[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"

[oracle7]

@TuringFan

Bonjour

Comme d'habitude : ndd.tld, @IP externe, éventuelles clés OVH, Identifiant, MdP, etc ...

Cordialement

oracle7😉

 

[TuringFan]

@oracle7 et @bruno78,

Peut être un élément utile, j'ai essayé de lancer le script avec l'option -c depuis PuTTY avec la commande python acme_renew.py -c mondomaine.ndd. Le log admin se fait bien, en revanche j'obtiens le message d'erreur suivant :

Traceback (most recent call last):
  File "acme_renew.py", line 29, in <module>
    f = open(fichier, "r")
IOError: [Errno 13] Permission denied: u'/usr/local/share/acme.sh/account.conf'

Je en sais pas comment interpréter ce log ?

Sinon, vous trouverz ci-dessous mes logs : j'ai surligné des éléments peut-être pertinents (ou non).

N’hésitez pas non plus à me dire si j'ai laissé trainé des infos confidentielles au lieu d'utiliser des "*".

Log Python

09/13/2020 12:06:50 PM INFO:>>  Lancement du script acme_renew.py
09/13/2020 12:06:50 PM INFO:>>  Si option -h ou -v, alors pas d'autre log
09/13/2020 12:06:50 PM INFO:
09/13/2020 12:06:50 PM INFO:>> acme_renew release   : Version 1.44 Released -- 21-aout-2020
09/13/2020 12:06:50 PM INFO:>> version python sys   : Python 2.7.12
09/13/2020 12:06:50 PM INFO:     SYNOCERT           : /usr/syno/etc/certificate
09/13/2020 12:06:50 PM INFO:     LOCALCERT          : /usr/local/etc/certificate
09/13/2020 12:06:50 PM INFO:     ACMECERTS          : /volume1/Certs
09/13/2020 12:06:50 PM INFO:     ndd.tld            : mondomaine.ndd
09/13/2020 12:06:50 PM INFO:     certtype           : RSA
09/13/2020 12:06:50 PM INFO:     scriptdir          : /volume1/Certs/Acme_renew
09/13/2020 12:06:50 PM INFO:     log         [-l]   : True
09/13/2020 12:06:50 PM INFO:     clean       [-c]   : False
09/13/2020 12:06:50 PM INFO:     force       [-f]   : False
09/13/2020 12:06:50 PM INFO:     test        [-t]   : False
09/13/2020 12:06:50 PM INFO:-- Lecture du fichier /usr/syno/etc/certificate/_archive/DEFAULT
09/13/2020 12:06:50 PM INFO:-- Ancien certificat par DEFAULT, a renouveler : ******
09/13/2020 12:06:50 PM INFO:-- Lecture du fichier /usr/syno/etc/certificate/_archive/INFO
09/13/2020 12:06:50 PM INFO:-- Date de renouvellement autorisee (T0+60 jours par defaut) : Mon Aug 24 20:42:28 UTC 2020
09/13/2020 12:06:50 PM INFO:-- La date de renouvellement du certificat est atteinte
09/13/2020 12:06:50 PM INFO:-- Debut de la procedure de renouvellement
09/13/2020 12:06:50 PM INFO:-- Sauvegarde du repertoire SYNOCERT/_archive: tar cvfP /usr/syno/etc/certificate/_archive.tar.************** /usr/syno/etc/certificate/_archive/
09/13/2020 12:06:50 PM INFO:-- listesrv : liste packages et services concernes par ce certificat :
09/13/2020 12:06:50 PM INFO:  -- [subscriber][service][display_name][isPkg] : [system] [default] [DSM Desktop Service] [False]
09/13/2020 12:06:50 PM INFO:  -- [subscriber][service][display_name][isPkg] : [smbftpd] [ftpd] [FTPS] [False]
09/13/2020 12:06:50 PM INFO:  -- [subscriber][service][display_name][isPkg] : [SynologyDrive] [SynologyDrive] [Synology Drive Server] [True]
09/13/2020 12:06:50 PM INFO:  -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [audio.mondomaine.ndd] [False]
09/13/2020 12:06:50 PM INFO:  -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [nas.mondomaine.ndd] [False]
09/13/2020 12:06:50 PM INFO:  -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [drive.mondomaine.ndd] [False]
09/13/2020 12:06:50 PM INFO:  -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [video.mondomaine.ndd] [False]
09/13/2020 12:06:50 PM INFO:  -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [photo.mondomaine.ndd] [False]
09/13/2020 12:06:50 PM INFO:  -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [vpn.mondomaine.ndd] [False]
09/13/2020 12:06:50 PM INFO:  -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [chat.mondomaine.ndd] [False]
09/13/2020 12:06:50 PM INFO:  -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [download.mondomaine.ndd] [False]
09/13/2020 12:06:50 PM INFO:  -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [files.mondomaine.ndd] [False]
09/13/2020 12:06:50 PM INFO:  -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [note.mondomaine.ndd] [False]
09/13/2020 12:06:50 PM INFO:-- Renouvellement certificat via acme.sh
09/13/2020 12:06:50 PM INFO:-- Export des variables environnement : SYNO_Create, SYNO_Username, SYNO_Password, SYNO_DID
09/13/2020 12:06:50 PM INFO:-- Lancement de la commande de renouvellement : bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --log /volume1/Certs/Acme_renew/acmelog --home /usr/local/share/acme.sh/
09/13/2020 12:07:01 PM INFO:-- Nouveau certificat par DEFAULT : ******
09/13/2020 12:07:01 PM ERROR:-- Le certificat n'a pas ete renouvele.
09/13/2020 12:07:01 PM ERROR:-- Consulter le log de acme.sh : /volume1/Certs/Acme_renew/acmelog
09/13/2020 12:07:01 PM ERROR:-- Fin de la procedure

