[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"

[oracle7]

@Double Jo

Bonjour,

Bon bah super tu as tes deux certificats ainsi. 🤗

Cordialement

oracle7😉

[romain1206]

Il y a 22 heures, oracle7 a dit :

@romain1206

Bonjour,

Vu qu'acme.sh bute sur l'url " https://acme-v02.api.letsencrypt.org/directory ", je serais tenter de dire (mais sans garantie) que ce sont les serveurs de LE qui sont surchargés ou bien qu'il ne peut les atteindre du fait que le ports 80 et 443 ne sont pas ouverts dans ton pare-feu du NAS au moment du renouvellement.

Assures-toi aussi qu'il n'y a pas (plus) dans ta zone DNS chez OVH d'enregistrements TXT du type " _acme-challenge.ndd.tld ". Si Oui supprimes le(s). Ils sont normalement crés et supprimés par acme.sh mais restent en cas d'erreurs.

Cordialement

oracle7😉

je viens de verifier sur la zone DNS aucune entrée txt de ce type

pour moi les serveurs ne sont pas surchargés, on dirait une erreur de certificat car le curl https://acme-v02.api.letsencrypt.org/directory --insecure fonctionne

j'ai tenter d'ajouter HTTPS_INSECURE=1 dans account.conf j'ai relancer le script, ca fonctionne mais le script indique

-- Nouveau certificat par DEFAULT : AVfl7G
--- Le certificat n'a pas ete renouvele.
--- => Consulter le log : /volume1/Certs/Acme_renew/acmelog
--- Fin de la procedure

alors que le certificat a été renouvellé

 

[oracle7]

@romain1206

Bonjour,

il y a 10 minutes, romain1206 a dit :

j'ai tenter d'ajouter HTTPS_INSECURE=1 dans account.conf j'ai relancer le script, ca fonctionne

Si initialement tu as fait le déploiement du certificat en HTTPS avec le port 5001, il fallait ajouter l'option "--insecure" dans la commande de déploiement du certificat. Je ne connaissais pas cette variable HTPS_INSECURE qui semble revenir au même.

il y a 13 minutes, romain1206 a dit :

mais le script indique

....

alors que le certificat a été renouvellé

C'est un bug connu du scrypt python mais qui ne sera pas corrigé, perturbant certes mais comme ce n'est pas bloquant cela restera comme cela.

Cordialement

oracle7😉

[romain1206]

j'ai trouvé cette options en voulant ajouter --insecure a toutes les commandes CURL dans le fichier acme et me suis apercu que cette option existe dans fichier acme.sh

 

merci de votre aide en tout cas et du boulot réalisé sur ce script

 

[oracle7]

@romain1206

You're welcome ...😀

 

[undersailor]

Bonjour à tous,

 

j'utilise la méthode de oracle7 depuis plusieurs mois (années?) sans aucun problème.

Sauf que depuis fin 2021, aucun moyen de renouveler mon certificat...

Dès que j'essaie de le renouveler, j'ai cette erreur là :

Citation

'ndd.fr' is not an issued domain, skip.

J'ai tout essayé, tout réinstallé, rien n'y fait...

 

Impossible même de recréer un certificat, il ne m'affiche que 

Citation

Changed default CA to: https://acme-v02.api.letsencrypt.org/directory

Pourtant mon ndd est bien existant et j'ai bien payé ma facture à OVH 😄

Je ne comprends pas d'où ça peut venir.

 

Help !

[Jeff777]

Bonjour @undersailor

Si tu parcoures le forum avec assiduité tu as certainement constaté que tous les membres appréciaient une petit présentation dans la rubrique adhoc pour aider au dépannage et par simple courtoisie 😉

Pour ton soucis teste déjà ton domaine sur https://www.zonemaster.net/ pour voir s'il n'est pas bancale.

[undersailor]

Bonjour @Jeff777, en effet, simple visiteur depuis des années, tu m'as permis de franchir le pas, merci à toi ! (présentation faite).

 

Pour revenir à nos moutons, il n'y a rien de spécial dans les résultats affichés par zonemaster.

[Jeff777]

Dans ce cas le mieux est d'attendre qu' @oracle7 se manifeste. Il est souvent présent 😉

[oracle7]

@undersailor

Bonjour,

Peux-tu vérifier que :

• la variable d'environnement DEFAULT_ACME_SERVER='https://acme-v02.api.letsencrypt.org/directory' est bien définie dans le fichier account.conf (/usr/local/share/acme.sh/account.conf).
• il n'y a pas (plus) dans ta zone DNS chez OVH d'enregistrements TXT du type " _acme-challenge.ndd.tld ". Si Oui supprimes le(s). Ils sont normalement créés et supprimés par acme.sh mais restent en cas d'erreurs.

Peux-tu aussi STP fournir la partie du log avec les erreurs que tu rencontres.

Enfin tu es sous quelle version de DSM ?

