Jeff777 Posté(e) le 31 mai 2020 Posté(e) le 31 mai 2020 (modifié) @oracle7 @bruno78 @.Shad. Que pensez-vous de ceci :https://vdr.one/how-to-create-a-lets-encrypt-wildcard-certificate-on-a-synology-nas/ Edit : J'ai suivi le tuto et ça à l'air de fonctionner. J'ai mon certificat jusqu'au 29/8/20 😎👍 Je verrai demain s'il n'y a pas d'entourloupe. Modifié le 31 mai 2020 par Jeff777 0 Citer
.Shad. Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 Il n'y rien d'automatisé dans la méthode que tu as appliquée, c'est exactement la même chose qu'avec SSL for Free, sauf que tu passes par acme à la place. J'avais cru comprendre que ton but était d'automatiser l'ensemble. Le tutoriel ne propose aucunement une solution importer tes enregistrements TXT automatiquement dans ta zone DNS sur ton NAS, et là où @oracle7 propose un moyen d'importer automatiquement le certificat, le tutoriel dont tu as donné le lien se contente de l'importer par l'interface graphique. Ce que tu as toujours fait auparavant j'imagine. Je pense que je n'ai rien compris à ce que tu souhaitais du coup. 0 Citer
bruno78 Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 (modifié) La solution d' @oracle7 est automatisée de bout en bout (et fait même le nettoyage de ta zone DNS en fin de procédure, fait l'import du certificat dans DSM , .... ). So what else ? Par contre, en relisant l'utilisation de l'option --force, il est noté que cela permet de renouveler les certificats immediatement (et donc avant le terme). Je vais donc positionner la tache periodique de renouvellement en exécution mensuelle ( puisque c'est tout les mois ou tout les 3 mois ....), avec --force. --force, -f Used to force to install or force to renew a cert immediately. Alors je viens de faire le test de renouvellement avec --force : la création est bien lancée mais l'import de fonctionne pas: deploy error : [Mon Jun 1 08:19:13 CEST 2020] Getting certificates in Synology DSM /usr/local/share/acme.sh/deploy/synology_dsm.sh: line 113: SYNO_Create: parameter null or not set [Mon Jun 1 08:19:13 CEST 2020] Deploy error Tâche : Renew Certif LE WildCard Heure de début : Mon, 01 Jun 2020 08:19:01 GMT Heure d’arrêt : Mon, 01 Jun 2020 08:19:13 GMT État actuel : 1 (Interrompu) Sortie standard/erreur : [Mon Jun 1 08:19:01 CEST 2020] ===Starting cron=== [Mon Jun 1 08:19:01 CEST 2020] Installing from online archive. [Mon Jun 1 08:19:01 CEST 2020] Downloading https://github.com/acmesh-official/acme.sh/archive/master.tar.gz [Mon Jun 1 08:19:02 CEST 2020] Extracting master.tar.gz [Mon Jun 1 08:19:02 CEST 2020] Installing to /usr/local/share/acme.sh/ [Mon Jun 1 08:19:02 CEST 2020] Installed to /usr/local/share/acme.sh//acme.sh [Mon Jun 1 08:19:02 CEST 2020] Good, bash is found, so change the shebang to use bash as preferred. [Mon Jun 1 08:19:04 CEST 2020] OK [Mon Jun 1 08:19:04 CEST 2020] Install success! [Mon Jun 1 08:19:04 CEST 2020] Upgrade success! [Mon Jun 1 08:19:04 CEST 2020] Auto upgraded to: 2.8.6 [Mon Jun 1 08:19:04 CEST 2020] Renew: 'xxxxx.eu' [Mon Jun 1 08:19:05 CEST 2020] Multi domain='DNS:xxxxx.eu,DNS:*.xxxxx.eu' [Mon Jun 1 08:19:05 CEST 2020] Getting domain auth token for each domain [Mon Jun 1 08:19:09 CEST 2020] Getting webroot for domain='xxxxx.eu' [Mon Jun 1 08:19:09 CEST 2020] Getting webroot for domain='*.xxxxx.eu' [Mon Jun 1 08:19:09 CEST 2020] xxxxx.eu is already verified, skip dns-01. [Mon Jun 1 08:19:09 CEST 2020] *.xxxxx.eu is already verified, skip dns-01. [Mon Jun 1 08:19:09 