nebelnic Posté(e) le 10 décembre 2020 Posté(e) le 10 décembre 2020 il y a 4 minutes, oracle7 a dit : @nebelnic Donc, oublies ma remarque précédente sur ce point, ce n'était pas une anomalie. Comme quoi on en apprend tous les jours ...😀 Du coup , penses tu qu'il est toujours indispensable que je refasse tout "proprement" ou je peux laisser le certificat tel quel avec xxx.domaine.com et *.xxx.domaine.com et que cette alerte email de non renouvellement n'aura plus lieu par la suite? Merci. Nebelnic 0 Citer
Jeff777 Posté(e) le 10 décembre 2020 Posté(e) le 10 décembre 2020 il y a une heure, oracle7 a dit : Merci pour l'info et le lien Let'sEncrypt. Effectivement, la nouveauté est que les certificats auront maintenant une autorité d'origine dite "R3" (qui représente une unique paire de clefs publique/privée elle même certifiée par une racine “TrustID X3 Root”). Cette autorité intermédiaire "R3" va progressivement remplacer celle nommée actuellement "X3". J'espère que ce changement ne va pas perturber le renouvellement automatique ! Mon certificat renouvelé automatiquement le 1er décembre est toujours X3. @.Shad. qu'en penses-tu ? 0 Citer
.Shad. Posté(e) le 10 décembre 2020 Posté(e) le 10 décembre 2020 (modifié) Honnêtement pas la moindre idée, l'autorité de certification qui délivre le certificat n'entre pas dans la ronde d'acme normalement (du script j'entends). Modifié le 10 décembre 2020 par .Shad. 0 Citer
nebelnic Posté(e) le 11 décembre 2020 Posté(e) le 11 décembre 2020 (modifié) Il y a 19 heures, oracle7 a dit : Maintenant, à la vue de tout cela, si j'étais toi je reprendrai à zéro la création de ton certificat mais cette fois en indiquant simplement les domaines "*.mondomaine.com" et "mondomaine.com" tel que c'est expliqué dans le présent TUTO pour rester au premier niveau de domaine. Attention, penses à bien refaire tes clés OVH. Tu verras que le renouvellement se passera alors sans encombres le moment venu. Bonjour, Je me suis finalement dit que j'allais refaire tout proprement comme @oracle7 me l'a conseillé. Mais je n'arrive pas à générer de nouvelles clés OVH en indiquant juste mon domaine.com. OVH me renvoi une erreur 502 lors de la génération de la clé. Pour être précis, si j'indique : GET=/domain/zone/mondomaine.com/* &POST=/domain/zone/mondomaine.com/* &PUT=/domain/zone/mondomaine.com/* &GET=/domain/zone/mondomaine.com &DELETE=/domain/zone/mondomaine.com/record/* j'obtiens une erreur 502 à la génération de la clé. Si j'indique : GET=/domain/zone/sousdomaine.mondomaine.com/* &POST=/domain/zone/sousdomaine.mondomaine.com/* &PUT=/domain/zone/sousdomaine.mondomaine.com/* &GET=/domain/zone/sousdomaine.mondomaine.com &DELETE=/domain/zone/sousdomaine.mondomaine.com/record/* j'obtiens bien la génération de la clé. C'est très probablement pour cette raison que j'avais créé un certificat pour un sous-domaine (je parle une nouvelle fois de sousdomaine car c'est comme ça que le nomme OVH dans mon interface de gestion) Pour bien clarifier les choses et tenter de pas trop vous faire perdre votre temps: j'ai donc un domaine chez ovh: mondomaine.com depuis des années pour héberger un site web et j'ai crée un Dynhost pour mon NAS , il y a déjà pas mal de temps aussi, qui pointe sur un sous domaine: sousdomaine.domaine.com , l'adresse de mon NAS donc. Donc me voila bloqué bien rapidement dans le processus de re-création du certificat. Je me demande à nouveau si un truc simple m'échappe encore une fois...