[Résolu] Renouvellement certificat let's encrypt

[nicotheb]

Bonjour,

J'essaie de renouveler mon certificat let's encrypt qui arrive bientôt à expiration. Le port 80 est bien ouvert sur le routeur, autorisé sur le pare feu, mais le certificat ne veut pas se renouveler. Est-ce que vous sauriez pourquoi? J'ai lu qu'il fallait aussi ouvrir le port 80 sur le NAS, mais je ne comprends pas ce que ça veut dire...

Message: "Echec de l'opération. Veuillez vous reconnecter à DSM et réessayer."

PS: je suis un gros débutant donc s'il y a quelque chose de trivial à vérifier, il vaut mieux me le dire 🙂

Merci d'avance.

Nico

Modifié le 4 janvier 2020 par nicotheb

[Varx]

Hello @nicotheb

Tu as quel modèle de NAS ? Sous quel version de DSM est-il ? 

La dernière update de DSM règle le problème de renouvellement de certificat.

Modifié le 18 décembre 2019 par Varx

[nicotheb]

Hello,

DS216play et j'ai la dernière version DSM (celle que tu montres)

[pluton212+]

Bonjour

le certificat est déclaré pour des domaines différents ?

mondomaine.tld, sous.mondomaine.tld... 

c'est difficile de deviner vu que vous n'avez pas fait de présentation pour expliquer 

votre configuration.

 

[nicotheb]

Bonjour,

Je n'y connais rien mais je vois que dans la configuration il y a services et certificat et dans services j'ai 3 lignes: FTPS, paramètres système par défaut, filestation 7001. Ces 3 services sont liés à un certificat .ovh (le même pour les trois).

Est-ce de ça dont vous parliez?

 

 

[nicotheb]

Bonjour,

J'ai re-essayé et toujours le même message... une idée?

[DaffY]

Bonjour,

Les ports 80 et 443 sont ils ouverts et rediriges vers le Nas depuis le modem/routeur/box a défaut d’être autorisé en pare-feu du Nas ?


Envoyé de mon iPad en utilisant Tapatalk

[nicotheb]

@daffy les ports 80 et 443 sont bien ouverts sur le routeur (protocole TCP) et sont autorisés sur le parefeu du NAS.

J'ai lu que Let's Encrypt préférait utiliser "ipv6" mais chez moi ipv6 est désactivé, est-ce que ça pourrait venir de là?

Modifié le 28 décembre 2019 par nicotheb

[DaffY]

Bonjour,
Ok dans ce cas cela ressemble à la problématique rencontrée avant la dernière maj dsm.
Le mieux est donc, à mon avis, de tenter la suppression / recréation des certificats.
Par la suite si c’est ok le renouvellement le sera aussi.



Envoyé de mon iPad en utilisant Tapatalk

[nicotheb]

@daffy Je vais passer pour un boulet mais comment supprimer un certificat? L'option est grisée, je dois je suppose d'abord ajouter un nouveau certificat? mais quel type? J'ai essayé un Let's Encrypt mais je reçois un failure message.

[DaffY]

Bonjour,

Oui c’est normal c’est le certificat appliqué par défaut

Il faut remettre le certificat synology par défaut
Ensuite l’option « supprimer » sera dispo pour le certificat.
Et ensuite En recréer un (même nom de domaine et un email).



Envoyé de mon iPad en utilisant Tapatalk

[nicotheb]

@daffy Je n'arrive pas à remettre le certificat synology par défaut. Est-ce qu'il y a un tuto quelque part stp?

 

(je précise que j'ai essayé ça:https://www.synology.com/en-uk/knowledgebase/DSM/tutorial/Network/How_to_enable_HTTPS_and_create_a_certificate_signing_request_on_your_Synology_NAS mais je reçois "invalid key")

Modifié le 29 décembre 2019 par nicotheb

[DaffY]

Bonjour,

Le certificat synology.com n’est plus dispo ? Supprimé ?