Log ACME

[Sun Sep 13 12:06:50 CEST 2020] Lets find script dir.
[Sun Sep 13 12:06:50 CEST 2020] _SCRIPT_='/usr/local/share/acme.sh/acme.sh'
[Sun Sep 13 12:06:50 CEST 2020] _script='/usr/local/share/acme.sh/acme.sh'
[Sun Sep 13 12:06:50 CEST 2020] _script_home='/usr/local/share/acme.sh'
[Sun Sep 13 12:06:50 CEST 2020] Using config home:/usr/local/share/acme.sh/
[Sun Sep 13 12:06:50 CEST 2020] Running cmd: cron
[Sun Sep 13 12:06:50 CEST 2020] Using config home:/usr/local/share/acme.sh/
[Sun Sep 13 12:06:50 CEST 2020] default_acme_server
[Sun Sep 13 12:06:50 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Sun Sep 13 12:06:50 CEST 2020] ===Starting cron===
[Sun Sep 13 12:06:50 CEST 2020] Using config home:/usr/local/share/acme.sh/
[Sun Sep 13 12:06:50 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Sun Sep 13 12:06:50 CEST 2020] Installing from online archive.
[Sun Sep 13 12:06:50 CEST 2020] Downloading https://github.com/acmesh-official/acme.sh/archive/master.tar.gz
[Sun Sep 13 12:06:50 CEST 2020] GET
[Sun Sep 13 12:06:50 CEST 2020] url='https://github.com/acmesh-official/acme.sh/archive/master.tar.gz'
[Sun Sep 13 12:06:50 CEST 2020] timeout=
[Sun Sep 13 12:06:50 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header  -g '
[Sun Sep 13 12:06:51 CEST 2020] ret='0'
[Sun Sep 13 12:06:51 CEST 2020] Extracting master.tar.gz
[Sun Sep 13 12:06:51 CEST 2020] default_acme_server
[Sun Sep 13 12:06:51 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Sun Sep 13 12:06:51 CEST 2020] Skip install cron job
[Sun Sep 13 12:06:51 CEST 2020] Installing to /usr/local/share/acme.sh/
[Sun Sep 13 12:06:51 CEST 2020] Installed to /usr/local/share/acme.sh//acme.sh
[Sun Sep 13 12:06:51 CEST 2020] Good, bash is found, so change the shebang to use bash as preferred.
[Sun Sep 13 12:06:53 CEST 2020] OK
[Sun Sep 13 12:06:53 CEST 2020] Install success!
[Sun Sep 13 12:06:53 CEST 2020] Using config home:/usr/local/share/acme.sh/
[Sun Sep 13 12:06:53 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Sun Sep 13 12:06:53 CEST 2020] GET
[Sun Sep 13 12:06:53 CEST 2020] url='https://api.github.com/repos/acmesh-official/acme.sh/git/refs/heads/master'
[Sun Sep 13 12:06:53 CEST 2020] timeout=
[Sun Sep 13 12:06:53 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header  -g '
[Sun Sep 13 12:06:53 CEST 2020] ret='0'
[Sun Sep 13 12:06:53 CEST 2020] Upgrade success!
[Sun Sep 13 12:06:53 CEST 2020] Using config home:/usr/local/share/acme.sh/
[Sun Sep 13 12:06:53 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Sun Sep 13 12:06:53 CEST 2020] Auto upgraded to: 2.8.8
[Sun Sep 13 12:06:53 CEST 2020] Using config home:/usr/local/share/acme.sh/
[Sun Sep 13 12:06:53 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Sun Sep 13 12:06:53 CEST 2020] _stopRenewOnError
[Sun Sep 13 12:06:53 CEST 2020] _set_level='2'
[Sun Sep 13 12:06:53 CEST 2020] di='/volume1/Certs/domaine.ndd/'
[Sun Sep 13 12:06:53 CEST 2020] d='domaine.ndd'
[Sun Sep 13 12:06:53 CEST 2020] Using config home:/usr/local/share/acme.sh/
[Sun Sep 13 12:06:53 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Sun Sep 13 12:06:53 CEST 2020] DOMAIN_PATH='/volume1/Certs/domaine.ndd'
[Sun Sep 13 12:06:53 CEST 2020] Renew: 'domaine.ndd'
[Sun Sep 13 12:06:53 CEST 2020] Le_API='https://acme-v02.api.letsencrypt.org/directory'
[Sun Sep 13 12:06:53 CEST 2020] Using config home:/usr/local/share/acme.sh/
[Sun Sep 13 12:06:53 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Sun Sep 13 12:06:53 CEST 2020] _main_domain='domaine.ndd'
[Sun Sep 13 12:06:53 CEST 2020] _alt_domains='*.domaine.ndd'
[Sun Sep 13 12:06:53 CEST 2020] Using ACME_DIRECTORY: https://acme-v02.api.letsencrypt.org/directory
[Sun Sep 13 12:06:53 CEST 2020] _init api for server: https://acme-v02.api.letsencrypt.org/directory
[Sun Sep 13 12:06:53 CEST 2020] GET
[Sun Sep 13 12:06:53 CEST 2020] url='https://acme-v02.api.letsencrypt.org/directory'
[Sun Sep 13 12:06:53 CEST 2020] timeout=
[Sun Sep 13 12:06:53 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header  -g '
[Sun Sep 13 12:06:54 CEST 2020] ret='0'
[Sun Sep 13 12:06:54 CEST 2020] ACME_KEY_CHANGE='https://acme-v02.api.letsencrypt.org/acme/key-change'
[Sun Sep 13 12:06:54 CEST 2020] ACME_NEW_AUTHZ
[Sun Sep 13 12:06:54 CEST 2020] ACME_NEW_ORDER='https://acme-v02.api.letsencrypt.org/acme/new-order'
[Sun Sep 13 12:06:54 CEST 2020] ACME_NEW_ACCOUNT='https://acme-v02.api.letsencrypt.org/acme/new-acct'
[Sun Sep 13 12:06:54 CEST 2020] ACME_REVOKE_CERT='https://acme-v02.api.letsencrypt.org/acme/revoke-cert'
[Sun Sep 13 12:06:54 CEST 2020] ACME_AGREEMENT='https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf'
