[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"

[Diplo95]

il y a 3 minutes, axb a dit :

[Mon Jun 28 00:00:13 CEST 2021] error {"message":"This credential is not valid","httpCode":"403 Forbidden","errorCode":"INVALID_CREDENTIAL"}
[Mon Jun 28 00:00:13 CEST 2021] The consumer key is invalid: eJ3mEGY0LeluCm76kHX2LPGEAgQltRXB

Bonjour,

j'ai eu le même problème et je pense que ça vient de la création des key chez OVH : as-tu bien choisi la validité "unlimited" au point 3.1 du tuto : création des clés OVH ?

J'ai résolu mon problème en recommençant cette étape et en faisant bien attention sur la durée de validité. J'attends un nouveau renouvellement pour confirmer que c'était bien ça, mais en attendant j'ai pu renouveler "à la main" mon certificat.

[bruno78]

Il y a 7 heures, axb a dit :

[Mon Jun 28 00:00:13 CEST 2021] error {"message":"This credential is not valid","httpCode":"403 Forbidden","errorCode":"INVALID_CREDENTIAL"}
[Mon Jun 28 00:00:13 CEST 2021] The consumer key is invalid: eJ3mEGY0LeluCm76kHX2LPGEAgQltRXB
[Mon Jun 28 00:00:13 CEST 2021] Please retry to create a new one.

@axb Bonjour, oui, problème avec la CK ... Soit la validité, soit mal recopiée .....

[axb]

Bonjour et merci à tous les deux.

Je vais donc refaire le point 3.1.

J'imagine qu'il me faudra refaire aussi le point 3.2

Faut-il que je refasse toutes les autres étapes suivantes ?

Merci à vous

[oracle7]

@axb

Bonjour,

En toute logique OUI. La création des clés est un point d'entrée très important pour la suite. Sans elles, pas de certificat LE !

Cordialement

oracle7😉

[milkyway]

Bonjour,

Sur l'onglet "Certificat" de DSM, en plus du certificat ACME wildcard valide, j'ai une liste des certificats périmés avec '_old' qui apparaît à la fin des noms des certificats.

Peut-on les supprimer ? Si oui, est-ce qu'on peut le faire directement sur DSM ? Y a-t-il une autre manipulation à faire pour les virer ?

Bon aprem !

Cordialement,

milkyway

Modifié le 7 juillet 2021 par milkyway

[oracle7]

@milkyway

Bonjour,

Pas de soucis, tu peux les supprimer directement depuis DSM. De toutes façons ils ne te seront d'aucune utilité.

Pour le(s) certificat(s) restant(s), assures-toi au passage qu'il(s) est(sont) bien affecté(s) aux services --> Bouton "Configurer".

Cordialement

oracle7😉

[milkyway]

@oracle7

Merci beaucoup pour ta réponse.

En ce qui concerne l'affectation des services, il ne devrait pas y avoir de souci : je n'ai jusqu'ici pas rencontré de problème sur ce point avec le renouvellement via le script python 🤞

Bonne soirée !

Cordialement,

milkyway

[TuringFan]

Bonjour @oracle7 et @bruno78,

Ce tuto est toujours aussi utile et je l'utilise depuis plusieurs mois maintenant.

Une seule chose qui semble un peu erratique : la durée de vie du DID (même en essayant de la paramétrer avec des extensions de navigateurs qui gèrent les cookies).

Bref est un possible de dédier un utilisateur sans 2FA (probablement non admin) à l'exécution du script ? Si oui comment faire et avons nous un niveau de sécurité qui reste élevé ?

C'est une vision long terme donc pas d'urgence sur la réponse.

Merci d'avance,

Modifié le 10 juillet 2021 par TuringFan

[Mic13710]

il y a 55 minutes, TuringFan a dit :

Bref est un possible de dédié un utilisateur sans 2FA (probablement non admin) à l'exécution du script ? Si oui comment faire et avons nous un niveau de sécurité qui reste élevé ?

Je ne cesse de le répéter. Le 2FA est ingérable pour ce script. Il est infiniment plus simple de créer un compte administrateur sans 2FA avec un nom improbable et un mdp long comme le bras pour détourner les éventuelles attaques. Avec le fail2ban, l'ensemble offre une protection bien suffisante pour parer toute tentative d'intrusion.

[TuringFan]

Merci @Mic13710,

Concrètement dois-je reprendre la totalité du tuto ou y a t il que quelques manip à passer pour changer l'utilisateur ?

Qu'est ce que le fail2ban ?

Merci,

[Mic13710]

Il ne faut pas tout reprendre. Il suffit de changer dans le dossier /usr/local/share/acme.sh/ndd/ndd.conf les paramètres de connexion suivants :

SAVED_SYNO_Username='votre super nom utilisateur avec des droits admin limités'
SAVED_SYNO_Password='votre super mot de passe long comme le bras'
SAVED_SYNO_DID=''

Du côté du script Python, il y a peut-être des modifs à faire, je n'en sais rien. Je ne l'utilise pas.

Le fail2ban c'est le blocage auto du NAS.

[oracle7]

@TuringFan

Bonjour,

C'est vrai que la gestion du DID est assez erratique même si personnellement je n'ai pas de problèmes avec.