Si tu es en DSM6 tu conserves la tâche de renouvellement avec le script python (cf TUTO) et si tu es sous DSM7 le script python n'est plus utile donc tu remplaces par la tâche suivante :

bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --home /usr/local/share/acme.sh/

 

PS :  vu ton pseudo, as-tu un rapport/lien avec la sous-marinade MN ?

Cordialement

oracle7😉

[undersailor]

Merci de ta réponse rapide @oracle7.

1) variable bien en place dans mon fichier /usr/local/share/acme.sh/account.conf

2) pas d'enregistrement TXT sur mon domaine OVH

3) je n'ai pas de log car j'ai tout viré avant de tout réinstaller, et depuis, vu qu'il ne me créé pas de nouveau certificat, je n'ai pas de fichier de log...

4) DSM 6.2.4 avec tâche conservée (je n'y ai pas touché)

 

pour le P.S, on voit ça en DM 😉

[oracle7]

@undersailor

Bonjour,

Au fait, si tu as tenté plus de cinq fois un renouvellement dans la même semaine calendaire, saches alors que tu es bloqué par LE pour une semaine à compter de ta dernière tentative.

Ceci pourrait expliquer alors cela ...

Il te faut donc attendre la levée de la limitation en cours.

Cordialement

oracle7😉

[undersailor]

Merci de ta réponse rapide @oracle7.

Pour info, j'ai ce problème depuis fin 2021/début 2022 donc ce n'est pas une histoire d'essais max. (mon certificat expire demain donc forcément je m'y met aujourd'hui 🤣)

Effectivement, je n'arrive même pas à cette étape (il skip complètement mon domaine donc ne fais pas la création de certificat, la connexion à OVH ou encore la MAJ du certificat sur mon NAS).

[oracle7]

@undersailor

Bonjour,

Il serait bien alors que tu vérifies sérieusement ton environnement (zone DNS de ton domaine) chez OVH car LE vérifie que le domaine pour le quel un certificat est à créer, doit être valide. A la moindre erreur, LE ne va pas plus loin.

Peut-être aussi que tu aurais un problème avec tes clés API chez OVH, par ex elles ne seraient plus valides/expirées peut-être ?

Donc quitte à tout refaire comme tu l'as dit, alors supprimes les clés existantes et recrées-les selon le TUTO.

Pour les supprimer tu appliques ceci :

Citation

Supprimer des clés API :

·         Se connecter sur OVH ici : https://api.ovh.com/console/ (avec le compte -ovh, pas l'@eMail)

·         Aller sur : https://api.ovh.com/console/#/me/api/application#GET et cliquer sur le bouton « execute »

·         On obtient la liste des ID d’applications API déjà créées

·         Dans https://api.ovh.com/console/#/me/api/application/%7BapplicationId%7D#GET saisir/coller l’ID dans le champ « applicationId » puis « execute »

·         Pour supprimer l’application : aller dans : https://api.ovh.com/console/#/me/api/application/%7BapplicationId%7D#DELETE et saisir/coller l’ID dans le champ « applicationId » puis « execute ».

Cordialement

oracle7😉

[Pathe]

Bonjour,

 

Merci @oracle7 pour ce super tuto (et tous les autres contributeurs) qui m'a permis de bien avancer sur la sécurisation de mes accès!

PI, j'ai rencontré le même problème que @undersailor sur le "change default CA".
Après plusieurs tentatives, j'ai simplement enlevé "--set-default-ca --server letsencrypt" de la commande ci-dessous

./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" --dns "$CERT_DNS" --set-default-ca --server letsencrypt

Ca fonctionne et pour le moment pas de problème sur le certificat.
Mais n'étant pas hyper initié, je ne sais pas quel impact ca peut avoir sur le long terme. Quid lors de l'exécution du script?

A bientôt

[oracle7]

@Pathe

Bonjour,

1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit, rassures-toi il n'est pas trop tard pour bien faire ...

2. il y a 15 minutes, Pathe a dit :

   je ne sais pas quel impact ca peut avoir sur le long terme. Quid lors de l'exécution du script?

   L'usage des deux options "--set-default-ca --server letsencrypt" n'est utile que lors de la toute première utilisation de la commande de création du certificat. Ensuite acme.sh inscrit (garde en mémoire) le choix de passer par LE au lieu de ZeroSSL dans la variable d'environnement DEFAULT_ACME_SERVER='https://acme-v02.api.letsencrypt.org/directory' qu'il inscrit dans le fichier account.conf (/usr/local/share/acme.sh/account.conf).
   Par la suite, si cette variable est présente, il la relit directement automatiquement et c'est pourquoi les deux options suscitées ne sont alors plus utiles et il faut les retirer comme tu l'as fai . Donc sans impact sur la suite.

Cordialement

oracle7😉
 

[Pathe]

Oui, effectivement, j'ai fait les messages dans le désordre. La présentation a été faite 🙂

Comme tu l'avais conseillé dans un autre commentaire, je suis aller vérifier cette variable d'environnement et elle etait bien fixée. Donc je n'ai pas eu trop peur.

