Aller au contenu

[Résolu]Let's Encrypt : can not find renew.json


Messages recommandés

Bonjour à tous,

ayant reçu récemment, avec étonnement, un mail de Let's Encrypt m'invitant à renouveller mon certificat (installé depuis > 1 an) avant la fin du mois, j'ai d'abord tenté la commande suivante, qui n'a pas fonctionné...(mon port 80 est ouvert)

 /usr/syno/sbin/syno-letsencrypt renew-all -vv

J'ai du forcer un hard reset de mon NAS il y a quelques temps et le certificat n'a pas bien vécu le passage semblerait-il...

Bref, après quelques recherches, j'ai ouvert le log dans /var/log/messages et ai constaté le problème suivant :

2019-02-02T10:48:44+01:00 Diskstation syno-letsencrypt: syno-letsencrypt.cpp:312 can not find renew.json. [No such file or directory][/usr/syno/etc/certificate/_archive/ymzCAP/renew.json]

En effet, le répertoire /usr/syno/etc/certificate/_archive/ymzCAP/ existe bien mais ne contient en effet que 4 fichiers *.pem : cert.pem, chain.pem, fullchain.pem, privkey.pem. Il n'y a pas de trace du fichier renew.json.

 

Une petite lecture sur le net m'a suggéré de deleter l'ensemble de ce dossier _archive afin de resetter l'installation correcte des certificats (et de renew.json), puis de tenter renouveler mon certificat, mais ce delete a entrainé une erreur de volume sur un des disques du Syno ??? (qui a vérifié longuement sa cohérence de parité). Après redémarrage, un certificat autosigné "Synology.com" s'est réinstallé par défaut...

J'ai réimporté mes clés de certficat let's encrypt, mais ce certificat maintenant ne couvre plus mon port 25001 (utilisé pour DSM) mais bien celui d'autres applications comme NoteStation...image.thumb.png.087bdf14e5b6e3fc43560fbddfeaab6d.png

J'ai donc un message de connexion non sécurisée lors de la connexion au DSM, mais pas à NoteStation...

 

Et ceci n'a pas corrigé non plus mon problème de renouvellement du certificat, car la commande " /usr/syno/sbin/syno-letsencrypt renew-all -vv " me renvoie toujours la même erreur  de "renew.json not find"

root@Diskstation:~# /usr/syno/sbin/syno-letsencrypt renew-all -vv
DEBUG: Issuer name of certificate. [Let's Encrypt]->[/usr/syno/etc/certificate/_archive/l3npXZ/cert.pem]

 

J'ai alors voulu demander un tout nouveau certificat Let's Encrypt àpd du DSM mais j'ai l'erreur suivante "failed to create Let's Encrypt certificate : (je suis chez OVH)

2019-02-02T12:17:51+01:00 Diskstation synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[12501]: certificate.cpp:973 syno-letsencrypt failed. 102 [Invalid response from http://MONSITE.FR/.well-known/acme-challenge/B_-FMOcsiyIqDbCRt-qjXJwwXOZs8cFGRRFQfHcBR1s: "<html xml:lang=\"fr-FR\" lang=\"fr-FR\">\n<head>\n<title qtlid=\"28806\">Félicitations ! Votre domaine a bien été créé chez OVH !</"]
2019-02-02T12:17:51+01:00 Diskstation synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[12501]: certificate.cpp:1392 Failed to create Let'sEncrypt certificate. [102][Invalid response from http://MONSITE.FR/.well-known/acme-challenge/B_-FMOcsiyIqDbCRt-qjXJwwXOZs8cFGRRFQfHcBR1s: "<html xml:lang=\"fr-FR\" lang=\"fr-FR\">\n<head>\n<title qtlid=\"28806\">Félicitations ! Votre domaine a bien été créé chez OVH !</"]

 

Bref je ne sais plus trop quoi faire et viens vers vous pour voir si quelqu'un a une idée de solution et/ou peut vérifier l'existence de ce fameux "renew.json" chez lui et, si ce fichier est standard, me l'envoyer ?

Pour des raisons de sécurité vous comprendrez bien je n'accepterai ce fichier que de forumeurs "reconnus"...

D'ores et déjà merci pour votre aide,

Quenbo

Modifié par quenbo
Lien vers le commentaire
Partager sur d’autres sites

Salut à tous,

vu le peu de réponse qu'inspirait mon premier post, je l'ai corrigé et précisé suite à différents essais de résolution...

Je n'arrive pas ni a renouveller mon certificat Let's Encrypt, ni a en créer un nouveau, et le champ de couverture du certificat s'est restreint (le port du DSM n'est plus couvert)...