Cela dit la solution proposée par @Mic13710 peut -être un bon palliatif. C'est toi qui voit ...

Cordialement

oracle7😉

[TuringFan]

@oracle7 et @Mic13710 merci je vais essayer dès que j'ai un peu de temps.

[_DR64_]

Bonjour @oracle7,

Ton script s'est lancé ce matin et n'a pas mit à jour mon certificat :

-- Renouvellement certificat via acme.sh
  -- commande acme.sh : bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --log /volume1/Certs/Acme_renew/acmelog --home /usr/local/share/acme.sh/

-- Nouveau certificat par DEFAULT : MmvfLh
--- Le certificat n'a pas ete renouvele.
--- => Consulter le log : /volume1/Certs/Acme_renew/acmelog

[Thu Jul 29 09:13:50 CEST 2021] Running cmd: upgrade
[Thu Jul 29 09:13:50 CEST 2021] Using config home:/usr/local/share/acme.sh
[Thu Jul 29 09:13:50 CEST 2021] default_acme_server
[Thu Jul 29 09:13:50 CEST 2021] ACME_DIRECTORY='https://acme.zerossl.com/v2/DV90'
[Thu Jul 29 09:13:50 CEST 2021] Installing from online archive.
[Thu Jul 29 09:13:50 CEST 2021] Downloading https://github.com/acmesh-official/acme.sh/archive/master.tar.gz
[Thu Jul 29 09:13:50 CEST 2021] Retrying GET
[Thu Jul 29 09:13:50 CEST 2021] GET
[Thu Jul 29 09:13:50 CEST 2021] url='https://github.com/acmesh-official/acme.sh/archive/master.tar.gz'
[Thu Jul 29 09:13:50 CEST 2021] timeout=
[Thu Jul 29 09:13:50 CEST 2021] displayError='1'
[Thu Jul 29 09:13:50 CEST 2021] _CURL='curl --silent --dump-header /usr/local/share/acme.sh/http.header  -L '
[Thu Jul 29 09:13:51 CEST 2021] ret='0'
[Thu Jul 29 09:13:51 CEST 2021] _hcode='0'
[Thu Jul 29 09:13:51 CEST 2021] Extracting master.tar.gz
[Thu Jul 29 09:13:51 CEST 2021] default_acme_server
[Thu Jul 29 09:13:51 CEST 2021] ACME_DIRECTORY='https://acme.zerossl.com/v2/DV90'
[Thu Jul 29 09:13:51 CEST 2021] Skip install cron job
[Thu Jul 29 09:13:51 CEST 2021] It is recommended to install socat first.
[Thu Jul 29 09:13:51 CEST 2021] We use socat for standalone server if you use standalone mode.
[Thu Jul 29 09:13:51 CEST 2021] If you don't use standalone mode, just ignore this warning.
[Thu Jul 29 09:13:51 CEST 2021] Installing to /usr/local/share/acme.sh
[Thu Jul 29 09:13:51 CEST 2021] Installed to /usr/local/share/acme.sh/acme.sh
[Thu Jul 29 09:13:51 CEST 2021] Good, bash is found, so change the shebang to use bash as preferred.
[Thu Jul 29 09:13:53 CEST 2021] OK
[Thu Jul 29 09:13:53 CEST 2021] Install success!
[Thu Jul 29 09:13:53 CEST 2021] Using config home:/usr/local/share/acme.sh
[Thu Jul 29 09:13:53 CEST 2021] ACME_DIRECTORY='https://acme.zerossl.com/v2/DV90'
[Thu Jul 29 09:13:53 CEST 2021] Retrying GET
[Thu Jul 29 09:13:53 CEST 2021] GET
[Thu Jul 29 09:13:53 CEST 2021] url='https://api.github.com/repos/acmesh-official/acme.sh/git/refs/heads/master'
[Thu Jul 29 09:13:53 CEST 2021] timeout=
[Thu Jul 29 09:13:53 CEST 2021] displayError='1'
[Thu Jul 29 09:13:53 CEST 2021] _CURL='curl --silent --dump-header /usr/local/share/acme.sh/http.header  -L '
[Thu Jul 29 09:13:53 CEST 2021] ret='0'
[Thu Jul 29 09:13:53 CEST 2021] _hcode='0'
[Thu Jul 29 09:13:53 CEST 2021] Upgrade success!
[Thu Jul 29 09:15:14 CEST 2021] Lets find script dir.
[Thu Jul 29 09:15:14 CEST 2021] _SCRIPT_='/usr/local/share/acme.sh/acme.sh'
[Thu Jul 29 09:15:14 CEST 2021] _script='/usr/local/share/acme.sh/acme.sh'
[Thu Jul 29 09:15:14 CEST 2021] _script_home='/usr/local/share/acme.sh'
[Thu Jul 29 09:15:14 CEST 2021] Using config home:/usr/local/share/acme.sh/
[Thu Jul 29 09:15:14 CEST 2021] Running cmd: cron
[Thu Jul 29 09:15:14 CEST 2021] Using config home:/usr/local/share/acme.sh/
[Thu Jul 29 09:15:14 CEST 2021] default_acme_server
[Thu Jul 29 09:15:14 CEST 2021] ACME_DIRECTORY='https://acme.zerossl.com/v2/DV90'
[Thu Jul 29 09:15:14 CEST 2021] ===Starting cron===