[Sun Sep 13 12:06:54 CEST 2020] ACME_NEW_NONCE='https://acme-v02.api.letsencrypt.org/acme/new-nonce'
[Sun Sep 13 12:06:54 CEST 2020] ACME_VERSION='2'
[Sun Sep 13 12:06:54 CEST 2020] Le_NextRenewTime='1598215348'
[Sun Sep 13 12:06:54 CEST 2020] Using CA: https://acme-v02.api.letsencrypt.org/directory
[Sun Sep 13 12:06:54 CEST 2020] _on_before_issue
[Sun Sep 13 12:06:54 CEST 2020] _chk_main_domain='domaine.ndd'
[Sun Sep 13 12:06:54 CEST 2020] _chk_alt_domains='*.domaine.ndd'
[Sun Sep 13 12:06:54 CEST 2020] Le_LocalAddress
[Sun Sep 13 12:06:54 CEST 2020] d='domaine.ndd'
[Sun Sep 13 12:06:54 CEST 2020] Check for domain='domaine.ndd'
[Sun Sep 13 12:06:54 CEST 2020] _currentRoot='dns_ovh'
[Sun Sep 13 12:06:54 CEST 2020] d='*.domaine.ndd'
[Sun Sep 13 12:06:54 CEST 2020] Check for domain='*.domaine.ndd'
[Sun Sep 13 12:06:54 CEST 2020] _currentRoot='dns_ovh'
[Sun Sep 13 12:06:54 CEST 2020] d
[Sun Sep 13 12:06:54 CEST 2020] _saved_account_key_hash is not changed, skip register account.
[Sun Sep 13 12:06:54 CEST 2020] Read key length:4096
[Sun Sep 13 12:06:54 CEST 2020] _createcsr
[Sun Sep 13 12:06:54 CEST 2020] Multi domain='DNS:domaine.ndd,DNS:*.domaine.ndd'
[Sun Sep 13 12:06:54 CEST 2020] Getting domain auth token for each domain
[Sun Sep 13 12:06:54 CEST 2020] d='*.domaine.ndd'
[Sun Sep 13 12:06:54 CEST 2020] d
[Sun Sep 13 12:06:54 CEST 2020] url='https://acme-v02.api.letsencrypt.org/acme/new-order'
[Sun Sep 13 12:06:54 CEST 2020] payload='{"identifiers": [{"type":"dns","value":"domaine.ndd"},{"type":"dns","value":"*.domaine.ndd"}]}'
[Sun Sep 13 12:06:54 CEST 2020] RSA key
[Sun Sep 13 12:06:54 CEST 2020] HEAD
[Sun Sep 13 12:06:54 CEST 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/new-nonce'
[Sun Sep 13 12:06:55 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header  -g  -I  '
[Sun Sep 13 12:06:55 CEST 2020] _ret='0'
[Sun Sep 13 12:06:55 CEST 2020] POST
[Sun Sep 13 12:06:55 CEST 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/new-order'
[Sun Sep 13 12:06:55 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header  -g '
[Sun Sep 13 12:06:56 CEST 2020] _ret='0'
[Sun Sep 13 12:06:56 CEST 2020] code='201'
[Sun Sep 13 12:06:56 CEST 2020] Le_LinkOrder='https://acme-v02.api.letsencrypt.org/acme/order/88809261/5164232338'
[Sun Sep 13 12:06:57 CEST 2020] Le_OrderFinalize='https://acme-v02.api.letsencrypt.org/acme/finalize/88809261/5164232338'
[Sun Sep 13 12:06:57 CEST 2020] url='https://acme-v02.api.letsencrypt.org/acme/authz-v3/**********'
[Sun Sep 13 12:06:57 CEST 2020] payload
[Sun Sep 13 12:06:57 CEST 2020] POST
[Sun Sep 13 12:06:57 CEST 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/authz-v3/**********'
[Sun Sep 13 12:06:57 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header  -g '
[Sun Sep 13 12:06:57 CEST 2020] _ret='0'
[Sun Sep 13 12:06:57 CEST 2020] code='200'
[Sun Sep 13 12:06:57 CEST 2020] url='https://acme-v02.api.letsencrypt.org/acme/authz-v3/7187944419'
[Sun Sep 13 12:06:57 CEST 2020] payload
[Sun Sep 13 12:06:57 CEST 2020] POST
[Sun Sep 13 12:06:57 CEST 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/authz-v3/7187944419'
[Sun Sep 13 12:06:57 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header  -g '
[Sun Sep 13 12:06:58 CEST 2020] _ret='0'
[Sun Sep 13 12:06:58 CEST 2020] code='200'
[Sun Sep 13 12:06:58 CEST 2020] d='domaine.ndd'
[Sun Sep 13 12:06:58 CEST 2020] Getting webroot for domain='domaine.ndd'
[Sun Sep 13 12:06:58 CEST 2020] _w='dns_ovh'
[Sun Sep 13 12:06:58 CEST 2020] _currentRoot='dns_ovh'
[Sun Sep 13 12:06:58 CEST 2020] entry='"type":"dns-01","status":"pending","url":"https://acme-v02.api.letsencrypt.org/acme/chall-v3/7187944419/******","token":"*******************************************"'
[Sun Sep 13 12:06:58 CEST 2020] token='*******************************************'
[Sun Sep 13 12:06:58 CEST 2020] uri='https://acme-v02.api.letsencrypt.org/acme/chall-v3/7187944419/******'
[Sun Sep 13 12:06:58 CEST 2020] keyauthorization='*******************************************.*******-***************************_*******'
[Sun Sep 13 12:06:58 CEST 2020] dvlist='domaine.ndd#*******************************************.*******-***************************_*******#https://acme-v02.api.letsencrypt.org/acme/chall-v3/7187944419/******#dns-01#dns_ovh'
[Sun Sep 13 12:06:58 CEST 2020] d='*.domaine.ndd'
[Sun Sep 13 12:06:58 CEST 2020] Getting webroot for domain='*.domaine.ndd'
[Sun Sep 13 12:06:58 CEST 2020] _w='dns_ovh'
[Sun Sep 13 12:06:58 CEST 2020] _currentRoot='dns_ovh'
[Sun Sep 13 12:06:59 CEST 2020] entry='"type":"dns-01","status":"pending","url":"https://acme-v02.api.letsencrypt.org/acme/chall-v3/**********/******","token":"-*****_********************-***************"'