CEST 2020] Verify finished, start to sign. [Mon Jun 1 08:19:09 CEST 2020] Lets finalize the order, Le_OrderFinalize: https://acme-v02.api.letsencrypt.org/acme/finalize/87515198/xxxxxxxxxxxxxxx [Mon Jun 1 08:19:11 CEST 2020] Download cert, Le_LinkCert: https://acme-v02.api.letsencrypt.org/acme/cert/xxxxxxxxxxxxxxxxx [Mon Jun 1 08:19:11 CEST 2020] Cert success. -----BEGIN CERTIFICATE----- MIIGYzCCBUugAwIBAgISBO57EPc9vBLFBmBAJwtzP9M/MA0GCSqGSIb3DQEBCwUA MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0yMDA2MDEwNTE5MTBaFw0y MDA4MzAwNTE5MTBaMBgxFjAUBgNVBAMTDWxlc21vbmdldHMuZXUwggIiMA0GCSqG ..... FeEGXB6uxNy+bT7eMVPc6uwf/sFLsuRNoGyE5WraKHOlx3Ohx9VyL2uMEEwZOOq8 PWVPcGomXQ== -----END CERTIFICATE----- [Mon Jun 1 08:19:11 CEST 2020] Your cert is in /volume1/Certs/xxxxx.eu/xxxxx.eu.cer [Mon Jun 1 08:19:11 CEST 2020] Your cert key is in /volume1/Certs/xxxxx.eu/xxxxx.eu.key [Mon Jun 1 08:19:11 CEST 2020] The intermediate CA cert is in /volume1/Certs/xxxxx.eu/ca.cer [Mon Jun 1 08:19:11 CEST 2020] And the full chain certs is there: /volume1/Certs/xxxxx.eu/fullchain.cer [Mon Jun 1 08:19:12 CEST 2020] Logging into localhost:5000 [Mon Jun 1 08:19:13 CEST 2020] Getting certificates in Synology DSM /usr/local/share/acme.sh/deploy/synology_dsm.sh: line 113: SYNO_Create: parameter null or not set [Mon Jun 1 08:19:13 CEST 2020] Deploy error. [Mon Jun 1 08:19:13 CEST 2020] Error renew xxxxx.eu. [Mon Jun 1 08:19:13 CEST 2020] ===End cron=== Modifié le 1 juin 2020 par bruno78 0 Citer
Jeff777 Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 (modifié) Il y a 1 heure, .Shad. a dit : Je pense que je n'ai rien compris à ce que tu souhaitais du coup. Et moi je n'avais rien compris 👎 Désolé 😒 J'ai cru comprendre que SSL for free, méthode décrite par @unPixel n'était plus gratuite. C'est pour cela que je cherchais une alternative. L'automatisme du renouvellement était secondaire dans ma recherche puisque avec SSLforfree je renouvelait déjà manuellement tous les 3 mois. Je reste connecté au lien que j'ai utilisé puisque l'auteur parle d'un éventuel tuto pour automatiser le renouvellement. Modifié le 1 juin 2020 par Jeff777 0 Citer
Jeff777 Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 (modifié) Le 30/05/2020 à 10:35, oracle7 a dit : Malheureusement, ce service n’étant plus gratuit depuis le 18 mai 2020, il convenait alors pour moi de m’orienter sur un autre moyen pour obtenir un certificat « wilcard » LE et gratuit de surcroît. C'était pourtant clair !😉 Modifié le 1 juin 2020 par Jeff777 0 Citer
_DR64_ Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 Bonjour @oracle7, Excellent tutoriel que j'essayerai de tester dans la semaine. Merci beaucoup à toi 🙂 0 Citer
oracle7 Posté(e) le 1 juin 2020 Auteur Posté(e) le 1 juin 2020 @bruno78 Bonjour, Il y a 3 heures, bruno78 a dit : mais l'import de fonctionne pas: deploy error : [Mon Jun 1 08:19:13 CEST 2020] Getting certificates in Synology DSM /usr/local/share/acme.sh/deploy/synology_dsm.sh: line 113: SYNO_Create: parameter null or not set [Mon Jun 1 08:19:13 CEST 2020] Deploy error As-tu essayé en exportant en préalable à la commande de renouvellement, les variables d'environnement : SYNO_Create=1 et SYNO_Certificate="Nom_du_Certificat" ? Cordialement oracle7😉 0 Citer
bruno78 Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 Non, je n'ai pas exporté ces variables, en particulier SYNO_Create qui semble manquer. Je ferais le test ce soir. 0 Citer