[Thu Jul 29 09:15:14 CEST 2021] Using config home:/usr/local/share/acme.sh/
[Thu Jul 29 09:15:14 CEST 2021] ACME_DIRECTORY='https://acme.zerossl.com/v2/DV90'
[Thu Jul 29 09:15:14 CEST 2021] Installing from online archive.
[Thu Jul 29 09:15:14 CEST 2021] Downloading https://github.com/acmesh-official/acme.sh/archive/master.tar.gz
[Thu Jul 29 09:15:14 CEST 2021] Retrying GET
[Thu Jul 29 09:15:14 CEST 2021] GET
[Thu Jul 29 09:15:14 CEST 2021] url='https://github.com/acmesh-official/acme.sh/archive/master.tar.gz'
[Thu Jul 29 09:15:14 CEST 2021] timeout=
[Thu Jul 29 09:15:14 CEST 2021] displayError='1'
[Thu Jul 29 09:15:14 CEST 2021] _CURL='curl --silent --dump-header /usr/local/share/acme.sh//http.header  -L '
[Thu Jul 29 09:15:15 CEST 2021] ret='0'
[Thu Jul 29 09:15:15 CEST 2021] _hcode='0'
[Thu Jul 29 09:15:15 CEST 2021] Extracting master.tar.gz
[Thu Jul 29 09:15:15 CEST 2021] default_acme_server
[Thu Jul 29 09:15:15 CEST 2021] ACME_DIRECTORY='https://acme.zerossl.com/v2/DV90'
[Thu Jul 29 09:15:15 CEST 2021] Skip install cron job
[Thu Jul 29 09:15:15 CEST 2021] Installing to /usr/local/share/acme.sh/
[Thu Jul 29 09:15:15 CEST 2021] Installed to /usr/local/share/acme.sh//acme.sh
[Thu Jul 29 09:15:15 CEST 2021] Good, bash is found, so change the shebang to use bash as preferred.
[Thu Jul 29 09:15:17 CEST 2021] OK
[Thu Jul 29 09:15:17 CEST 2021] Install success!
[Thu Jul 29 09:15:17 CEST 2021] Using config home:/usr/local/share/acme.sh/
[Thu Jul 29 09:15:17 CEST 2021] ACME_DIRECTORY='https://acme.zerossl.com/v2/DV90'
[Thu Jul 29 09:15:17 CEST 2021] Retrying GET
[Thu Jul 29 09:15:17 CEST 2021] GET
[Thu Jul 29 09:15:17 CEST 2021] url='https://api.github.com/repos/acmesh-official/acme.sh/git/refs/heads/master'
[Thu Jul 29 09:15:17 CEST 2021] timeout=
[Thu Jul 29 09:15:17 CEST 2021] displayError='1'
[Thu Jul 29 09:15:17 CEST 2021] _CURL='curl --silent --dump-header /usr/local/share/acme.sh//http.header  -L '
[Thu Jul 29 09:15:17 CEST 2021] ret='0'
[Thu Jul 29 09:15:17 CEST 2021] _hcode='0'
[Thu Jul 29 09:15:17 CEST 2021] Upgrade success!
[Thu Jul 29 09:15:17 CEST 2021] Using config home:/usr/local/share/acme.sh/
[Thu Jul 29 09:15:17 CEST 2021] ACME_DIRECTORY='https://acme.zerossl.com/v2/DV90'
[Thu Jul 29 09:15:17 CEST 2021] Auto upgraded to: 3.0.0
[Thu Jul 29 09:15:17 CEST 2021] Using config home:/usr/local/share/acme.sh/
[Thu Jul 29 09:15:17 CEST 2021] ACME_DIRECTORY='https://acme.zerossl.com/v2/DV90'
[Thu Jul 29 09:15:17 CEST 2021] _stopRenewOnError
[Thu Jul 29 09:15:17 CEST 2021] _set_level='2'
[Thu Jul 29 09:15:17 CEST 2021] di='/volume1/Certs/MONDOMAINE.TLD/'
[Thu Jul 29 09:15:17 CEST 2021] d='MONDOMAINE.TLD'
[Thu Jul 29 09:15:17 CEST 2021] Using config home:/usr/local/share/acme.sh/
[Thu Jul 29 09:15:17 CEST 2021] ACME_DIRECTORY='https://acme.zerossl.com/v2/DV90'
[Thu Jul 29 09:15:17 CEST 2021] DOMAIN_PATH='/volume1/Certs/MONDOMAINE.TLD'
[Thu Jul 29 09:15:17 CEST 2021] Renew: 'MONDOMAINE.TLD'
[Thu Jul 29 09:15:17 CEST 2021] Le_API='https://acme-v02.api.letsencrypt.org/directory'
[Thu Jul 29 09:15:17 CEST 2021] Using config home:/usr/local/share/acme.sh/
[Thu Jul 29 09:15:17 CEST 2021] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Thu Jul 29 09:15:17 CEST 2021] _init api for server: https://acme-v02.api.letsencrypt.org/directory
[Thu Jul 29 09:15:17 CEST 2021] Retrying GET
[Thu Jul 29 09:15:17 CEST 2021] GET
[Thu Jul 29 09:15:17 CEST 2021] url='https://acme-v02.api.letsencrypt.org/directory'
[Thu Jul 29 09:15:17 CEST 2021] timeout=
[Thu Jul 29 09:15:17 CEST 2021] displayError='1'
[Thu Jul 29 09:15:17 CEST 2021] _CURL='curl --silent --dump-header /usr/local/share/acme.sh//http.header  -L '
[Thu Jul 29 09:15:18 CEST 2021] ret='0'
