[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"

[KreaNum]

Bonjour @Mic13710,

Je veux bien croire que mon cas soit "unique", mais même si c'est le cas, cela n'excuse absolument pas le fait de clore un ticket, alors que le client l'a ouvert, et attends donc forcément une réponse (ne serait-ce qu'un bon vieux "Allez au Diable" (pour être poli)), et ce sans apporter ni réponse, ni solution.

C'est un manque flagrant de respect, de politesse, et surtout de professionnalisme... Ce qui est encore plus aberrant, venant d'une "grosse" entreprise comme eux...

[KreaNum]

Bonjour tout le monde,

@Mic13710

Je me devais de faire un petit retour sur mon problème concernant OVH (même si ce n'est pas entièrement lié au tuto ci-présent, mais cela reste connecté):

Le problème venais de l'activation de l'option DNS Anycast, qui mettait la pagaille dans la tambouille.

Il a suffit de modifier les serveurs DNS en supprimant les DNS anycast -> Valider

Attendre 48h pour que cela soit pris en compte

Refaire la création des Zones DNS

Si jamais cela peut servir aux personnes qui auraient éventuellement le même problème, tant mieux...

Modifié le 24 février 2023 par KreaNum

[Pinpon_112]

Personnellement, je suis aussi parti de chez OVH, non pas pour des problèmes de nom de domaine mais bien pour des problèmes de mail...
De plus, leur service de base gratuit est lent ou ne répond pas à nos demandes.

Pas de soucis chez Infomaniak à tous les niveaux, support réactif et aussi par téléphone et moins cher dans mon cas.

Fin de l'apparté 😉

[netgus]

Beau travail...

Je cherche le script qui ne semble plus être attaché au post (acme_renew.py).

Merci pour votre aide.

[Audio]

Bonjour @netgus,

Ci-joint la version 1.44 d'aout 2020 du script acme_renew.py qui est a priori compatible du paquet Python 3 de Synology. Cependant je ne sais pas si elle est toujours fonctionnelle, de mon côté j'utilise la version Docker d'acme.sh.

Cordialement

Audio

acme_renew.py

[netgus]

Merci @Audio pour le fichier.

Sans vouloir abuser, aurais-tu le tuto pour la version avec Docker...

[Audio]

Pour @netgus

Le tuto pour acme.sh sous Docker est disponible à la page suivante

https://www.nas-forum.com/forum/topic/68046-tuto-certificat-lets-encrypt-avec-acmesh-api-ovh-en-docker-dsm67-update-070922/

Il vaut mieux t'y référer en priorité afin de bénéficier de la version la plus à jour du tuto, merci @Einsteinium

Cordialement - Audio

[jinored]

Salut Oracle7

 

je viens de reussir à configuré à deployé le certificat et le renouvellement automatique du moins je pense.

j'ai rencontré quelque bugs que j'ai réussi à contourné alors je partage :

- les simples cotes "'", il faut absolument utilisé celle du terminal sinon ça ne marche pas (attention au copier-coller)

- localhost doit être remplacé par votre "ip" localhost commençant par 192. chez moi

- je crois avoir compris pourquoi "...il est nécessaire de spécifier une chaîne vide pour ce paramètre. Ne me demandez pas pourquoi ! (si un « initié » sait, je corrigerai en conséquence avec l’explication du pourquoi).... export SYNO_Certificate=""  ... de mon côté cela ne fonctionnais pas avec une chaîne vide surement car j'avais déjà un certificat que j'avais nommé donc une chaîne vide pour ce paramètre ne fonctionnais pas, alors j'ai mis le nom que j'avais donné à mon certificat par défaut et cela à fonctionné. La chaîne vide doit sûrement fonctionner lorsque le certificat n'est pas renommé?? Je ne suis pas un initié, ce n'est peut être pas la bonne raison mais je tenais à le partagé au cas où.

 

merci encore pour le tuto

[Stixen92]

Bonjour @oracle7 et à tous les autres,

Gros problème pour moi ce matin.
Impossible de renouveler mon certificat SSL via le script présenté dans ce tuto,  que ce soit via le planificateur de tâches de DSM ou via l'invite de commandes de WinSCP...

Alors qu'habituellement, le renouvellement se passe bien (cela a déjà bloqué 1 ou 2 fois dans le passé mais ponctuellement).