Envoyé de mon iPad en utilisant Tapatalk

[nicotheb]

Oui je pense dès le début 😳

[DaffY]

Bonjour,

Ok autant recréer un autre certificat, sur un autre ndd, le rendre par défaut, pour pouvoir supprimer l’ancien afin de le recréer , le remettre par défaut et supprimer le 1er récréé juste pour cette occasion.

1/ disposer d’un ndd gendre via dns synology monas.synology.me plat exemple
2/ sur ce ndd créer un certificat let’sencrypt avec une adresse mail distincte
3/ si tout ok le rendre par défaut
4/ recréer un nouveau certificat letsencrypt sur le ndd d’origine avec la bonne adresse mail
5/ si ok le rendre par défaut
6/ supprimer le premier certificat et mettre fin au ndd crée (synology.me) pour l’occasion.




Envoyé de mon iPad en utilisant Tapatalk

[nicotheb]

Bonjour 🙂 

J'ai fait mais il ne veut pas recréer iritcity.ovh, même message qu'avant "Echec de la connexion à Let's Encrypt. Assurez-vous que le nom de domaine est valide"

J'ai une question très bête mais est-ce que je dois mettre www.iritcity.ovh ou seulement iritcity.ovh comme c'était jusqu'à maintenant?

J'ai aussi trouvé sur le net ce commentaire de quelqu'un qui avait le même message d'erreur que moi, si ça peut vous aider à trouver une piste:

Citation

J'avais une particularité sur mon NAS, celle d'héberger un site web ( wordpress/PHP et NGINX) avec un fichier de configuration manuel. Ce dernier gérant notamment les pages d'erreur.
Or, lors de la création d'un certificat via l'ihm du SYNOLOGY avec LETSENCRYPT, un fichier est déposé sur le dossier web pour y être consulté et ainsi vérifier que le NDD est atteignable. Forcément cette étape ne fonctionnait pas car cette page n'était pas référencée... (supplantée par la gestion des erreurs de mon site).
J'ai désactivé momentanément mon serveur web et j'ai pu créer sans pb le certificat letsenrypt avec mon NAS Synology ET le domaine créé chez OVH (a_ttestant par là même que c'est bien possible de le faire même si aucun service d’hébergement OVH n'est pris - contrairement à ce que me disait l'assistance OVH_)

 

Modifié le 31 décembre 2019 par nicotheb

[DaffY]

Bonjour et meilleurs vœux par la même occasion !
Sauf erreur un ndd .ovh permet la création via ovh du certificat.
Tu peux passer par ce service et importer les éléments créés sur le Nas peut être que cela fonctionnera.

Mais j’insiste, si tu crées un ndd via synology, et que tu tentes la création d’un certificat , et si, les ports sont correctement routés, cela doit fonctionner.

Bon courage



Envoyé de mon iPad en utilisant Tapatalk

[DaffY]

Bonjour,

 

sauf avis contraire vu par MP avec @nicotheb solution trouvée avec

• mise en place d'un dyndns OVH en lien avec le NDD ovh
• suppression zone A sur gestion DNS OVH (puisqu'attribué dynamiquement)
• certificat généré
• quelques points abordés hors sujet

 

 

[nicotheb]

Bonjour,

Oui problème réglé et plein de nouvelles choses apprises. Un grand merci.