[Thu Jul 29 09:15:18 CEST 2021] _hcode='0'
[Thu Jul 29 09:15:18 CEST 2021] ACME_KEY_CHANGE='https://acme-v02.api.letsencrypt.org/acme/key-change'
[Thu Jul 29 09:15:18 CEST 2021] ACME_NEW_AUTHZ
[Thu Jul 29 09:15:18 CEST 2021] ACME_NEW_ORDER='https://acme-v02.api.letsencrypt.org/acme/new-order'
[Thu Jul 29 09:15:18 CEST 2021] ACME_NEW_ACCOUNT='https://acme-v02.api.letsencrypt.org/acme/new-acct'
[Thu Jul 29 09:15:18 CEST 2021] ACME_REVOKE_CERT='https://acme-v02.api.letsencrypt.org/acme/revoke-cert'
[Thu Jul 29 09:15:18 CEST 2021] ACME_AGREEMENT='https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf'
[Thu Jul 29 09:15:18 CEST 2021] ACME_NEW_NONCE='https://acme-v02.api.letsencrypt.org/acme/new-nonce'
[Thu Jul 29 09:15:18 CEST 2021] _main_domain='MONDOMAINE.TLD'
[Thu Jul 29 09:15:18 CEST 2021] _alt_domains='*.MONDOMAINE.TLD'
[Thu Jul 29 09:15:18 CEST 2021] Using ACME_DIRECTORY: https://acme-v02.api.letsencrypt.org/directory
[Thu Jul 29 09:15:18 CEST 2021] _init api for server: https://acme-v02.api.letsencrypt.org/directory
[Thu Jul 29 09:15:18 CEST 2021] Le_NextRenewTime='1626147778'
[Thu Jul 29 09:15:18 CEST 2021] Using CA: https://acme-v02.api.letsencrypt.org/directory
[Thu Jul 29 09:15:18 CEST 2021] _on_before_issue
[Thu Jul 29 09:15:18 CEST 2021] _chk_main_domain='MONDOMAINE.TLD'
[Thu Jul 29 09:15:18 CEST 2021] _chk_alt_domains='*.MONDOMAINE.TLD'
[Thu Jul 29 09:15:18 CEST 2021] Le_LocalAddress
[Thu Jul 29 09:15:19 CEST 2021] d='MONDOMAINE.TLD'
[Thu Jul 29 09:15:19 CEST 2021] Check for domain='MONDOMAINE.TLD'
[Thu Jul 29 09:15:19 CEST 2021] _currentRoot='dns_ovh'
[Thu Jul 29 09:15:19 CEST 2021] d='*.MONDOMAINE.TLD'
[Thu Jul 29 09:15:19 CEST 2021] Check for domain='*.MONDOMAINE.TLD'
[Thu Jul 29 09:15:19 CEST 2021] _currentRoot='dns_ovh'
[Thu Jul 29 09:15:19 CEST 2021] d
[Thu Jul 29 09:15:19 CEST 2021] _saved_account_key_hash is not changed, skip register account.
[Thu Jul 29 09:15:19 CEST 2021] Read key length:4096
[Thu Jul 29 09:15:19 CEST 2021] _createcsr
[Thu Jul 29 09:15:19 CEST 2021] Multi domain='DNS:MONDOMAINE.TLD,DNS:*.MONDOMAINE.TLD'
[Thu Jul 29 09:15:19 CEST 2021] Getting domain auth token for each domain
[Thu Jul 29 09:15:19 CEST 2021] d='*.MONDOMAINE.TLD'
[Thu Jul 29 09:15:19 CEST 2021] d
[Thu Jul 29 09:15:19 CEST 2021] url='https://acme-v02.api.letsencrypt.org/acme/new-order'
[Thu Jul 29 09:15:19 CEST 2021] payload='{"identifiers": [{"type":"dns","value":"MONDOMAINE.TLD"},{"type":"dns","value":"*.MONDOMAINE.TLD"}]}'
[Thu Jul 29 09:15:19 CEST 2021] RSA key
[Thu Jul 29 09:15:19 CEST 2021] Retrying post
[Thu Jul 29 09:15:19 CEST 2021] HEAD
[Thu Jul 29 09:15:19 CEST 2021] _post_url='https://acme-v02.api.letsencrypt.org/acme/new-nonce'
[Thu Jul 29 09:15:19 CEST 2021] _CURL='curl --silent --dump-header /usr/local/share/acme.sh//http.header  -L  -I  '
[Thu Jul 29 09:15:20 CEST 2021] _ret='0'
[Thu Jul 29 09:15:20 CEST 2021] _hcode='0'
[Thu Jul 29 09:15:20 CEST 2021] Retrying post
[Thu Jul 29 09:15:20 CEST 2021] POST
[Thu Jul 29 09:15:20 CEST 2021] _post_url='https://acme-v02.api.letsencrypt.org/acme/new-order'
[Thu Jul 29 09:15:20 CEST 2021] _CURL='curl --silent --dump-header /usr/local/share/acme.sh//http.header  -L '
[Thu Jul 29 09:15:20 CEST 2021] _ret='0'
[Thu Jul 29 09:15:20 CEST 2021] _hcode='0'
[Thu Jul 29 09:15:20 CEST 2021] code='201'
[Thu Jul 29 09:15:20 CEST 2021] Le_LinkOrder='https://acme-v02.api.letsencrypt.org/acme/order/123567463/13002928390'
[Thu Jul 29 09:15:20 CEST 2021] Le_OrderFinalize='https://acme-v02.api.letsencrypt.org/acme/finalize/123567463/13002928390'
[Thu Jul 29 09:15:20 CEST 2021] url='https://acme-v02.api.letsencrypt.org/acme/authz-v3/17131085080'
[Thu Jul 29 09:15:21 CEST 2021] payload