[Sun Sep 13 12:06:59 CEST 2020] token='-*****_********************-***************'
[Sun Sep 13 12:06:59 CEST 2020] uri='https://acme-v02.api.letsencrypt.org/acme/chall-v3/**********/******'
[Sun Sep 13 12:06:59 CEST 2020] keyauthorization='-*****_********************-***************.*******-***************************_*******'
[Sun Sep 13 12:06:59 CEST 2020] dvlist='*.domaine.ndd#-*****_********************-***************.*******-***************************_*******#https://acme-v02.api.letsencrypt.org/acme/chall-v3/**********/******#dns-01#dns_ovh'
[Sun Sep 13 12:06:59 CEST 2020] d
[Sun Sep 13 12:06:59 CEST 2020] vlist='domaine.ndd#*******************************************.*******-***************************_*******#https://acme-v02.api.letsencrypt.org/acme/chall-v3/7187944419/******#dns-01#dns_ovh,*.domaine.ndd#-*****_********************-***************.*******-***************************_*******#https://acme-v02.api.letsencrypt.org/acme/chall-v3/**********/******#dns-01#dns_ovh,'
[Sun Sep 13 12:06:59 CEST 2020] d='domaine.ndd'
[Sun Sep 13 12:06:59 CEST 2020] _d_alias
[Sun Sep 13 12:06:59 CEST 2020] txtdomain='_acme-challenge.domaine.ndd'
[Sun Sep 13 12:06:59 CEST 2020] txt='*******************************_***********'
[Sun Sep 13 12:06:59 CEST 2020] d_api='/usr/local/share/acme.sh/dnsapi/dns_ovh.sh'
[Sun Sep 13 12:06:59 CEST 2020] Found domain api file: /usr/local/share/acme.sh/dnsapi/dns_ovh.sh
[Sun Sep 13 12:06:59 CEST 2020] Adding txt value: *******************************_*********** for domain:  _acme-challenge.domaine.ndd
[Sun Sep 13 12:06:59 CEST 2020] Using OVH endpoint: ovh-eu
[Sun Sep 13 12:06:59 CEST 2020] OVH_API='https://eu.api.ovh.com/1.0'
[Sun Sep 13 12:06:59 CEST 2020] OVH consumer key is empty, Let's get one:
[Sun Sep 13 12:06:59 CEST 2020] POST
[Sun Sep 13 12:06:59 CEST 2020] _post_url='https://eu.api.ovh.com/1.0/auth/credential'
[Sun Sep 13 12:06:59 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header  -g '
[Sun Sep 13 12:06:59 CEST 2020] _ret='0'
[Sun Sep 13 12:06:59 CEST 2020] validationUrl='https://eu.api.ovh.com/auth/?credentialToken=****************************************************************'
[Sun Sep 13 12:06:59 CEST 2020] consumerKey='[hidden](please add '--output-insecure' to see this value)'
[Sun Sep 13 12:06:59 CEST 2020] Please open this link to do authentication: https://eu.api.ovh.com/auth/?credentialToken=****************************************************************
[Sun Sep 13 12:06:59 CEST 2020] Here is a guide for you: https://github.com/acmesh-official/acme.sh/wiki/How-to-use-OVH-domain-api
[Sun Sep 13 12:06:59 CEST 2020] Please retry after the authentication is done.
[Sun Sep 13 12:06:59 CEST 2020] Error add txt for domain:_acme-challenge.domaine.ndd
[Sun Sep 13 12:06:59 CEST 2020] _on_issue_err
[Sun Sep 13 12:06:59 CEST 2020] Please check log file for more details: /volume1/Certs/Acme_renew/acmelog
[Sun Sep 13 12:06:59 CEST 2020] url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/7187944419/******'
[Sun Sep 13 12:06:59 CEST 2020] payload='{}'
[Sun Sep 13 12:06:59 CEST 2020] POST
[Sun Sep 13 12:06:59 CEST 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/7187944419/******'
[Sun Sep 13 12:06:59 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header  -g '
[Sun Sep 13 12:07:00 CEST 2020] _ret='0'
[Sun Sep 13 12:07:00 CEST 2020] code='200'
[Sun Sep 13 12:07:00 CEST 2020] url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/**********/******'
[Sun Sep 13 12:07:00 CEST 2020] payload='{}'
[Sun Sep 13 12:07:00 CEST 2020] POST
[Sun Sep 13 12:07:00 CEST 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/**********/******'
[Sun Sep 13 12:07:00 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header  -g '
[Sun Sep 13 12:07:01 CEST 2020] _ret='0'
[Sun Sep 13 12:07:01 CEST 2020] code='200'
[Sun Sep 13 12:07:01 CEST 2020] socat doesn't exist.
[Sun Sep 13 12:07:01 CEST 2020] Diagnosis versions:
openssl:openssl
OpenSSL 1.0.2u-fips  20 Dec 2019
apache:
apache doesn't exist.
nginx:
nginx version: nginx/1.16.1
TLS SNI support enabled
socat:
[Sun Sep 13 12:07:01 CEST 2020] pid
[Sun Sep 13 12:07:01 CEST 2020] No need to restore nginx, skip.
[Sun Sep 13 12:07:01 CEST 2020] _clearupdns
[Sun Sep 13 12:07:01 CEST 2020] dns_entries
[Sun Sep 13 12:07:01 CEST 2020] skip dns.
[Sun Sep 13 12:07:01 CEST 2020] Return code: 1
[Sun Sep 13 12:07:01 CEST 2020] Error renew domaine.ndd.
[Sun Sep 13 12:07:01 CEST 2020] _error_level='1'
[Sun Sep 13 12:07:01 CEST 2020] _set_level='2'
[Sun Sep 13 12:07:01 CEST 2020] The NOTIFY_HOOK is empty, just return.
[Sun Sep 13 12:07:01 CEST 2020] ===End cron===

