Aller au contenu

[Résolu sans trop savoir] Renouvellement certificat Let's Encrypt


Messages recommandés

Hello !

Est-ce que depuis la mise à jour de DSM, vous avez rencontré des problèmes de renouvellement pour vos certificats SSL ?
Chez moi cela ne fonctionne plus. La configuration n'a pas été touchée que ça soit sur ma box, le reverse proxy ou autre depuis que j'ai généré mon certificat avec des noms alternatifs.
J'ai remarqué que pour valider le certificat, Let's Encrypt se rend sur le sous domaine dédié à AudioStation. Or celui-ci était redirigé vers le port de l'application, donc cela n'était pas près de fonctionner...
Il a, bizarrement, zappé le premier nom, celui qui fonctionnerait.
Question annexe : est-ce que les adresses IP des serveurs Let's Encrypt ont changé ? Ma configuration est restrictive et je n'avais autorisé que le 64.78.149.164 et le 66.133.109.36.
J'ai activé les logs NGINX en access pour valider tout ça, mais comme j'ai dépassé mon quota de validation en échec (5), je dois attendre 1 semaine...

Modifié par BruceFeuillette
Titre
Lien vers le commentaire
Partager sur d’autres sites

Bon, finalement c'est passé.
J'ai autorisé toutes les IP sur le port 80 à aller sur le NAS, sur la Freebox. Idem sur le parefeu.
Redirection de mon sous-domaine AudioStation vers localhost en port 80 et le certificat est passé.
Le fichier well-known n'est pas servi par NGINX, je vais donc essayer de trouver dans les logs ce qui s'est passé, si des logs existent.
Vivement que Synology s'appuie sur certbot avec la possibilité de faire du challenge-dns, c'est quand même rudement plus simple et sans devoir tout ouvrir.

EDIT : Finalement, si, les vérifications sont servies par NGINX.
Par contre il y a pas mal d'adresses IP concernées.
Au total il y a eu 9 vérifications par 4 adresses IP différentes, soit 1 vérification par sous domaine.
Les adresses IP externes :
18.196.96.172, 52.15.254.228, 64.78.149.164, 34.222.229.130.
Ce qui veut donc dire que si on veut valider correctement un certificat, il faut ôter toutes les restrictions sur le port 80, temporairement.
Conclusion : je vais utiliser une distribution Debian pour faire du challenge-dns et j'irai mettre le certificat à la main dans la configuration.

Modifié par BruceFeuillette
Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, Thierry94 a dit :

Oui les anciennes adresses IP de  Let's Encrypt ont changé depuis début janvier et il faut maintenant autoriser toutes les IPs sur le port 80 comme tu l'as fait

Oui, je viens d'éditer mon message avec un peu plus d'informations 🙂
C'est franchement pas top comme solution. Même si c'est temporaire !

Merci de la confirmation !

Modifié par BruceFeuillette
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.