🤪 et aussi si finalement il est nécessaire que je touche au certificat que j'ai déjà créé. Le certificat créé semble OK (finalement l'autorité R3 n'est pas une anomalie). Mais l'email d'avertissement d'OVH sera t'il généré tout les 2 mois malgré le renouvellement du certificat par le script, ou ce sera seulement pour cette 1ere fois (jusqu'à la date d'expiration de l'ancien certificat) à cause de l'ajout du *.sousdomaine.domaine.com qui n'existait pas . Merci une nouvelle fois pour vos conseils si précieux!!! Nebelnic Modifié le 11 décembre 2020 par nebelnic 0 Citer
oracle7 Posté(e) le 11 décembre 2020 Auteur Posté(e) le 11 décembre 2020 (modifié) @Jeff777 Bonjour, Pas d'inquiétude à avoir avec le changement d'autorité de certification récemment mis en place par Let'sEncrypt. Dans mon cas, le renouvellement de mon certificat à eut lieu hier et sans problème. effectivement maintenant cela affiche "R3" en lieu et place de "Let'sEncrypt Autority X3". Pour preuve : @nebelnic Bonjour, L'erreur 502 est un problème de communication avec les serveurs d'OVH. Toutefois, assures-toi bien de : te connecter à ton compte OVH avec ton ID de client et non pas ton @Mail. de veiller lors du C/C de l'URL https://api.ovh.com/createToken/?GET=/domain/zone/votre-domaine.tld/*&POST=/domain/zone/votre-domaine.tld/*&PUT=/domain/zone/votre-domaine.tld/*&GET=/domain/zone/votre-domaine.tld&DELETE=/domain/zone/votre-domaine.tld/record/* que tu ne prends pas avec ta sélection de caractères parasites invisibles (du style blanc, retour chariot, fin de ligne, ...). Passes par un éditeur de texte pour visualiser la chaine copiée et la vérifier. Lors de la création du DDNS chez OVH, il ne faut pas saisir de "sous-domaine" dans le second écran. Ainsi ton DDNS pointera sur "mondomaine.tld" et non pas "sousdomaine.mondomaine.tld". Ce qui facilite ensuite l'usage (chaine plus courte !). Cordialement oracle7😉 Modifié le 11 décembre 2020 par oracle7 0 Citer
Jeff777 Posté(e) le 11 décembre 2020 Posté(e) le 11 décembre 2020 il y a 8 minutes, oracle7 a dit : Pas d'inquiétude à avoir avec le changement d'autorité de certification récemment mis en place par Let'sEncrypt. Ok merci🙂 0 Citer
nebelnic Posté(e) le 11 décembre 2020 Posté(e) le 11 décembre 2020 il y a une heure, oracle7 a dit : L'erreur 502 est un problème de communication avec les serveurs d'OVH. Toutefois, assures-toi bien de : te connecter à ton compte OVH avec ton ID de client et non pas ton @Mail. de veiller lors du C/C de l'URL https://api.ovh.com/createToken/?GET=/domain/zone/votre-domaine.tld/*&POST=/domain/zone/votre-domaine.tld/*&PUT=/domain/zone/votre-domaine.tld/*&GET=/domain/zone/votre-domaine.tld&DELETE=/domain/zone/votre-domaine.tld/record/* que tu ne prends pas avec ta sélection de caractères parasites invisibles (du styles blanc, retour chariot, fin de ligne, ...). Passes par un éditeur de texte pour visualiser la chaine copiée et la vérifier. Lors de la création du DDNS chez OVH, il ne faut pas saisir de "sous-domaine" dans le second écran. Ainsi ton DDNS pointera sur "mondomaine.tld" et non pas "sousdomaine.mondomaine.tld". Ce qui facilite ensuite l'usage (chaine plus courte !). D'accord. Bon maintenant faut que je me décide à tout reprendre, DDNS , certificat. Ou... tout laisser tel quel . Merci beaucoup en tout les cas! 0 Citer
