inspirait mon premier post, je l'ai corrigé et précisé suite à différents essais de résolution... Je n'arrive pas ni a renouveller mon certificat Let's Encrypt, ni a en créer un nouveau, et le champ de couverture du certificat s'est restreint (le port du DSM n'est plus couvert)... Et il me reste 12 jours... Merci pour votre aide.
Jeff777 Posté(e) le 8 février 2019 Posté(e) le 8 février 2019 (modifié) Bonjour, ça m'a l'air très compliqué ce que tu as fait et je n'y comprends pas grand chose. Je vais essayer de t'aider en espérant ne pas répondre à côté de la plaque 😁 Pour renouveler un certificat Let's Encrypt : panneau de config/sécurité/certificat et une fois sélectionné le certificat ajouter/renouveler le certificat. Et ça marche tout seul ! Tu as intérêt à refaire tous tes certificats. Tu peux en faire plusieurs (j'en ai 7) mais tu es limité dans le nombre de manip. Si tu ne peux pas faire ajouter il faut attendre qq jours. Sinon tu peux contacter Let's Encrypt ils sont très coopératifs. Bonne chance Modifié le 8 février 2019 par Jeff777
quenbo Posté(e) le 8 février 2019 Auteur Posté(e) le 8 février 2019 il y a 10 minutes, Jeff777 a dit : Pour renouveler un certificat Let's Encrypt : panneau de config/sécurité/certificat et une fois sélectionné le certificat ajouter/renouveler le certificat. Et ça marche tout seul ! Tu as intérêt à refaire tous tes certificats. Tu peux en faire plusieurs (j'en ai 7) mais tu es limité dans le nombre de manip. Si tu ne peux pas faire ajouter il faut attendre qq jours. Sinon tu peux contacter Let's Encrypt ils sont très coopératifs. Merci pour ta réponse, malheureusement la démarche simple d'ajout de certificat via DSM ne fonctionne pas non plus. J'ai une erreur et dans le DSM et dans le log "Failed to create Let'sEncrypt certificate"...
unPixel Posté(e) le 8 février 2019 Posté(e) le 8 février 2019 Bonsoir, Et pour te confirmer, je n'ai pas non plus ce fameux fichier dans mon dossier : Bon après, je passe par acme pour obtenir un certificat Wildcard alors c'est peut-être différent même si ne pense pas. Au pire, tu passes par un service comme SSLFORFREE mais par contre, c'est à toi de faire le renouvellement tous les trois mois.
quenbo Posté(e) le 9 février 2019 Auteur Posté(e) le 9 février 2019 Merci @Zeuspour la réponse. J'ai vu le topic pour un certificat wildcard via acme... mais je crois comprendre que le renouvellement automatique ne fonctionne pas encore à 100% chez toi ? J''attends maintenant la réponse de Synology chez lesquels j'ai déposé un ticket... On verra si, avant l'expiration du certificat, Synology ou d'autres forumeurs me répondent et savent m'aider ? Sinon je me retrousserai les manches une nouvelle fois...
unPixel Posté(e) le 9 février 2019 Posté(e) le 9 février 2019 Le renouvellement fonctionne à 100%. Ce qui ne fonctionne pas encore correctement, c'est le redémarrage de certains services pour valider le certificat. On pourrait je pense pour le moment contourner le soucis en redémarrant directement le NAS mais je l'ai pas encore fait pour tester.
quenbo Posté(e) le 9 février 2019 Auteur Posté(e) le 9 février 2019 (modifié) Ah ok... Ca me tente de plus en plus et je parcours ton topic mais je ne pige pas bien tes prérequis : - pour l' entrée CNAME avec "*.ndd.tld" chez son provider (je suis chez OVH aussi), tu crois que tu pourrais mettre un printscreen ? 😏 - pour la configuration du serveur DNS sur NAS (ou ailleurs), je comprends pas non plus ? Dans mon routeur j'utilise les DNS de cloudflare? Bref c'est un peu hors sujet mais bon. Merci +++ Modifié le 9 février 2019 par quenbo
unPixel Posté(e) le 9 février 2019 Posté(e) le 9 février 2019 Citation pour l' entrée CNAME avec "*.ndd.tld" chez son provider (je suis chez OVH aussi), tu crois que tu pourrais mettre un printscreen ? Pas trop compris ce que tu veux. Tu mets simplement une entrée comme indiqué et ça suffit. Citation pour la configuration du serveur DNS sur NAS (ou ailleurs), je comprends pas non plus ? Dans mon routeur j'utilise les DNS de cloudflare? Désolé mais je tiens au maximum à la confidentialité de mes données et je passe par mon serveur DNS puis par les DNS de FDN. Cloudflare, non merci ! Pour ton serveur DNS, voir le tuto de Fenrir sur le forum 😉
quenbo Posté(e) le 9 février 2019 Auteur Posté(e) le 9 février 2019 @ZeusBon, avant de me lancer "profondément" dans ton tuto (et surtout dans le tuto serveur DNS de Ferir), j'ai d'abord tenté la création d'un certificat wildcard via sslforfree, à importer manuellement dans DSM... J'ai bien obtenu les certificats avec *.ndd.tld et ndd.tld, que j'ai importée correctement mais j'ai toujours une erreur dans Firefox... 😤 ndd.tld utilise un certificat de sécurité invalide. Le certificat n’est valide que pour les noms suivants : mailconfig.ovh.net, www.mailconfig.ovh.net Code d’erreur : SSL_ERROR_BAD_CERT_DOMAIN Apparemment, même si les adresses créée dans le certificat sont affichées correctement (*.ndd.tld et ndd.tld) dans sslforfree et dsm, il y a encore quelquechose qui foire, en lien avec le service mail ovh... Avez vous une idée? Merci !