[Thu Jul 29 09:15:21 CEST 2021] Retrying post
[Thu Jul 29 09:15:21 CEST 2021] POST
[Thu Jul 29 09:15:21 CEST 2021] _post_url='https://acme-v02.api.letsencrypt.org/acme/authz-v3/17131085080'
[Thu Jul 29 09:15:21 CEST 2021] _CURL='curl --silent --dump-header /usr/local/share/acme.sh//http.header  -L '
[Thu Jul 29 09:15:21 CEST 2021] _ret='0'
[Thu Jul 29 09:15:21 CEST 2021] _hcode='0'
[Thu Jul 29 09:15:21 CEST 2021] code='200'
[Thu Jul 29 09:15:21 CEST 2021] url='https://acme-v02.api.letsencrypt.org/acme/authz-v3/17131085090'
[Thu Jul 29 09:15:21 CEST 2021] payload
[Thu Jul 29 09:15:21 CEST 2021] Retrying post
[Thu Jul 29 09:15:21 CEST 2021] POST
[Thu Jul 29 09:15:21 CEST 2021] _post_url='https://acme-v02.api.letsencrypt.org/acme/authz-v3/17131085090'
[Thu Jul 29 09:15:21 CEST 2021] _CURL='curl --silent --dump-header /usr/local/share/acme.sh//http.header  -L '
[Thu Jul 29 09:15:22 CEST 2021] _ret='0'
[Thu Jul 29 09:15:22 CEST 2021] _hcode='0'
[Thu Jul 29 09:15:22 CEST 2021] code='200'
[Thu Jul 29 09:15:22 CEST 2021] d='MONDOMAINE.TLD'
[Thu Jul 29 09:15:22 CEST 2021] Getting webroot for domain='MONDOMAINE.TLD'
[Thu Jul 29 09:15:22 CEST 2021] _w='dns_ovh'
[Thu Jul 29 09:15:22 CEST 2021] _currentRoot='dns_ovh'
[Thu Jul 29 09:15:22 CEST 2021] entry='"type":"dns-01","status":"pending","url":"https://acme-v02.api.letsencrypt.org/acme/chall-v3/17131085090/1qI5Sg","token":"03IXeWLQGlTCU9gjTHLT8xweVnOmMiQW5KkwzJvW9hc"'
[Thu Jul 29 09:15:22 CEST 2021] token='03IXeWLQGlTCU9gjTHLT8xweVnOmMiQW5KkwzJvW9hc'
[Thu Jul 29 09:15:22 CEST 2021] uri='https://acme-v02.api.letsencrypt.org/acme/chall-v3/17131085090/1qI5Sg'
[Thu Jul 29 09:15:22 CEST 2021] keyauthorization='03IXeWLQGlTCU9gjTHLT8xweVnOmMiQW5KkwzJvW9hc.t7E7XsZybvntshlhxw6ZVo9fTTDmPYZ3T1lelah8mVc'
[Thu Jul 29 09:15:22 CEST 2021] dvlist='MONDOMAINE.TLD#03IXeWLQGlTCU9gjTHLT8xweVnOmMiQW5KkwzJvW9hc.t7E7XsZybvntshlhxw6ZVo9fTTDmPYZ3T1lelah8mVc#https://acme-v02.api.letsencrypt.org/acme/chall-v3/17131085090/1qI5Sg#dns-01#dns_ovh'
[Thu Jul 29 09:15:22 CEST 2021] d='*.MONDOMAINE.TLD'
[Thu Jul 29 09:15:22 CEST 2021] Getting webroot for domain='*.MONDOMAINE.TLD'
[Thu Jul 29 09:15:22 CEST 2021] _w='dns_ovh'
[Thu Jul 29 09:15:22 CEST 2021] _currentRoot='dns_ovh'
[Thu Jul 29 09:15:22 CEST 2021] entry='"type":"dns-01","status":"pending","url":"https://acme-v02.api.letsencrypt.org/acme/chall-v3/17131085080/-U7qtQ","token":"9W4SZL1lfGQffd6YptuXmC_0hbHa0S1DbZS5CLXZuHE"'
[Thu Jul 29 09:15:22 CEST 2021] token='9W4SZL1lfGQffd6YptuXmC_0hbHa0S1DbZS5CLXZuHE'
[Thu Jul 29 09:15:22 CEST 2021] uri='https://acme-v02.api.letsencrypt.org/acme/chall-v3/17131085080/-U7qtQ'
[Thu Jul 29 09:15:22 CEST 2021] keyauthorization='9W4SZL1lfGQffd6YptuXmC_0hbHa0S1DbZS5CLXZuHE.t7E7XsZybvntshlhxw6ZVo9fTTDmPYZ3T1lelah8mVc'
[Thu Jul 29 09:15:22 CEST 2021] dvlist='*.MONDOMAINE.TLD#9W4SZL1lfGQffd6YptuXmC_0hbHa0S1DbZS5CLXZuHE.t7E7XsZybvntshlhxw6ZVo9fTTDmPYZ3T1lelah8mVc#https://acme-v02.api.letsencrypt.org/acme/chall-v3/17131085080/-U7qtQ#dns-01#dns_ovh'
[Thu Jul 29 09:15:22 CEST 2021] d
[Thu Jul 29 09:15:22 CEST 2021] vlist='MONDOMAINE.TLD#03IXeWLQGlTCU9gjTHLT8xweVnOmMiQW5KkwzJvW9hc.t7E7XsZybvntshlhxw6ZVo9fTTDmPYZ3T1lelah8mVc#https://acme-v02.api.letsencrypt.org/acme/chall-v3/17131085090/1qI5Sg#dns-01#dns_ovh,*.MONDOMAINE.TLD#9W4SZL1lfGQffd6YptuXmC_0hbHa0S1DbZS5CLXZuHE.t7E7XsZybvntshlhxw6ZVo9fTTDmPYZ3T1lelah8mVc#https://acme-v02.api.letsencrypt.org/acme/chall-v3/17131085080/-U7qtQ#dns-01#dns_ovh,'
[Thu Jul 29 09:15:22 CEST 2021] d='MONDOMAINE.TLD'
[Thu Jul 29 09:15:22 CEST 2021] _d_alias
[Thu Jul 29 09:15:22 CEST 2021] txtdomain='_acme-challenge.MONDOMAINE.TLD'
[Thu Jul 29 09:15:22 CEST 2021] txt='FjUU8sqUwZBCpSa43NBqePVcffMrA1Cj7pNksWj0tCk'
[Thu Jul 29 09:15:22 CEST 2021] d_api='/usr/local/share/acme.sh/dnsapi/dns_ovh.sh'