oracle7 Posté(e) le 12 décembre 2020 Auteur Posté(e) le 12 décembre 2020 @nebelnic Bonjour, C'est toi qui vois, si j'étais toi je reprendrais tout pour repartir sur des bases saines et ne pas trainer une situation bancale. Cordialement oracle7😉 0 Citer
nebelnic Posté(e) le 12 décembre 2020 Posté(e) le 12 décembre 2020 il y a 54 minutes, oracle7 a dit : @nebelnic Bonjour, C'est toi qui vois, si j'étais toi je reprendrais tout pour repartir sur des bases saines et ne pas trainer une situation bancale. Cordialement oracle7😉 C'est sur. Mais y a quand même quelque-chose que je ne comprends pas dans ce que tu me dis. Désolé si je fais du hors sujet ici!! Tu me dis de faire pointer mon Dynhost sur "mondomaine.tld" et non pas "sousdomaine.mondomaine.tld". Je ne l'ai pas fait à la base car OVH est explicite la dessus. Il disent bien à la page de création du DynHost: "DynHOST vous permet de faire pointer un sous-domaine vers une adresse IP dynamique qui sera mise à jour dans votre zone DNS à chaque changement de celle-ci." Bref d’où mon questionnement: si j'ai plusieurs NAS sur plusieurs IP dynamiques différentes (ce qui pourrait très bien arriver, ce domaine étant partagé par plusieurs utilisateurs) et que je veux recréer d'autres dynhost pour ces autres NAS , il faudra d'office qu'ils pointent sur un sous domaine. ça c'est évident... Mais, est ce que le fait que le 1er Dynhost créé, pointe lui sur "mondomaine.tld" ne posera pas un souci vis à vis des autres Dynhost? J'en viens donc à me dire si je ne devrais pas laisser mon Dynhost comme il est, et tout simplement recréer le certificat en en enlevant *.sousdomaine.mondomaine.com lors de la création. Bien cordialement. Nebelnic 0 Citer
oracle7 Posté(e) le 12 décembre 2020 Auteur Posté(e) le 12 décembre 2020 @nebelnic Bonjour, il y a 15 minutes, nebelnic a dit : si j'ai plusieurs NAS sur plusieurs IP dynamiques différentes (ce qui pourrait très bien arriver, ce domaine étant partagé par plusieurs utilisateurs) et que je veux recréer d'autres dynhost pour ces autres NAS , il faudra d'office qu'ils pointent sur un sous domaine. ça c'est évident... Ah mais tu n'avais pas tout dit ...🤪 Je ne parlais précédemment que d'UN DynHOST pour UNE SEULE @IP dynamique ! Effectivement dans ce cas tu as raison, si et seulement si chaque NAS a sa propre @IP dynamique, il te faut bien créer un DynHOST pointant sur un domaine du type "nasX.mondomaine.tld". Ensuite, tu pourras créer un certificat LE : soit global : Certificat G pour pour "mondomaine.tld", "*.mondomaine.tld", "*.nasX.mondomaine.tld", "*.nasY.mondomaine.tld", etc... soit spécifique et dédié pour chacun des domaines X, Y, ... : Certificat X pour "nasX.mondomaine.tld", "*.nasX.mondomaine.tld" Certificat Y pour "nasY.mondomaine.tld", "*.nasY.mondomaine.tld" etc ... il y a 32 minutes, nebelnic a dit : Je ne l'ai pas fait à la base car OVH est explicite la dessus. Il disent bien à la page de création du DynHost: "DynHOST vous permet de faire pointer un sous-domaine vers une adresse IP dynamique qui sera mise à jour dans votre zone DNS à chaque changement de celle-ci." stricto sensus OUI, mais en pratique (voir les écrans ici de l'aide en ligne OVH) il en est tout autre. Dans le premier écran de l'étape 1, lorsque l'on crée l'identifiant de gestion des DynHOST, il faut entrer obligatoirement un "subdomain" comme ils disent. Et c'est là qu'un bon nombre font la confusion. Par contre dans le second écran (à l'étape 2), le champ "subdomain" lui, n'est pas obligatoire. On le laisse vide et c'est là toute l'astuce pour obtenir au final un un enregistrement DynHOST (ou DynDNS) sur un domaine du type "mondomaine.tld" et non pas sur "sousdomaine.mondomaine.tld". Tu me suis ? Cordialement oracle7😉 0 Citer