[flo0462]

Bonjour,

Je me permet de sortir ce sujet,

Le 03/01/2020 à 21:59, DaffY a dit :

Bonjour,

 

sauf avis contraire vu par MP avec @nicotheb solution trouvée avec

• mise en place d'un dyndns OVH en lien avec le NDD ovh
• suppression zone A sur gestion DNS OVH (puisqu'attribué dynamiquement)
• certificat généré
• quelques points abordés hors sujet

 

 

Serais t'il possible d'avoir un mini détail de la manip ? j'ai aussi un nom de domaine ovh et des soucis pour renouveler mon certificat avec let's encrypt

 

Merci beaucoup par avance

[Mic13710]

Si dans le parefeu vous avez restreint le port 80 aux deux adresses IP qui circulaient sur ce forum, ne cherchez pas plus loin. Ces adresses ne sont plus valables. Supprimez une des règles et modifiez l'autre pour ouvrir le 80 à tous. Faite le renouvellement de votre certificat et une fois que c'est fait, vous désactivez le port 80 dans le parefeu

[flo0462]

Je vais tenté mais il me semble que le soucis de renouvellement était déjà présent avant que je mette en place le parfeu,

Une méthode pour forcé le renouvellement manuellement sans passé par ssh ?

 

[EDIT]

Le renouvellement avec le port 80 d'ouvert vers tout les IP me donne cette info la en SSH

Citation

2020-03-26T22:49:32+01:00 FLO_NAS syno-letsencrypt: syno-letsencrypt.cpp:238 File not exist. [Permission denied][/usr/syno/etc/certificate/_archive/INFO]
 

 

Modifié le 26 mars 2020 par flo0462

[Mic13710]

Il y a eu quelques impossibilités de renouvellement de certificat avec une des dernières versions de DSM. Pas d'autre option dans ce cas que d'en refaire un nouveau.

[flo0462]

Ce qui est cité plus haut avec un dyndns ovh n'est pas une solution ?

Parce que il me semble let's encrypt à des quota par email non ? au bou d'un moment je devrait changer d'adresse mail pour avoir un nouveau certificat

 

[DaffY]

Bonjour,

Il y a 7 heures, flo0462 a dit :

Ce qui est cité plus haut avec un dyndns ovh n'est pas une solution ?

Parce que il me semble let's encrypt à des quota par email non ? au bou d'un moment je devrait changer d'adresse mail pour avoir un nouveau certificat

 

Oui la gratuité du service LE implique :

• un adresse mail par certificat
• une durée de 3 mois.

Maintenant au delà du fait qu'un certificat puisse être associé à un wildcard (pas encore facile à mettre en place sur nos NAS), le certificat peut être lié à un domaine et DES sous-domaines. Dans le cadre d'un domaine hébergé par synology.me, les sous domaines sont inclus. IE en les spécifiant lors de la création du certificat en lien avec le NDD principal, il suffit d'y  faire référence par la suite.

En clair en exemple :  mon NDD est : NDD.synology.me

Je souhaite que

1. fileStation soit accessible sur file.NDDsynology.me
2. DSM via nas.NDD.sysnology.me
3. le site web 1 via NDD.synology.me
4. le site web 2 via blog.NDD.sysnology.me

Lors de la création du certificat, je précise

1. le NDD : NDD.sysnology.me
2. une adresse mail jamais utilisée pour ce service (LE)
3. les sous domaine séparés par une ";" -  nas.NDD.sysnology.me ; NDD.synology.me ;  blog.NDD.sysnology.me ;  ftp.NDDsynology.me

Ensuite je configure ce certificat selon les services concernés
 

Citation

 

A noter dans cet exemple l'ajout d'un autre sous.domaine non prévu mais si jamais je veux l'utiliser je pourrais... Bref à vous d'imaginer les sous domaines.

L'ajout d'un autre sous domaine peut se faire après, mais dans ce cas :

• on le fait pour le sous domaine seul et du coup avec une email non utilisée chez LE
  OU
• on supprime le certificat actuel et on le  recréer en incluant le sous domaine ajouté

D'où l’importante de garder un certificat genre synology.com pour basculer sur ce dernier le temps de supprimer le certificat par défaut.

 

Sous OVH ou autre registar, il faut créer les sous domaines en amont côté DNS (les redirections cname) non requis ici pour un NDD chez synology.me. [Si demain synology monnaye son service.. ou le stoppe.. ou change les extensions... bref dépendance à considérer pour chacun]