Modifié le 13 septembre 2020 par TuringFan

[oracle7]

@TuringFan

Bonjour

Sauf erreur de ma part, à la vue du log acmelog, tu as mis le doigt dessus, le message est clair. Donc ton problème semble venir du fait que dans le processus de création du certificat, tu as dû omettre d'exporter la variable d'environnement OVH_CK (voir §3.2 du TUTO) :

$ export OVH_CK="votre consumer key"

Regardes dans le fichier "/usr/local/share/acme.sh/account.conf" où elle est normalement sauvegardée par le système, tu devrais avoir une ligne du type  :

Citation

OVH_CK='xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'

où 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx' est la clé 'Consumer Key' que tu as générée au § 3.1 du TUTO et que tu as normalement sauvegardée précieusement par ailleurs sur ton PC/Mac.

S'il cette ligne n'existe pas, alors ajoutes là au fichier account.conf (attentionà la syntaxe : "simples cotes" et pas de guillemets !) et enregistres le fichier.

Relances alors la procédure de renouvellement.

Cordialement

oracle7😉

 

 

[TuringFan]

@oracle7,

J'ai bien une clef dans le fichier account.conf mais ce n'est pas la même que celle que j'avais conservé ... l'Application Key n'a pas changée elle ... Pourquoi ?

Du coup il me suffit de remplacer par la bonne clef dans le le fichier et ce sera bon ?

Autre question avant de lancer le script option clean (-c) depuis PuTTy faut il utiliser la commande sodu su après le log en admin ou non ?

[oracle7]

@TuringFan

Bonjour,

il y a 4 minutes, TuringFan a dit :

Pourquoi ?

Tu as dû relancer le processus à un moment ou un autre, je ne vois que cela comme explication en première approche.

il y a 6 minutes, TuringFan a dit :

Du coup il me suffit de remplacer par la bonne clef dans le le fichier et ce sera bon ?

Normalement oui mais au cas où sauvegarde la clé.

il y a 7 minutes, TuringFan a dit :

Autre question avant de lancer le script option clean (-c) depuis PuTTy faut il utiliser la commande sodu su après le log en admin ou non ?

Normalement, ta connexion SSH avec PuTTY doit se faire avec le vrai 'root' et pas autre chose sinon tu auras d'autres problèmes. C'est expliqué dans le TUTO et cela été un des premiers problèmes découverts avec celui-ci.

Cordialement

oracle7😉

[TuringFan]

à l’instant, oracle7 a dit :

Normalement, ta connexion SSH avec PuTTY doit se faire avec le vrai 'root' et pas autre chose sinon tu auras d'autres problèmes. C'est expliqué dans le TUTO et cela été un des premiers problèmes découverts avec celui-ci.

Ok, donc il faut bien utiliser cette commande ?

C'est ce que j'avais en tête mais je voualis vérifier.

Merci.

[oracle7]

@TuringFan

Bonjour

Une fois connecté SSH sous root tu tapes simplement "python3 /volume1/Scripts/acme_renew.py -c ndd.tld" pour effectuer un nettoyage.

Cordialement

oracle7😉

 

 

[TuringFan]

@oracle7,

Pardon pour le retour tardif mais je n'ai pas réussi seul à solutionner le problème.

J'avais je pense des problèmes de saut de ligne en haut de mon fichier account, je l'ai ai tous enlevé puis j'ai lancé depuis PuTTy en vrai root le script en -l, voici mon nouveau message d'erreur :

[Sun Sep 13 18:31:59 CEST 2020] Unable to authenticate to localhost:5000 using http.
[Sun Sep 13 18:31:59 CEST 2020] Check your username and password.
[Sun Sep 13 18:31:59 CEST 2020] Error deploy for domain:mondomaine.eu
[Sun Sep 13 18:31:59 CEST 2020] Deploy error.
[Sun Sep 13 18:31:59 CEST 2020] Return code: 1

Une idée ?