nebelnic Posté(e) le 12 décembre 2020 Posté(e) le 12 décembre 2020 (modifié) il y a une heure, oracle7 a dit : Effectivement dans ce cas tu as raison, si et seulement si chaque NAS a sa propre @IP dynamique, il te faut bien créer un DynHOST pointant sur un domaine du type "nasX.mondomaine.tld". Ensuite, tu pourras créer un certificat LE : soit global : Certificat G pour pour "mondomaine.tld", "*.mondomaine.tld", "*.nasX.mondomaine.tld", "*.nasY.mondomaine.tld", etc... soit spécifique et dédié pour chacun des domaines X, Y, ... : Certificat X pour "nasX.mondomaine.tld", "*.nasX.mondomaine.tld" Certificat Y pour "nasY.mondomaine.tld", "*.nasY.mondomaine.tld" etc ... Peux tu m'expliquer pourquoi il faut mettre *.nasX.mondomaine.tld ? pour que ça prenne en compte d'eventuels "sous sous domaine"? A quoi correspond cette * ? Citation stricto sensus OUI, mais en pratique (voir les écrans ici de l'aide en ligne OVH) il en est tout autre. Dans le premier écran de l'étape 1, lorsque l'on crée l'identifiant de gestion des DynHOST, il faut entrer obligatoirement un "subdomain" comme ils disent. Et c'est là qu'un bon nombre font la confusion. Par contre dans le second écran (à l'étape 2), le champ "subdomain" lui, n'est pas obligatoire. On le laisse vide et c'est là toute l'astuce pour obtenir au final un un enregistrement DynHOST (ou DynDNS) sur un domaine du type "mondomaine.tld" et non pas sur "sousdomaine.mondomaine.tld". Tu me suis ? Cordialement oracle7😉 Oui je pense avoir suivi. 😊 Merci une nouvelle fois! Et si j'ai bien suivi (à voir...) , dans mon cas, arrivé à l'étape 2, je ne peux pas d’après OVH faire pointer mon DynDNS vers mondomaine.tld car j'ai déjà un enregistrement DNS (type A) dans mes zones DNS, mondomaine.tld qui pointe vers l'IP du serveur chez OVH qui héberge mon site web "mondomaine.tld". Désolé pour les infos parcellaires que je donne petit à petit!! Nebelnic Modifié le 12 décembre 2020 par nebelnic 0 Citer
oracle7 Posté(e) le 12 décembre 2020 Auteur Posté(e) le 12 décembre 2020 @nebelnic Bonjour, il y a 33 minutes, nebelnic a dit : Peux tu m'expliquer pourquoi il faut mettre *.nasX.mondomaine.tld ? pour que ça prenne en compte d'eventuels "sous sous domaine"? OUI, car si j'ai bien compris, tu utilises déjà mondomaine.tld pour ton site Web. Donc maintenant, il te faut par exemple pour le NAS1 un domaine dédié du type nas1.mondomaine.tld et l'* te servira à gérer tous tes domaines de niveaux inférieurs tels que par exemple : music.nas1.mondomaine.tld, video.nas1.mondomaine.tld, ebooks.nas1.mondomaine.tld, surv.nas1.mondomaine.tld, etc ... Cordialement oracle7😉 0 Citer
oracle7 Posté(e) le 12 décembre 2020 Auteur Posté(e) le 12 décembre 2020 @nebelnic Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉 0 Citer
kerod Posté(e) le 27 décembre 2020 Posté(e) le 27 décembre 2020 @oracle7 et @bruno78, nouveau renouvellement et nouveau KO. impossible de se connecter à l’api pourtant les codes sont bien là. La génération toujours en KO avec les mêmes erreurs précédemment partagées. Du coup, je suis passé sur la solution avec docker...avec la même API. 0 Citer