Et il me reste 12 jours... Merci pour votre aide.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

ça m'a l'air très compliqué ce que tu as fait et je n'y comprends pas grand chose. Je vais essayer de t'aider en espérant ne pas répondre à côté de la plaque 😁

Pour renouveler un certificat Let's Encrypt :

panneau de config/sécurité/certificat   et une fois sélectionné le certificat  ajouter/renouveler le certificat.

Et ça marche tout seul !

Tu as intérêt à refaire tous tes certificats. Tu peux en faire plusieurs (j'en ai 7) mais tu es limité dans le nombre de manip. Si tu ne peux pas faire ajouter il faut attendre qq jours.

Sinon tu peux contacter Let's Encrypt ils sont très coopératifs.

Bonne chance

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a 10 minutes, Jeff777 a dit :

Pour renouveler un certificat Let's Encrypt :

panneau de config/sécurité/certificat   et une fois sélectionné le certificat  ajouter/renouveler le certificat.

Et ça marche tout seul !

Tu as intérêt à refaire tous tes certificats. Tu peux en faire plusieurs (j'en ai 7) mais tu es limité dans le nombre de manip. Si tu ne peux pas faire ajouter il faut attendre qq jours.

Sinon tu peux contacter Let's Encrypt ils sont très coopératifs.

Merci pour ta réponse, malheureusement la démarche simple d'ajout de certificat via DSM ne fonctionne pas non plus.

J'ai une erreur et dans le DSM et dans le log "Failed to create Let'sEncrypt certificate"...

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Et pour te confirmer, je n'ai pas non plus ce fameux fichier dans mon dossier :

BBhYYLO.png

Bon après, je passe par acme pour obtenir un certificat Wildcard alors c'est peut-être différent même si ne pense pas.

Au pire, tu passes par un service comme SSLFORFREE mais par contre, c'est à toi de faire le renouvellement tous les trois mois.

Lien vers le commentaire
Partager sur d’autres sites

Merci @Zeuspour la réponse. J'ai vu le topic pour un certificat wildcard via acme... mais je crois comprendre que le renouvellement automatique ne fonctionne pas encore à 100% chez toi ?

J''attends maintenant la réponse de Synology chez lesquels j'ai déposé un ticket... On verra si, avant l'expiration du certificat, Synology ou d'autres forumeurs me répondent et savent m'aider ?

Sinon je me retrousserai les manches une nouvelle fois...

 

Lien vers le commentaire
Partager sur d’autres sites

Le renouvellement fonctionne à 100%. Ce qui ne fonctionne pas encore correctement, c'est le redémarrage de certains services pour valider le certificat.

On pourrait je pense pour le moment contourner le soucis en redémarrant directement le NAS mais je l'ai pas encore fait pour tester.

Lien vers le commentaire
Partager sur d’autres sites

Ah ok... Ca me tente de plus en plus et je parcours ton topic  mais je ne pige pas bien tes prérequis :

- pour l' entrée CNAME avec "*.ndd.tld" chez son provider (je suis chez OVH aussi), tu crois que tu pourrais mettre un printscreen  ? 😏

- pour la configuration du serveur DNS sur NAS (ou ailleurs), je comprends pas non plus ? Dans mon routeur j'utilise les DNS de cloudflare?

Bref c'est un peu hors sujet mais bon. Merci +++

Modifié par quenbo
Lien vers le commentaire
Partager sur d’autres sites

Citation

pour l' entrée CNAME avec "*.ndd.tld" chez son provider (je suis chez OVH aussi), tu crois que tu pourrais mettre un printscreen  ?

Pas trop compris ce que tu veux. Tu mets simplement une entrée comme indiqué et ça suffit.

Citation

pour la configuration du serveur DNS sur NAS (ou ailleurs), je comprends pas non plus ? Dans mon routeur j'utilise les DNS de cloudflare?

Désolé mais je tiens au maximum à la confidentialité de mes données et je passe par mon serveur DNS puis par les DNS de FDN. Cloudflare, non merci !

Pour ton serveur DNS, voir le tuto de Fenrir sur le forum 😉

 

Lien vers le commentaire
Partager sur d’autres sites

@ZeusBon, avant de me lancer "profondément" dans ton tuto (et surtout dans le tuto serveur DNS de Ferir), j'ai d'abord tenté la création d'un certificat wildcard via sslforfree, à importer manuellement dans DSM...

J'ai bien obtenu les certificats avec *.ndd.tld et ndd.tld, que j'ai importée correctement mais j'ai toujours une erreur dans Firefox... 😤

ndd.tld utilise un certificat de sécurité invalide. 
Le certificat n’est valide que pour les noms suivants : mailconfig.ovh.net, www.mailconfig.ovh.net 
Code d’erreur : SSL_ERROR_BAD_CERT_DOMAIN

Apparemment, même si les adresses créée dans le certificat sont affichées correctement (*.ndd.tld et ndd.tld) dans sslforfree et dsm, il  y a encore quelquechose qui foire, en lien avec le service mail ovh...