[TuringFan]

Bon,

De pire en pire, j'ai fait un clean (-c) puis un force (-f) et j'obtiens un acmelog super bizarre :

[Sun Sep 13 18:50:03 CEST 2020] Running cmd: cron
[Sun Sep 13 18:50:03 CEST 2020] Using config home:/usr/local/share/acme.sh/
[Sun Sep 13 18:50:04 CEST 2020] default_acme_server
[Sun Sep 13 18:50:04 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Sun Sep 13 18:50:04 CEST 2020] [1;32m===Starting cron===[0m
[Sun Sep 13 18:50:04 CEST 2020] Using config home:/usr/local/share/acme.sh/
[Sun Sep 13 18:50:04 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Sun Sep 13 18:50:04 CEST 2020] _stopRenewOnError
[Sun Sep 13 18:50:04 CEST 2020] _set_level='2'
[Sun Sep 13 18:50:04 CEST 2020] di='/volume1/Certs
/*.*/'
[Sun Sep 13 18:50:04 CEST 2020] Not a directory, skip: /volume1/Certs
/*.*/
[Sun Sep 13 18:50:04 CEST 2020] _error_level='3'
[Sun Sep 13 18:50:04 CEST 2020] _set_level='2'
[Sun Sep 13 18:50:04 CEST 2020] [1;32m===End cron===[0m

Avec cette fois ci un account.conf qui semble chernet avec les clefs API que j'avais sauvé :

LOG_FILE='/volume1/Certs/Acme_renew/acmelog'
#LOG_LEVEL=1

AUTO_UPGRADE='1
'

#NO_TIMESTAMP=1

    
CERT_HOME='/volume1/Certs'
ACCOUNT_EMAIL='monmail@ndd'
UPGRADE_HASH='****************************************'
SAVED_OVH_AK='****************'
SAVED_OVH_AS='********************************'
USER_PATH='/sbin:/bin:/usr/sbin:/usr/bin:/usr/syno/sbin:/usr/syno/bin:/usr/local/sbin:/usr/local/bin'
OVH_CK='********************************'

Des idées ?

[oracle7]

@TuringFan

Bonjour,

Commence par vérifier que tu n'utilises pas de caractères "exotiques" dans ton Id et MdP.

Regardes le contenu du fichier "/volume1/Certs/ndd.tld/ndd.tld.conf" et vérifie la cohérence des données.

Tu devrais avoir notamment ces lignes :

Citation

SAVED_SYNO_Scheme='http'
SAVED_SYNO_Hostname='localhost'
SAVED_SYNO_Port='5000'
SAVED_SYNO_Username='tonID'
SAVED_SYNO_Password='tonMdP'
SAVED_SYNO_DID='xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'
SAVED_SYNO_Certificate='ACME_Wilcard_LE_*.ndd.tld'

SAVED_SYNO_DID n'est présente que si tu as activé la double authentification

SAVED_SYNO_Certificate ici est un exemple

Tout cela couplé aux autres définitions de variables d'environnement contenues dans le fichier "/usr/local/share/acme.sh/account.conf" dont il te faut vérifier la cohérence.

Cordialement

oracle7😉

 

 

 

[TuringFan]

Merci @oracle7,

J'ai bien ça avec les bon id / mdp qui contiennent un caractère spécial : le "@" mais je n'ai jamais eu de problème avec mes précédentes tentatives, dont au moins une qui a fonctionné.

account.conf semble ok aussi ...

A noter que quand je lance un python3 -l j'obtiens un log avec :

-- Date de renouvellement autorisee (T0+60 jours par defaut) : Thu Nov 12 16:31:53 UTC 2020
-- La date de renouvellement du certificat ( Thu Nov 12 16:31:53 UTC 2020 ) n'est pas atteinte
-- Inutile de renouveler le certificat -> fin du script

Mais mon NAS indique lui une date de renouvellement au 23/09/2020 !

[TuringFan]

PS : j'ai aussi remarqué que le script python -f ne s'executait avec une erreur il altérait le fichier account.conf : suppression partielle ou totale des lignes.

[oracle7]

@TuringFan

Bonjour,

il y a 9 minutes, TuringFan a dit :

Avec cette fois ci un account.conf qui semble chernet avec les clefs API que j'avais sauvé :

LOG_FILE='/volume1/Certs/Acme_renew/acmelog'
#LOG_LEVEL=1

AUTO_UPGRADE='1
'

#NO_TIMESTAMP=1

Il y a un retour à la ligne en trop.

il y a 10 minutes, TuringFan a dit :

[Sun Sep 13 18:50:04 CEST 2020] di='/volume1/Certs
/*.*/'
[Sun Sep 13 18:50:04 CEST 2020] Not a directory, skip: /volume1/Certs
/*.*/

Vérifies ce répertoire.

il y a 4 minutes, TuringFan a dit :

J'ai bien ça avec les bon id / mdp qui contiennent un caractère spécial : le "@" mais je n'ai jamais eu de problème avec mes précédentes tentatives, dont au moins une qui a fonctionné.

Pas ce caractères "exotiques" dans les identifiants et MdP ainsi que les noms de fichiers : UNIX n'aime pas du tout ...

 

il y a 7 minutes, TuringFan a dit :

A noter que quand je lance un python3 -l j'obtiens un log avec :

-- Date de renouvellement autorisee (T0+60 jours par defaut) : Thu Nov 12 16:31:53 UTC 2020
-- La date de renouvellement du certificat ( Thu Nov 12 16:31:53 UTC 2020 ) n'est pas atteinte
-- Inutile de renouveler le certificat -> fin du script

Mais mon NAS indique lui une date de renouvellement au 23/09/2020 !