_DR64_ Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 @oracle7, Je suis à la partie 3.1 du tuto sur api.ovh.com et j'ai un : Quand je clique sur "Créer des clés" Une idée? 0 Citer
Jeff777 Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 @GrOoT64 Tu as bien utilisé ton ID et non ton email dans l'API? 0 Citer
_DR64_ Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 SI c'est le compte principal ovh et non pas le compte email, alors oui. 0 Citer
Jeff777 Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 (modifié) Le 30/05/2020 à 16:52, bruno78 a dit : ensuite, sur OVH, je n'ai réussi à créer les API Keys qu'avec mon identifiant OVH, mais pas avec mon login (email). J'ai aussi eu ce problème (entre autres) Modifié le 1 juin 2020 par Jeff777 0 Citer
bruno78 Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 (modifié) Il y a 2 heures, oracle7 a dit : As-tu essayé en exportant en préalable à la commande de renouvellement, les variables d'environnement : SYNO_Create=1 et SYNO_Certificate="Nom_du_Certificat" ? Bonjour @oracle7, j'ai fait des essais en spécifiant SYNO_Create=1 [et SYNO_Certificate="nom du certificat", mais a priori seul SYNO_Create est nécessaire], et le résultat est que le certificat est bien créé .... mais c'est un nouveau certificat qui est importé dans DSM, en plus de celui existant. Ce nouveau Certificat devient "default", mais ne porte aucun service. Je n'ai pas trouvé comment remplacer l'ancien certificat par le nouveau dans DSM. Et maintenant, puisque j'ai fait "trop" d'essais en peu de temps, .... mes tentatives sont bloquées 😭. ("Error creating new order :: too many certificates already issued for exact set of domains") (Duplicate Certificate limit of 5 per week) Donc je suppose que dans la semaine qui vient je ne pourrais plus faire de tests ..... Modifié le 1 juin 2020 par bruno78 0 Citer
Jeff777 Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 il y a 2 minutes, bruno78 a dit : (Duplicate Certificate limit of 5 per week) Let's encrypt ne permet que 5 renouvellements dans 5 jours consécutifs. Par contre je crois que la limite pour créer des certificats est plus élevées. Sinon avec la configuration tu ne peux pas appliquer ce nouveau certificat aux services ? 0 Citer
oracle7 Posté(e) le 1 juin 2020 Auteur Posté(e) le 1 juin 2020 @GrOoT64 Je te confirme ce que @Jeff777 vient de te dire, il faut se connecter avec l'Id Principal de ton compte OVH. Perso, je me connecte toujours avec lui, d'où je n'ai pas ce ce problème. Comme manifestement il y a une ambiguïté je vais amender le tutoriel pour bien préciser cela. Cordialement oracle7😉 0 Citer
PPJP Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 @bruno78 Pour éviter d'être bloqué par un nombre d'essais trop importants durant vos tests, sachez que acme.sh accepte l'option --staging 0 Citer
oracle7 Posté(e) le 1 juin 2020 Auteur Posté(e) le 1 juin 2020 @Jeff777 et @bruno78 La limite est de 50 certificats pour un domaine donné mais effectivement, on ne peux en dupliquer que 5 par semaine. Voir ici toutes les limitations de Let'sEncrypt. Cordialement oracle7😉 0 Citer
_DR64_ Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 @Jeff777 et @oracle7, Merci pour vos retours, j'ai bien réussi à passer avec mon ID OVH (et donc pas mon adresse mail) Maintenant j'ai un problème en déployant le certificat : 0 Citer
PPJP Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 @oracle7 L'option steging correspond à un serveur de test sans limitation. 0 Citer