Avez vous une idée? Merci !

Lien vers le commentaire
Partager sur d’autres sites

Capture d'écran reçue. Autant dire que c'est du grand n'importe quoi et que là, tu as tout fait mais en mal. Tu as été jusqu'à ajouter des ports dans des entrées DNS.

J'ai compté, c'est simple, tu as 27 entrées dans ta zone DNS 🤣

Voici grossièrement une capture d'écran sur mon domaine principal :

R8tbfja.png

J'ai énormément de services mais de ton côté, tu ne devrais avoir que 5-6 entrées au total...

Tu peux tout virer afin de recommencer sauf les deux entrées NS fournies de base par OVH.

  1. Entrée NS
  2. Entrée NS
  3. ndd.tld > TTL 60 > IP fixe
  4. *.ndd.tld > TTL 60 > ndd.tld
  5. _acme-challenge.ndd.tld
  6. _acme-challenge.ndd.tld

Voilà les seules entrées qui devraient se trouver dans ta zone DNS. Et si tu n'utilises pas de certificat wildcard alors tu peux virer les lignes 5 et 6 qui sont ci-dessus.

Si au pire, tu utilises le webmail d'OVH, laisser les entrées concernant la partie mail.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Zeus,

merci pour la réponse. Je tiens quand même à préciser, suite à votre commentaire "... Tu as été jusqu'à ajouter des ports dans des entrées DNS..." que j'ai en effet utilisé les redirections proposées par OVH. Celles-ci me permettent facilement d'accéder au services de mon NAS en tapant, par ex.  audio.ndd.fr plutôt que ndd.fr:46569 comme adresse, et c'est plus facile à retenir que les ports. Mais ces redirections se rajoutent automatiquement dans la zone DNS également, ce qui en effet surcharge un peu.

Enfin bref... Puisque en effet ma zone DNS était un peu chargée, j'ai remis de l'ordre, sur vos conseils, et j'ai pu faire 2 choses :

1. réussir à créer un nouveau certificat Let's Encrypt à partir du Synology, ce qui ne fonctionnait pas avant, et qui m'a permis de récupérer le fameux "renew.json" manquant

/usr/syno/etc/certificate/_archive/ymzCAP/renew.json

Cependant, j'ai toujours une erreur dans Firefox, qui n'est plus "SSL_ERROR_BAD_CERT_DOMAIN" (Le certificat n’est valide que pour les noms suivants : mailconfig.ovh.net, www.mailconfig.ovh.net) mais est devenue  "SEC_ERROR_UNKNOWN_ISSUER"(Le certificat n’est pas sûr car le certificat de l’autorité l’ayant délivré est inconnu.)

2. J'ai alors tenté d'utiliser à la place le certificat Wildcard (de SSL for Free), qui lui aussi fonctionne de la même façon avec "SEC_ERROR_UNKNOWN_ISSUER" dans certains cas

image.thumb.png.d79b9ad8b9ab70fd61da43f84b08ff39.png

Ce qui m'étonne, c'est que c'est le même message que pour les certificats autosignés ! ?  Ce qui m'étonne encore plus, c'est que j'ai ce message pour une connexion vers le DSM ou PhotoStation mais que les autres connexions https vers AudioStation, NoteStation, ... fonctionnent sans problèmes !

=> Donc les connexions à nas.ndd.fr:5001 (DSM) ou nas.ndd.fr:443 (photostation) sont KO, mais les autres connexions à nas.ndd.fr:8801 (AudioStation) ou nas.ndd.fr:9351 (NoteStation) fonctionnent ! Seul le port diffère ! ? ? !

J'en viens à me demander si le NAS ne se mélange pas dans ses certificats et présenterait soit le vieux certificat auto-signé (installé par défaut) pour la connexion DSM ou un certificat "vide" comme sur le printscreen. De plus, quand je clique sur afficher le certificat, je n'ai rien qui s'ouvre.

 

 

Modifié par quenbo
Lien vers le commentaire
Partager sur d’autres sites

BINGO !
J'étais persuadé que le Syno déconnait !
J'ai finalement remplacé en SSH les "vieux" certificats qui se trouvaient dans
/usr/syno/etc/certificate/system/default

et que je soupçonnais d'être mal utilisés, par ceux que je venais d'importer et qui se trouvaient dans

/usr/syno/etc/certificate/_archive/

Un reboot du NAS et ça refonctionne enfin !!! Alleluia ! 😀

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...
Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.