Lors de ta dernière tentative le certificat avait été renouvelé (voir le premier log où je m'était "planté") donc la prochaine date de renouvellement annoncée est normale et il est normal qu'il te dise "Inutile de renouveler le certificat". Toutefois, le processus de cette tentative qui avait renouvelé le certificat, ayant avortée avant la fin, certaines opérations de déploiement n'ont pas été prise en compte et ton NAS indique certainement toujours la date de l'ancien certificat.

Attention aussi au nombre de tentatives de renouvellement déjà effectuées pour la présente semaine ! Le max autorisé est de 5, au delà tu seras bloqué pour une semaine par LetsEncript. Donc utilises l'option "-f" avec parcimonie ...

Cordialement

oracle7😉

 

@TuringFan

Bonjour
 

il y a 2 minutes, TuringFan a dit :

PS : j'ai aussi remarqué que le script python -f ne s'executait avec une erreur il altérait le fichier account.conf : suppression partielle ou totale des lignes.

Le script Python ne modifie pas le fichier account.conf, il ne fait que le lire par contre seul acme.sh lui le modifie. D'où ton erreur est franchement bizarre ...

A moins que @bruno78 n'ai une idée ?

Cordialement

oracle7😉

 

[bruno78]

Bonsoir, @oracle7 @TuringFan,

1) comme nul n'est à l'abri d'un bug, j'ai revérifié le script Pyhton. Le seul endroit où on traite le fichier account.conf, c'est entre les lignes 27 à 34. On ouvre le fichier en lecture seule ('r'), on le lit et on le referme immédiatement : on en extrait la valeur du CERT_HOME

# ACMECERTS a aller chercher dans /usr/local/share/acme.sh/account.conf CERT_HOME='/volume1/Certs'
fichier = "/usr/local/share/acme.sh/account.conf"
f = open(fichier, "r")
account = f.readlines()
f.close()
for ligne in account:
	if "CERT_HOME"  in ligne :
		ACMECERTS = re.findall('\'(.*?)\'', ligne)[0]

Je ne vois pas comment le script pourrait altérer ce fichier.

2) pour le problème de date, @oracle7 a je pense raison. Le certificat a dû être créé, mais non déployé ??? Il va falloir utiliser le -f pour forcer le renouvellement. Mais attention à la limite des 5 demandes / semaine ! Il faut vraiment vérifier que tout est d'équerre avant de relancer une tentative.

Cdt

Bruno78

 

[TuringFan]

@oracle7,

J'ai probablement dépassé la limite LE, je vais donc essayer de nouveau dans 7 jours ... car quand je lance le script python je n'ai plus de nouveau acmelog.

Si je veux tous recommencer (sauf paramétrage PuTTY et API OVH) quels répértoires dois-je supprimer ?

/usr/local/share/acme.sh

/volume1/Certs

/Volume1/Scripts

D'autres ?
 

à l’instant, bruno78 a dit :

Bonsoir, @oracle7 @TuringFan,

1) comme nul n'est à l'abri d'un bug, j'ai revérifié le script Pyhton. Le seul endroit où on traite le fichier account.conf, c'est entre les lignes 27 à 34. On ouvre le fichier en lecture seule ('r'), on le lit et on le referme immédiatement : on en extrait la valeur du CERT_HOME

# ACMECERTS a aller chercher dans /usr/local/share/acme.sh/account.conf CERT_HOME='/volume1/Certs'
fichier = "/usr/local/share/acme.sh/account.conf"
f = open(fichier, "r")
account = f.readlines()
f.close()
for ligne in account:
	if "CERT_HOME"  in ligne :
		ACMECERTS = re.findall('\'(.*?)\'', ligne)[0]

Je ne vois pas comment le script pourrait altérer ce fichier.

2) pour le problème de date, @oracle7 a je pense raison. Le certificat a dû être créé, mais non déployé ??? Il va falloir utiliser le -f pour forcer le renouvellement. Mais attention à la limite des 5 demandes / semaine ! Il faut vraiment vérifier que tout est d'équerre avant de relancer une tentative.

Cdt

Bruno78

 

Merci @bruno78,

Je pense que le problème est clairement du côté de mes manipulations ...

Je vais ressayer dans 7 jours un -f sinon tous recommencer.

[bruno78]

Bonjour @TuringFan,

je pense effectivement qu'il sera plus simple de repartir du début sur de bonnes bases, et de valider chaque étape. Là j'avoue que je ne sais plus très bien ce qui est validé ou pas dans ton installation. Donc difficile de voir ce qui ne colle pas .... Surtout bien faire attention aux problèmes de droits (=> connection root), aux clés générées chez OVH, .....

Bon courage

Bruno78

[TuringFan]

Merci, en espérant que ça serve de leçon pour moi et pour d’autres lol


Posté avec Tapatalk

[oracle7]

@TuringFan

Bonjour,

Il y a 1 heure, TuringFan a dit :

Si je veux tous recommencer (sauf paramétrage PuTTY et API OVH) quels répértoires dois-je supprimer ?

Si j'étais toi (en supposant que tes 3 clés OVH sont bien sauvegardées) :

• AVANT toutes choses ! Vérifier qu'il n'y a pas d'usage de caractères "exotiques" dans les identifiants et MdP sinon à corriger impérativement.
• Pas la peine de réinstaller acme.sh. Faire éventuellement un update et sauf si vraiment tu as un doute, alors désinstalles (cf google) et réinstalles acme.sh selon le TUTO.
• Nettoyer avec le script et l'option "-c" (acme.sh doit être opérationnel).
• Supprimer dans DSM le certificat et toutes les anciennes instances de celui-ci après avoir sauvegarder les fichiers "*.pem" correspondants pour le cas où.
• Supprimer aussi les répertoires "ndd.tld" et "Acme_renew" dans "/volume1/Certs". On conserve les répertoires "/volume1/Certs" et "/volume1/Scripts".
• Reprendre le processus au début sauf la partie chez OVH (§ 3.1 uniquement) MAIS ne pas omettre l'exportation des variables d'environnement (à tous les niveaux du processus !). Si certaines actions semblent avoir déjà été faites dans les tentatives précédentes, bien s'assurer qu'elles sont conformes aux attendus.