unPixel Posté(e) le 9 février 2019 Posté(e) le 9 février 2019 Fais moi une capture d'écran stp de ta zone dns et envoi la moi en MP pour plus de discrétion.
unPixel Posté(e) le 9 février 2019 Posté(e) le 9 février 2019 Capture d'écran reçue. Autant dire que c'est du grand n'importe quoi et que là, tu as tout fait mais en mal. Tu as été jusqu'à ajouter des ports dans des entrées DNS. J'ai compté, c'est simple, tu as 27 entrées dans ta zone DNS 🤣 Voici grossièrement une capture d'écran sur mon domaine principal : J'ai énormément de services mais de ton côté, tu ne devrais avoir que 5-6 entrées au total... Tu peux tout virer afin de recommencer sauf les deux entrées NS fournies de base par OVH. Entrée NS Entrée NS ndd.tld > TTL 60 > IP fixe *.ndd.tld > TTL 60 > ndd.tld _acme-challenge.ndd.tld _acme-challenge.ndd.tld Voilà les seules entrées qui devraient se trouver dans ta zone DNS. Et si tu n'utilises pas de certificat wildcard alors tu peux virer les lignes 5 et 6 qui sont ci-dessus. Si au pire, tu utilises le webmail d'OVH, laisser les entrées concernant la partie mail.
quenbo Posté(e) le 15 février 2019 Auteur Posté(e) le 15 février 2019 (modifié) Bonjour Zeus, merci pour la réponse. Je tiens quand même à préciser, suite à votre commentaire "... Tu as été jusqu'à ajouter des ports dans des entrées DNS..." que j'ai en effet utilisé les redirections proposées par OVH. Celles-ci me permettent facilement d'accéder au services de mon NAS en tapant, par ex. audio.ndd.fr plutôt que ndd.fr:46569 comme adresse, et c'est plus facile à retenir que les ports. Mais ces redirections se rajoutent automatiquement dans la zone DNS également, ce qui en effet surcharge un peu. Enfin bref... Puisque en effet ma zone DNS était un peu chargée, j'ai remis de l'ordre, sur vos conseils, et j'ai pu faire 2 choses : 1. réussir à créer un nouveau certificat Let's Encrypt à partir du Synology, ce qui ne fonctionnait pas avant, et qui m'a permis de récupérer le fameux "renew.json" manquant /usr/syno/etc/certificate/_archive/ymzCAP/renew.json Cependant, j'ai toujours une erreur dans Firefox, qui n'est plus "SSL_ERROR_BAD_CERT_DOMAIN" (Le certificat n’est valide que pour les noms suivants : mailconfig.ovh.net, www.mailconfig.ovh.net) mais est devenue "SEC_ERROR_UNKNOWN_ISSUER"(Le certificat n’est pas sûr car le certificat de l’autorité l’ayant délivré est inconnu.) 2. J'ai alors tenté d'utiliser à la place le certificat Wildcard (de SSL for Free), qui lui aussi fonctionne de la même façon avec "SEC_ERROR_UNKNOWN_ISSUER" dans certains cas Ce qui m'étonne, c'est que c'est le même message que pour les certificats autosignés ! ? Ce qui m'étonne encore plus, c'est que j'ai ce message pour une connexion vers le DSM ou PhotoStation mais que les autres connexions https vers AudioStation, NoteStation, ... fonctionnent sans problèmes ! => Donc les connexions à nas.ndd.fr:5001 (DSM) ou nas.ndd.fr:443 (photostation) sont KO, mais les autres connexions à nas.ndd.fr:8801 (AudioStation) ou nas.ndd.fr:9351 (NoteStation) fonctionnent ! Seul le port diffère ! ? ? ! J'en viens à me demander si le NAS ne se mélange pas dans ses certificats et présenterait soit le vieux certificat auto-signé (installé par défaut) pour la connexion DSM ou un certificat "vide" comme sur le printscreen. De plus, quand je clique sur afficher le certificat, je n'ai rien qui s'ouvre. Modifié le 15 février 2019 par quenbo
quenbo Posté(e) le 15 février 2019 Auteur Posté(e) le 15 février 2019 BINGO ! J'étais persuadé que le Syno déconnait ! J'ai finalement remplacé en SSH les "vieux" certificats qui se trouvaient dans /usr/syno/etc/certificate/system/default et que je soupçonnais d'être mal utilisés, par ceux que je venais d'importer et qui se trouvaient dans /usr/syno/etc/certificate/_archive/ Un reboot du NAS et ça refonctionne enfin !!! Alleluia ! 😀
unPixel Posté(e) le 15 février 2019 Posté(e) le 15 février 2019 Bonsoir, bon et bien donc ton soucis est réglé 🙂 On peut se tutoyer, je ne prends pas le tutoiement comme un manque de respect !
Lelolo Posté(e) le 26 février 2019 Posté(e) le 26 février 2019 Le problème est maintenant résolu. N'hésitez pas à ouvrir un nouveau message en cas de problème. Ceci est une réponse automatique.
Messages recommandés