[Thu Jul 29 09:15:22 CEST 2021] Found domain api file: /usr/local/share/acme.sh/dnsapi/dns_ovh.sh
[Thu Jul 29 09:15:23 CEST 2021] Adding txt value: FjUU8sqUwZBCpSa43NBqePVcffMrA1Cj7pNksWj0tCk for domain:  _acme-challenge.MONDOMAINE.TLD
[Thu Jul 29 09:15:23 CEST 2021] Using OVH endpoint: ovh-eu
[Thu Jul 29 09:15:23 CEST 2021] OVH_API='https://eu.api.ovh.com/1.0'
[Thu Jul 29 09:15:23 CEST 2021] OVH consumer key is empty, Let's get one:
[Thu Jul 29 09:15:23 CEST 2021] Retrying post
[Thu Jul 29 09:15:23 CEST 2021] POST
[Thu Jul 29 09:15:23 CEST 2021] _post_url='https://eu.api.ovh.com/1.0/auth/credential'
[Thu Jul 29 09:15:23 CEST 2021] _CURL='curl --silent --dump-header /usr/local/share/acme.sh//http.header  -L '
[Thu Jul 29 09:15:23 CEST 2021] _ret='0'
[Thu Jul 29 09:15:23 CEST 2021] _hcode='0'
[Thu Jul 29 09:15:23 CEST 2021] validationUrl='https://eu.api.ovh.com/auth/?credentialToken=dOXKrA5SKsEr7RHyTWE6rAUjmWz13Ogui1RUnJQNAsrTP28qfjOMS1M0DhojeEXW'
[Thu Jul 29 09:15:23 CEST 2021] consumerKey='[hidden](please add '--output-insecure' to see this value)'
[Thu Jul 29 09:15:23 CEST 2021] Please open this link to do authentication: https://eu.api.ovh.com/auth/?credentialToken=dOXKrA5SKsEr7RHyTWE6rAUjmWz13Ogui1RUnJQNAsrTP28qfjOMS1M0DhojeEXW
[Thu Jul 29 09:15:23 CEST 2021] Here is a guide for you: https://github.com/acmesh-official/acme.sh/wiki/How-to-use-OVH-domain-api
[Thu Jul 29 09:15:23 CEST 2021] Please retry after the authentication is done.
[Thu Jul 29 09:15:23 CEST 2021] Error add txt for domain:_acme-challenge.MONDOMAINE.TLD
[Thu Jul 29 09:15:23 CEST 2021] _on_issue_err
[Thu Jul 29 09:15:23 CEST 2021] Please check log file for more details: /volume1/Certs/Acme_renew/acmelog
[Thu Jul 29 09:15:23 CEST 2021] url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/17131085090/1qI5Sg'
[Thu Jul 29 09:15:23 CEST 2021] payload='{}'
[Thu Jul 29 09:15:23 CEST 2021] Retrying post
[Thu Jul 29 09:15:23 CEST 2021] POST
[Thu Jul 29 09:15:23 CEST 2021] _post_url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/17131085090/1qI5Sg'
[Thu Jul 29 09:15:23 CEST 2021] _CURL='curl --silent --dump-header /usr/local/share/acme.sh//http.header  -L '
[Thu Jul 29 09:15:24 CEST 2021] _ret='0'
[Thu Jul 29 09:15:24 CEST 2021] _hcode='0'
[Thu Jul 29 09:15:24 CEST 2021] code='200'
[Thu Jul 29 09:15:24 CEST 2021] url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/17131085080/-U7qtQ'
[Thu Jul 29 09:15:24 CEST 2021] payload='{}'
[Thu Jul 29 09:15:24 CEST 2021] Retrying post
[Thu Jul 29 09:15:24 CEST 2021] POST
[Thu Jul 29 09:15:24 CEST 2021] _post_url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/17131085080/-U7qtQ'
[Thu Jul 29 09:15:24 CEST 2021] _CURL='curl --silent --dump-header /usr/local/share/acme.sh//http.header  -L '
[Thu Jul 29 09:15:25 CEST 2021] _ret='0'
[Thu Jul 29 09:15:25 CEST 2021] _hcode='0'
[Thu Jul 29 09:15:25 CEST 2021] code='200'
[Thu Jul 29 09:15:25 CEST 2021] socat doesn't exist.
[Thu Jul 29 09:15:25 CEST 2021] Diagnosis versions: 
openssl:openssl
OpenSSL 1.1.1k  25 Mar 2021
apache:
apache doesn't exist.
nginx:
nginx version: nginx/1.17.10
TLS SNI support enabled
socat:
[Thu Jul 29 09:15:25 CEST 2021] pid
[Thu Jul 29 09:15:25 CEST 2021] No need to restore nginx, skip.
[Thu Jul 29 09:15:25 CEST 2021] _clearupdns
[Thu Jul 29 09:15:25 CEST 2021] dns_entries
[Thu Jul 29 09:15:25 CEST 2021] skip dns.
[Thu Jul 29 09:15:25 CEST 2021] Return code: 1
[Thu Jul 29 09:15:25 CEST 2021] Error renew MONDOMAINE.TLD.
[Thu Jul 29 09:15:25 CEST 2021] _error_level='1'
[Thu Jul 29 09:15:25 CEST 2021] _set_level='2'
[Thu Jul 29 09:15:25 CEST 2021] The NOTIFY_HOOK is empty, just return.
[Thu Jul 29 09:15:25 CEST 2021] ===End cron===