Voilà j'espère ne rien avoir oublié. Cela peut paraître radical mais après, cela devrait le faire normalement si tu es très attentif à tes actions. Prends ton temps et assures-toi de chaque action avant de passer à la suivante. Si besoin lis et relis le TUTO...

Je ne peux te dire mieux.

Cordialement

oracle7😉

[Pommefrais3]

Hello !

 

Voilà à peu près 90 jours que j'ai réalisé le tuto et je rencontre un soucis lors du renouvellement de mon certificat. 

J'ai comme l'impression que les variables déclarées lors de la création (APi OVH entre autres) n'existe plus et donc créer un problème dans le renouvellement.

Ai-je raté quelque chose selon vous ?

Merci !

[oracle7]

@Pommefrais3

Bonjour,

Pour bien comprendre :

1. As-tu pris en compte les évolutions apportées au TUTO ? car saches qu'il y en a eut d'importantes entre temps depuis 3 mois.
2. Dans le gestionnaire de tâches du NAS, la tâche programmée pour le renouvellement, utilise-t-elle le script Python ? ou la commande initiale avec le script acme.sh ?
3. Est-ce que tes trois clés OVH figurent bien dans le fichier "/usr/local/share/acme.sh/account.conf" ? (SAVED_OVH_AK, SAVED_OVH_AS et OVH_CK)

Cordialement

oracle7😉

[Pommefrais3]

Il y a 11 heures, oracle7 a dit :

@Pommefrais3

Bonjour,

Pour bien comprendre :

1. As-tu pris en compte les évolutions apportées au TUTO ? car saches qu'il y en a eut d'importantes entre temps depuis 3 mois.
2. Dans le gestionnaire de tâches du NAS, la tâche programmée pour le renouvellement, utilise-t-elle le script Python ? ou la commande initiale avec le script acme.sh ?
3. Est-ce que tes trois clés OVH figurent bien dans le fichier "/usr/local/share/acme.sh/account.conf" ? (SAVED_OVH_AK, SAVED_OVH_AS et OVH_CK)

Cordialement

oracle7😉

Bonjour @oracle7

J'ai ce code d'erreur dans le fichier acmelog

[Thu Sep 17 07:39:00 CEST 2020] pid
[Thu Sep 17 07:39:00 CEST 2020] No need to restore nginx, skip.
[Thu Sep 17 07:39:00 CEST 2020] _clearupdns
[Thu Sep 17 07:39:00 CEST 2020] dns_entries
[Thu Sep 17 07:39:00 CEST 2020] skip dns.
[Thu Sep 17 07:39:00 CEST 2020] Return code: 1
[Thu Sep 17 07:39:00 CEST 2020] Error renew mondomaine.ovh.
[Thu Sep 17 07:39:00 CEST 2020] _error_level='1'
[Thu Sep 17 07:39:00 CEST 2020] _set_level='2'
[Thu Sep 17 07:39:00 CEST 2020] [1;32m===End cron===[0m

Je n'ai pas rebalayer le tuto suite aux modifications donc peut être que le problème vient de là.

Le script se lance depuis le gestionnaire de tache via la commande python (mais pas python 3)

Et pour finir, oui j'ai bien toutes les clés key OVH présente dans le fichier account.conf.

Si je décide de refaire le tuto entièrement, ai-je des dossiers/fichiers à supprimer avant ?

Merci pour ton aide.

[bruno78]

Bonjour @Pommefrais3

en fait l'erreur doit se trouver au-dessus, dans les nombreuses lignes de log. Peux-tu nous faire parvenir le log complet (en MP si tu le souhaites à @oracle7 et à moi même ??)

Merci

Bruno78

[oracle7]

@Pommefrais3

Bonjour,

Effectivement avant de vouloir tout reprendre à zéro, comme te l'a suggéré @bruno78, envoies nous le log complet.

Maintenant situ veux vraiment tout reprendre, regardes une de mes précédentes réponses à @Turingfan  je lui avais expliqué le processus pour.

Cordialement

oracle7😉

[kerod]

Bonjour,

je suis dans le même cas, erreur lors de la tache de renew avec les txt qui ne sont pas ajoutés au domaine chez OVH 

acme_renew release    : Version 1.44 Released -- 21-aout-2020
-- version Python system : Python 2.7.12

 

[Mon Sep 28 00:00:17 CEST 2020] error {"message":"This credential is not valid","httpCode":"403 Forbidden","errorCode":"INVALID_CREDENTIAL"}
[Mon Sep 28 00:00:17 CEST 2020] The consumer key is invalid: SF8ErD1ESplr3w7sigucTHyY8vJ1fg02
[Mon Sep 28 00:00:17 CEST 2020] Please retry to create a new one.

 

je vais faire du manuel ce soir pour voir

Modifié le 28 septembre 2020 par kerod

[oracle7]

@kerod

Bonjour,

Je ne serais pas surpris que tu ais fait un mauvais copier/coller de la clé CK. Tu as dû prendre avec un ou des caractères invisibles en début ou fin de chaîne. C'est une erreur fréquente. Passes par un éditeur de texte pour visualiser le contenu de ta clé avant de la recopier dans la variable d'environnement "OVH_CK" pour l'exporter lors du processus.

Cordialement

oracle7😉

Modifié le 28 septembre 2020 par oracle7