Voici ce que me dit le log:

[Tue Sep  5 11:55:50 CEST 2023] Add txt record error.
[Tue Sep  5 11:55:50 CEST 2023] Error add txt for domain:_acme-challenge.ndd.fr
[Tue Sep  5 11:55:50 CEST 2023] _on_issue_err
[Tue Sep  5 11:55:50 CEST 2023] Please check log file for more details: /volume1/Certs/Acme_renew/acmesh.log.1


La lecture du fichier "acmesh.log.1" ne m'apporte aucune information supplémentaire par rapport au fichier log principal...

Serait-ce un souci de configuration côté OVH?

Autre?

Merci d'avance pour votre aide.

 

 

[Stixen92]

Bonjour,

Après quelques bidouillages, mon problème a évolué mais pas en bien...

Je rencontre une grosse galère avec le script de renouvellement (acme_renew.py)...

Je vais vous expliquer tout par étape.

1) Au début,, j'avais une banale erreur de problème d'ajout de l'enregistrement TXT dans mon DNS.

Cela fait 2 ans que j'utilise le script de renouvellement "acme_renew.py".
Ce genre d'erreur arrivait de temps en temps mais jamais aussi longtemps...

Cette fois-ci cela a persisté...

Message d'erreur:

[Tue Sep  5 11:55:50 CEST 2023] Add txt record error.
[Tue Sep  5 11:55:50 CEST 2023] Error add txt for domain:_acme-challenge.ndd.tld
[Tue Sep  5 11:55:50 CEST 2023] _on_issue_err


2) Après moults recherches sur le net, j'ai tenté la commande (foireuse) ci-dessous que j'ai trouvé sur le forum officiel Let's Encrypt...

La commande foireuse en question:

./acme.sh --issue --home . -d 'ndd.tld' --dns dns_cf --debug 2

3) Mauvaise idée que j'ai eue car ensuite, le script de renouvellement ne voulait plus fonctionner...

Message d'erreur:

-- Le nom de domaine (ndd.tld) est erroné ou mal configure avec acme.sh.
-- Arret du script de renouvellement du certificat


4) J'ai modifié le fichier "ndd.tld.conf" au niveau de "Le_Alt" et "Le_Webroot" (valeurs manquantes ou erronées suite à l'exécution de la commande trouvée sur le forum Let's Encrypt).

5) Suite à cela, le script de renouvellement s'est enfin remis à fonctionner mais les dates (création et renouvellement) inscrites dans le fichier "ndd.tld.conf" sont dans un format invalide.

Exemple:
Il me donne ce format de date:

Le_CertCreateTimeStr='2023-09-06T02:39:44Z'
Le_NextRenewTimeStr='2023-11-04T02:39:44Z'

Alors que normalement, je devrais avoir ce format de date:

Le_CertCreateTimeStr='Wed Sep 6 02:39:44 UTC 2023'
Le_NextRenewTimeStr='Sat Nov 4 02:39:44 UTC 2023'


5) À cause de ce problème de date dans le fichier "ndd.tld.conf", j'ai systématiquement ce message d'erreur quand j'exécute le script de renouvellement "acme_renew.py".

Voici le message d'erreur en question:

/volume1/Certs$ python3 /volume1/Scripts/acme_renew.py -f ndd.tld
  
Traceback (most recent call last):

  File "/volume1/Scripts/acme_renew.py", line 626, in <module>
    element = datetime.strptime(createTS[2],"%a %b %d %H:%M:%S %Z %Y")

  File "/var/packages/py3k/target/usr/local/lib/python3.8/_strptime.py", line 568, in _strptime_datetime
    tt, fraction, gmtoff_fraction = _strptime(data_string, format)

  File "/var/packages/py3k/target/usr/local/lib/python3.8/_strptime.py", line 349, in _strptime
    raise ValueError("time data %r does not match format %r" %
ValueError: time data '2023-09-06T02:39:44Z' does not match format '%a %b %d %H:%M:%S %Z %Y'



En changeant la date au bon format ou en mettant un ancien fichier "ndd.tld.conf", le script de renouvellement "acme_renew.py" accepte enfin de s'exécuter.

Mais après exécution, rebelote, le fichier "ndd.tld.conf" contient de nouveau une date de création et une date de renouvellement au mauvais format...

J'ai même supprimé acme.sh et l'ai réinstallé. Mais le problème de date incorrecte persiste!

De plus, autre problème, le déploiement du certificat refuse de se faire alors que pendant 2 ans, avec les mêmes login et mot de passe (avec authentification 2 facteurs), le déploiement se faisait sans problème...

Bref, double galère..


Mes questions:

1) Comment faire pour que le fichier "ndd.tld.conf", modifié à chaque renouvellement, affiche de nouveau la date de création et de renouvellement au bon format?

Tant que les dates ne seront pas au bon format dans le fichier "ndd.tld.conf", impossible de renouveler mon certificat...