Une idée?

Merci

Modifié le 29 juillet 2021 par GrOoT64

[oracle7]

@GrOoT64

Bonjour,

De ce que je vois et comprend dans ce log, j'en déduis qu'il y a toutes les chances que lorsque tu as créé tes clés OVH, tu n'as pas mis comme validité : "unlimited". Du coup, acme.sh te demande ceci :

Please open this link to do authentication: https://eu.api.ovh.com/auth/?credentialToken=dOXKrA5SKsEr7RHyTWE6rAUjmWz13Ogui1RUnJQNAsrTP28qfjOMS1M0DhojeEXW

pour valider l'authentification.

Par ailleurs, chez OVH, au moment du renouvellement, il ne doit y avoir aucun enregistrement TXT avec une valeur "_acme-challenge.MONDOMAINE.TLD" de présent dans ta zone DNS OVH (cela arrive suite à erreurs, donc bien vérifier cela avant tout renouvellement). Car si déjà présent, acme.sh ne peux écrire un enregistrement du même type pour que LE puisse valider ton domaine.

Cordialement

oracle7😉

 

[_DR64_]

Bonjour @oracle7, 

Merci pour ton retour.

J'ai effectué l'authentification sur le site d'OVH mais toujours rien.

J'ai donc repris ce matin tout ton tuto à tête reposée avec la question "qu'est ce que j'ai fais depuis la création de l'ancien certificat ?"

Plusieurs changements ont été apportés : 
- Changement de l'IP du NAS ( lors de la création de l'ancien certificat j'avais mis : 192.168.64.211 (au lieu de localhost)
- Changement du mot de passe du compte.

J'ai donc recommencé tout ton tuto en apportant ces nouvelles modifications au bon moment.

Et on est bon 🙂 A suivre dans 3 mois maintenant.

Merci beaucoup.

 

[oracle7]

@GrOoT64

Bonjour,

Bien, content pour toi que tu ai réussit 🤗. Effectivement, tes changements pouvaient éventuellement être une ou la cause de tes soucis mais cela pouvait être aussi tout autre chose. Avec la tête reposée, c'est mieux 🤣

Cordialement

oracle7😉

Modifié le 30 juillet 2021 par oracle7

[TuringFan]

Bonjour @oracle7,

J'ai cru comprendre que DSM 7.0 facilitait la gestion des certificats : un intérêt de migrer dans le cadre du sujet de ce fil ?