oracle7 Posté(e) le 1 juin 2020 Auteur Posté(e) le 1 juin 2020 @PPJP +1, j'avais oublié celle là que nous avait donné de mémoire @Fenrir en son temps. Comme je ne l'ai pas encore testée, difficile d'en parler. @bruno78 il y a 19 minutes, bruno78 a dit : Je n'ai pas trouvé comment remplacer l'ancien certificat par le nouveau dans DSM. Du coup en conjonction de l'instruction "--staging" et en employant tout simplement la méthode "annule et remplace" du § 5.2.1 ? A voir ... Cordialement oracle7😉 0 Citer
bruno78 Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 @PPJP, merci pour l'info sur --staging. Néanmoins, je ne sais plus trop quoi tester pour avoir un renouvellement et non pas la création d'un nouveau certificat .... @Jeff777, oui, une fois le nouveau certificat créé, je peux basculer dessus l'ensemble des services, ... mais ça reste manuel. On cherchait ici une solution de renouvellement automatisée .... 0 Citer
oracle7 Posté(e) le 1 juin 2020 Auteur Posté(e) le 1 juin 2020 @GrOoT64 Tout affaire sent l'omission de l'export d'une variable d'environnement avant de lancer la commande de création du certtificat. Vérifies bien ... Cordialement oracle7😉 0 Citer
_DR64_ Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 (modifié) @oracle7, Merci. C'est bon ça fonctionne, cependant, impossible de me connecter en SSH via mon mot de passe admin. Il doit être trop compliqué ou je sais pas (présence de % & ou en core * (si quelqu'un a une idée) . J'ai du faire un autre compte pour passer... C'est ça qui faisait planter le déploiement . Edit : c'est bon j'ai changé de mot de passe et impec ! Merci Modifié le 1 juin 2020 par GrOoT64 0 Citer
Jeff777 Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 (modifié) @oracle7 Comme tu as vu je n'ai malheureusement pas pu utiliser ta méthode fullauto à cause de ma config qui ne fait pas appel aux DNS de OVH. J'ai pu, malgré tout, obtenir un nouveau certificat wildcard manuellement avec la méthode acme. Je souhaiterais pouvoir bénéficier du renouvellement automatique ( @bruno78 j'ai tendance a oublier ce côté sympa du présent tuto 🙄). J'ai donc essayé le §6 et voilà le message reçu : Le planificateur de tâches à terminé une tâche planifiée. Tâche : RenewCertif_W_LE Heure de début : Mon, 01 Jun 2020 14:50:02 GMT Heure d’arrêt : Mon, 01 Jun 2020 14:50:03 GMT État actuel : 0 (Normal) Sortie standard/erreur : [Mon Jun 1 14:50:02 CEST 2020] ===Starting cron=== [Mon Jun 1 14:50:03 CEST 2020] Already uptodate! [Mon Jun 1 14:50:03 CEST 2020] Upgrade success! [Mon Jun 1 14:50:03 CEST 2020] Auto upgraded to: 2.8.6 [Mon Jun 1 14:50:03 CEST 2020] Renew: '*.Mondomaine' [Mon Jun 1 14:50:03 CEST 2020] Skip, Next renewal time is: Thu Jul 30 20:28:33 UTC 2020 [Mon Jun 1 14:50:03 CEST 2020] Add '--force' to force to renew. [Mon Jun 1 14:50:03 CEST 2020] Skipped *.Mondomaine [Mon Jun 1 14:50:03 CEST 2020] Renew: 'Mondomaine' [Mon Jun 1 14:50:03 CEST 2020] Skip invalid cert for: Mondomaine [Mon Jun 1 14:50:03 CEST 2020] Skipped Mondomaine [Mon Jun 1 14:50:03 CEST 2020] ===End cron=== As-tu une piste à me donner ? Modifié le 1 juin 2020 par Jeff777 0 Citer
oracle7 Posté(e) le 1 juin 2020 Auteur Posté(e) le 1 juin 2020 @GrOoT64 Bon bah, tant mieux que ce ne soit que cela mais c'est tout de même bizarre tu en conviendras, qu'un MdP de session SSH impacte ainsi l'exécution d'un Shell script. Je ne vois pas le rapport entre les deux ????? Cordialement oracle7😉 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.