Merci pour la confirmation

[Pinpon_112]

Bonjour @oracle7,

Petite question, je suis toujours sous DSM 6.  Je n'ai jamais osé passé en DSM 7 à cause du certificat LE que je renouvelle selon ton tuto.  Avec mon NAS, je n'ai pas de Docker possible.

Donc, si je passe en DSM7, pourrais-je toujours avoir mes certificats comme maintenant ?

Merci à toi,

[oracle7]

@Pinpon_112

Bonjour,

il y a 33 minutes, Pinpon_112 a dit :

Donc, si je passe en DSM7, pourrais-je toujours avoir mes certificats comme maintenant ?

Oui, la seule différence est que sous DSM7 tu n'auras plus besoin d'utiliser le script python pour le renouvellement du certificat LE.

Je te laisse remonter et regarder dans les derniers échanges, j'ai indiqué la commande à mettre dans le planificateur de tâches à la place de celle qui lance le script python. Pour le reste c'est sans changement.

Cordialement

oracle7😉

[Double Jo]

Bonjour.

Vous aussi du jour au lendemain vous avez eu ce genre d'erreur (je suis chez OVH)?
 

[Sun Feb 20 01:00:17 CET 2022] error {"message":"This credential is
not valid","httpCode":"403
Forbidden","errorCode":"INVALID_CREDENTIAL"}
[Sun Feb 20 01:00:17 CET 2022] The consumer key is invalid:
tUg4erO1sSTK3ye7itSwoYbsLhYwYPyL
[Sun Feb 20 01:00:17 CET 2022] Please retry to create a new one.

 

[oracle7]

@Double Jo

Bonjour,

Peut-être bien que la validité de tes clés API OVH a expirée, ce qui expliquerait ton message d'invalidité. A toi de vérifier chez OVH.

Si c'est le cas, lors de leur création tu as dû mal configurer le champ "Validity" en ne le mettant pas sur "Unlimited" (voir le TUTO au §3.1).

Au final, tu es bon pour supprimer tes clés API et en recréer de nouvelles pour recréer ton certificat LE.

Cordialement

oracle7😉

Modifié le 22 février 2022 par oracle7

[Double Jo]

Merci, je pense que tu as raison 🙂

Je viens de me connecter en ssh, via le compte root et je m'étonne que quand je fais un "env", je ne vois pas les 4 variables d'environnement OVH dans la liste (OVH_AK, OVH_CK, ...)

Pourtant lors du tuto on a bien fait un "export" des ces 4 variables.
Tu sais où elles atterrissent?

[oracle7]

@Double Jo

Bonjour,

Il y a 2 heures, Double Jo a dit :

Pourtant lors du tuto on a bien fait un "export" des ces 4 variables.
Tu sais où elles atterrissent?

Elles sont sauvegardées dans le fichier : /usr/local/share/acme.sh/account.conf sous :

• SAVED_OVH_AK,
• SAVED_OVH_AS,
• et OVH_CK.

Attention cette sauvegarde n'est valide que tant que les clés API sont valides coté OVH !

EDIT : Pour mémoire avec la commande "env" tu vois les variables d'environnement définies durant la session courante. Comme tu viens après coup (la session de création du certificat est terminée) il est donc normal que tu ne vois plus les dites variables d'environnement et leur contenu.

Cordialement

oracle7😉

Modifié le 22 février 2022 par oracle7

[Double Jo]

Bon je décris ce que j'ai fait si ça peut aider des gens.

Je suis allé vérifier si mes clés OVH étaient expirées (dans mon souvenir je n'avais pas mis de date d'expiration)
L'API OVH me confirme qu'il n'y a pas de date:

 

oracle7 m'a dit que les 3 clés OVH étaient stockées dans le fichier
/usr/local/share/acme.sh/account.conf

Or je n'avais que SAVED_OVH_AK et SAVED_OVH_AS.
Pas de OVH_CK donc.

Dans le code source du script ACME pour OVH, ici:
https://github.com/acmesh-official/acme.sh/blob/15c68c95940620f1db1b9b5704e730f681ad2f9c/dnsapi/dns_ovh.sh#L95

On voit qu'il supprime la variable OVH_CK s'il détecte un changement de clé.
Ça expliquerait l'absence de valeur de mon côté.

Je l'ai simplement remise, j'ai relancé et c'est reparti.
Je n'explique pas sa suppression.

[oracle7]

@Double Jo

Bonjour,

Il y a 18 heures, Double Jo a dit :

Je n'explique pas sa suppression.

????? Tu viens toi même de donner l'explication 🤪

Il y a 18 heures, Double Jo a dit :

dans mon souvenir je n'avais pas mis de date d'expiration

Ne rien mettre n'est pas la même chose que de mettre "Unlimited"  !

 Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

Cordialement

oracle7😉

Modifié le 23 février 2022 par oracle7