oracle7 Posté(e) le 27 décembre 2020 Auteur Posté(e) le 27 décembre 2020 @kerod Bonjour, Utilises-tu la double authentification pour te connecter à ton NAS ? Si oui, alors vérifies bien la valeur de ton cookies DID qui toutes les chances d'être différente de celle sauvegardée dans ton fichier ndd.tld.conf. Pour mémoire le DID à une durée de validité d'environ 1 mois en normal sauf si tu lui as fixé une date d'expiration aux calendres grecques. Ce problème de DID est une grosse source de non renouvellement car la connexion au NAS ne peut se faire s'il n'est pas correct (différence valeur courante et valeur sauvegardée automatiquement lors du renouvellement précédent). C'est un contrôle systématique à faire tous les trois mois. Cordialement oracle7😉 0 Citer
kerod Posté(e) le 27 décembre 2020 Posté(e) le 27 décembre 2020 @oracle7 Non pas de connexion à double authentification/vérification en 2 étapes. 0 Citer
oracle7 Posté(e) le 27 décembre 2020 Auteur Posté(e) le 27 décembre 2020 @kerod Bonjour, Alors dans ce cas, il te faut examiner les fichiers log : acmelog et acme_renew_python.log.1 et y rechercher les lignes en erreur. Difficile de t'en dire plus pour l'instant. Cordialement oracle7😉 0 Citer
kerod Posté(e) le 27 décembre 2020 Posté(e) le 27 décembre 2020 @oracle7 Non je ne le ferai pas...C'est exactement ce que l'on a fait ensemble il n'y a près de trois mois (cf. messages privés) et vous n'avez pas trouvé d'où ça venait...sans compter le bogue du script python qui me dit qu'il ne renouvelle pas alors que c'est bien le cas avec le mode annule et remplace... Je suis passé sur une autre solution... 0 Citer
oracle7 Posté(e) le 28 décembre 2020 Auteur Posté(e) le 28 décembre 2020 @kerod Bonjour, Libre à toi de refuser notre aide, mais la méthode fonctionnant parfaitement chez bon nombre d'utilisateurs je crois que tu serais bien avisé de vérifier ta configuration qui est sûrement "bancale" et donc la source de ce dysfonctionnement que tu rencontres. Cordialement oracle7😉 0 Citer
kerod Posté(e) le 28 décembre 2020 Posté(e) le 28 décembre 2020 (modifié) @oracle7 On ne va pas refaire l’histoire...J’ai déjà fait tout ce que vous m’avez dit il y a 2,5mois. Vous l’avez proposé votre aide et sans résultat... n’oublie pas que j’ai l’historique de nos échange...avisé avisé... j’ai déjà revue la totalité de la procédure mais avant de critiquer l’autre, il faudrait peut-être la revoir toi-même puisque tu proposes deux solutions et pour l’heure tu n’as toujours pas trouvé le problème dans la configuration annule et remplace et ce malgré t’avoir fourni les logs ainsi qu’à Bruno. il est bien dommage que je ne puisse pas faire de capture d’écran de nos échanges, mais je vais recopier tes derniers mp ici vu que tu sembles avoir oublié... Le 18/10/2020 à 16:30, oracle7 a dit : @kerod @bruno78 OK pour les dates, mais à ce moment là n'envoies que la bonne partie du log, ce sera plus simple, non ? Donc finalement, quel était ton problème, je ne comprends plus ... Cordialement oracle7😉 Le 18/10/2020 à 19:29, kerod a dit : @bruno78 @oracle7 En analysant le code, je vois ceci En creusant sur les def_new et def_old, le problème vient du Yan5LF qui est toujours le même avant et après génération