Bonne journée,

[oracle7]

@TuringFan

Bonjour,

Pour être honnête, il semblerait malheureusement que la méthode que j'ai décrite dans  le présent TUTO ne fonctionnerait plus avec DSM7 (mais cela reste à confirmer !) du fait du script python utilisé pour palier les défauts rencontrés avec DSM6. Si @bruno78 passe par ici, il pourrait je pense, nous en dire plus sur ce point.

Pour ma part, je trouve encore DSM7 trop "instable" à la vue des multiples anomalies que je peux lire ici et rencontrées par les membres (au delà des défauts de configuration faits). Je vais donc patienter encore pour passer sous DSM7 (pas d'urgence car tout fonctionne parfaitement pour l'instant sous DSM6).

De toutes façons, une fois sous DSM7, pour assurer la continuité de service de mon certificat LE, je pense que je ne couperais pas à suivre soit le TUTO de @Einsteinium sous docker, soit peut être plus simplement suivre le TUTO de @.Shad. qui me permettrait d'implémenter en même temps un reverse proxy plus performant que celui de DSM.  Je réfléchis encore et "pèse les patates" ...

Voilà ce n'est que mon avis.

Cordialement

oracle7😉

[bruno78]

Bonjour, @oracle7 @TuringFan

Le script python n’à jamais été testé sous dsm7, où il serait d’ailleurs parfaitement inutile, la gestion des certificats LE etant parfaitement fonctionnelle et automatique via le tuto.

Par ailleurs, DSM7 tourne parfaitement bien. Donc sauf à être lié à une fonction qui ne serait plus supportée, je ne vois pas trop de raison d’attendre pour migrer sous  DSM7.

Cdt, Bruno 

Modifié le 17 août 2021 par bruno78

[oracle7]

@bruno78

Bonjour,

D'abord Merci de ta réponse qui ne me surprend pas du tout.

il y a 35 minutes, bruno78 a dit :

la gestion des certificats LE etant parfaitement fonctionnelle et automatique via le tuto

Juste pour être sûr de bien comprendre, tu parles de quel TUTO ? Le mien ou celui sous docker ?

Je penses, mais je peux me tromper, que mon TUTO peut à la réflexion et dans son principe, toujours fonctionner sous DSM7 mais sans le script python. Il n'y aurait finalement juste qu'à modifier la commande de la tâche programmée de renouvellement (dans le planificateur de tâches de DSM) pour remplacer le lancement du script python par ceci :

bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --home /usr/local/share/acme.sh/

comme c'était d'ailleurs le cas dans la version originelle du TUTO.

De fait, la méthode retrouverait toute sa simplicité, face aux actuels détracteurs de celle-ci. Comme tout le monde n'a pas forcément la possibilité de mettre en œuvre docker, ce TUTO leur sera utile.

@TuringFan Je penses que tu as maintenant tous les éléments de réponses à ta question initiale.

Cordialement

oracle7😉

 

[bruno78]

@oracle7 

Oui tout à fait. Pas de script python en dsm7. Si on dispose de Docker, le Tuto d' @Einsteinium me paraît le plus simple et marche tout seul (quasiment).

Sans Docker, ton tutoriel reste toujours pertinent au moins en DSM6, et donc vraisemblablement en DSM7 mais là  je ne l'ai pas pratiqué. Il faudrait faire le test .... mais quelqu'un l'a  sûrement fait ?

Cdt, bruno78 

[mickaeulkaeul]

Bonjour, 

Cette après-midi, j'ai voulu dérouler ce Tuto.

Merci en passant à son auteur @oracle7

A l'exécution de de cette commande du paragraphe "4 Création du certificat"

Le 30/05/2020 à 10:35, oracle7 a dit :

$ ./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" --dns "$CERT_DNS" --set-default-ca --server letsencrypt

Je n'obtiens pas le résultat même résultat que ce Tuto.

J'ai uniquement ceci : 

[Sun Aug 22 15:32:54 CEST 2021] Changed default CA to: https://acme-v02.api.letsencrypt.org/directory

Pensant avoir oublié quelque chose, j'ai repris depuis le début le tuto et j'arrive au même résultat.

Avez-vous une piste pour m'aiguiller?

[oracle7]

@mickaeulkaeul

Bonjour,

Tu n'as peut-être pas vu l'ajout au TUTO fait à la fin du §6 ce qui serait toutefois normal si tu en étais encore qu'au §4 ! 🤔.

Donc ajoutes la variable d'environnement :

DEFAULT_ACME_SERVER='https://acme-v02.api.letsencrypt.org/directory'

dans ton fichier "account.conf" (/usr/local/share/acme.sh/account.conf) .

et relances la commande de création du certificat après t'être assuré que les autres variables d'environnement précédemment déclarées sont toujours actives sinon ré-exportes les une à une.

Cordialement

oracle7😉

[mickaeulkaeul]

je viens d'éditer le fichier "account.conf" dans /usr/local/share/acme.sh/account.conf

Oh surprise la ligne est déjà présente dans ce fichier :

DEFAULT_ACME_SERVER='https://acme-v02.api.letsencrypt.org/directory'

Je me suis assuré que toutes les variables d'environnement sont toujours actives avant de réexécuter la commande de création du certificat.

Comme il n'y a pas eu de changement, forcément j'obtiens le même résultat 😕