2) Comment faire pour le déploiement du certificat se fasse de nouveau correctement au niveau de DSM?


Merci d'avance pour votre aide!

Modifié le 6 septembre 2023 par Stixen92

[Stixen92]

Bonjour,

Plus personne ne semble être actif sur ce post...C'est bien dommage...

De mon côté, je suis toujours coincé.

- Si j'utilise la version 2.8.9 d'acme-sh, j'obtiens systématiquement le message d'erreur:

Add txt record error.
Error add txt for domain:_acme-challenge.ndd.tld
_on_issue_err

Alors que tout est bien configuré côté OVH, niveau API (application key, application secret, consumer key, etc).


-Si j'utilise la dernière version d'acme-sh (3.0.6), le certificat SSL est bien renouvelé mais les dates inscrites (création et renouvellement) dans le fichier "ndd.tld.conf" sont au mauvais format (comme expliqué précédemment) et bloquent le prochain renouvellement.
Obligé de rentrer manuellement les dates, au bon format, dans le fichier "ndd.tld.conf" et donc je perds le renouvellement automatique.

Sans parler du fait que le déploiement du certificat ne fonctionne pas, malgré que la valeur "SYNO_DID", pour la double authentification soit correcte...

Quelqu'un peut m'aider?

 

@oracle7 @bruno78

[darkneo]

Hello,

Etrange ton soucis, car personnellement je n'ai pas eu ce message d'erreur... Et j'ai bien les date au form avec le Z a la fin...

Par contre je suis confronté à un blocage un peu différent... J'ai mon réseau internet qui était down (alors que la boucle locale était OK). le script de rnew a donc certainement été lancé et a du tomber en échec car impossible de joindre LE (car évidemment depuis le temps je ne garde plus les logs). Sauf que le script a mis à jour les date de renouvellement de certificat, et que maintenant je me retrouve avec:

- Un certificat expiré

- un script de renew qui me dit qu'il n'est pas nécessaire de renouveller le certificat...

J'ai essayé de changer la date dans le fichier conf, mais cela ne fonctionne pas. J'ai essayé de forcer le renouvellement via -f dans le script de renew, mais ca ne fonctionne pas non plus... De mon côté cela plutôt etre l'url de renouvellement des certificat du synology qui ne fonctionne plus:

Citation

[Wed Sep 20 13:53:31 CEST 2023] url='http://localhost:5000/webapi/entry.cgi?api=SYNO.API.Auth&version=6&method=login&format=sid&account=User&passwd=PWD&otp_code=&enable_syno_token=yes&enable_device_token=yes&device_name=CertRenewal'
[Wed Sep 20 13:53:31 CEST 2023] timeout=
[Wed Sep 20 13:53:31 CEST 2023] _CURL='curl --silent --dump-header /usr/local/share/acme.sh/http.header  -L  -g '
[Wed Sep 20 13:53:31 CEST 2023] ret='0'
[Wed Sep 20 13:53:31 CEST 2023] Session ID
[Wed Sep 20 13:53:31 CEST 2023] SynoToken
[Wed Sep 20 13:53:31 CEST 2023] Unable to authenticate to http://localhost:5000 - check your username & password.
[Wed Sep 20 13:53:31 CEST 2023] If two-factor authentication is enabled for the user, set SYNO_Device_ID.
[Wed Sep 20 13:53:31 CEST 2023] Error deploy for domain:MyDomain.ovh
[Wed Sep 20 13:53:31 CEST 2023] Deploy error.
[Wed Sep 20 13:53:31 CEST 2023] Return code: 1
[Wed Sep 20 13:53:31 CEST 2023] Error renew MyDomain.ovh.

Quand je tape l'url, j'ai un page JSON qui m'affiche juste

Citation

{"error":{"code":102},"success":false}

EDIT: Je ne sais pas comment tu as démarré tes investigations, mais dans mon cas le soucis a déjà été identifié: https://github.com/acmesh-official/acme.sh/issues/4721

La question c'est maintenant... Comment je reviens à la version 3.0.6 et comment je desactive l'autoupdate... 🙂

EDIT2: Pour ceux qui auraient le soucis, il faut passer le autoupdate dans account.conf à 0

Modifié le 20 septembre 2023 par darkneo

[vegeta0911]

bonjour Oracle7 

je viens de modifier le fichier du synology_dsm.sh a ligne 131 et 134 pour forcer la touche enter sans rien mettre pour l'otp est ça fonctionne pour moi.

a testé si tu veux pour le rendre plus efficace. 😄

synology_dsm.sh