avec succès. Je vous laisse m'expliquer la logique du script car je ne la connais pas. Le 18/10/2020 à 23:17, bruno78 a dit : bonsoir @kerod, c'est exactement la conclusion à laquelle j'arrive, en même temps que j'ai écrit mon message précédent. Il faut que je regarde si le script est capable de distinguer entre les 2 cas. Et on s'est arrêté là, avec un script qui me dit que le certificat n'est pas renouvelé alors que c'était bien le cas. Pour finir, lors de premier renouvellement en septembre, j'avais eu un problème avec le consumer key qui était refusé par le script. Je l'ai renouvelé et cela a fonctionné. Pour le renouvellement ce mois-ci, il m'a sorti une nouvelle erreur identique avec la connexion à l'API. Je n'ai pas renouvelé et j'ai utilisé la même API avec les mêmes clés avec une autre solution utilisant docker (mise sur ce forum également) et cela a fonctionné sans problème (sans renouvellement). On critique ma configuration, mais je l'ai déjà revue trois fois en septembre et je ne vais pas le refaire tous les trois mois parce que le système me dit qu'il faut que je le refasse alors que ça fonctionne bien avec d'autres système. Le jour où tu utiliseras la même configuration du script (Annule et Remplace et non Ajout) et que tu ne rencontreras pas les mêmes erreurs...on pourrait en rediscuter et mettre en défaut mon installation. Modifié le 28 décembre 2020 par kerod 0 Citer
milkyway Posté(e) le 29 décembre 2020 Posté(e) le 29 décembre 2020 @oracle7 Le 27/12/2020 à 16:24, oracle7 a dit : @kerod Bonjour, Utilises-tu la double authentification pour te connecter à ton NAS ? Si oui, alors vérifies bien la valeur de ton cookies DID qui toutes les chances d'être différente de celle sauvegardée dans ton fichier ndd.tld.conf. Pour mémoire le DID à une durée de validité d'environ 1 mois en normal sauf si tu lui as fixé une date d'expiration aux calendres grecques. Ce problème de DID est une grosse source de non renouvellement car la connexion au NAS ne peut se faire s'il n'est pas correct (différence valeur courante et valeur sauvegardée automatiquement lors du renouvellement précédent). C'est un contrôle systématique à faire tous les trois mois. Cordialement oracle7😉 Bonjour, Sais-tu où il faut insérer la nouvelle valeur du cookie DID ? J'ai eu un souci de renouvellement de mon certificat et n'ayant pas changé la valeur du cookie, il est possible que ce soit ça mon problème... Cordialement, Milkyway 0 Citer
Pinpon_112 Posté(e) le 29 décembre 2020 Posté(e) le 29 décembre 2020 (modifié) @kerod : Oracle et Bruno propose de l’aide. Dans mon cas, j’ai aussi eu des problèmes et j’ai du recommencer l’installation 3-4 fois au départ et 3 mois plus tard , encore une fois. Ensuite, j’ai encore eu de l’aide car toujours des problèmes. Maintenant, c’est enfin réglé grâce à leur aide. Donc si leur solution ne te plaît pas et que tu ne veux pas te remettre en question, arrête de te plaindre et passe ton chemin surtout si tu as trouvé une autre solution. @milkyway : Pour insérer le DID, revois le point 5.1 de la procédure. Un conseil, prends le DID via Firefox et modifie la valeur de la date d’expiration faute de quoi tu devras changer ce paramètre chaque fois avant le renouvellement. Seb Envoyé de mon iPhone en utilisant Tapatalk Modifié le 30 décembre 2020 par Pinpon_112 1 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.