Aller au contenu

[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"


oracle7

Messages recommandés

il y a 4 minutes, oracle7 a dit :

@nebelnic

 

Donc, oublies ma remarque précédente sur ce point, ce n'était pas une anomalie. Comme quoi on en apprend tous les jours ...😀

 Du coup , penses tu qu'il est toujours indispensable que je refasse tout "proprement" ou je peux laisser le certificat tel quel avec xxx.domaine.com et *.xxx.domaine.com et que cette alerte email de non renouvellement n'aura plus lieu par la suite?

Merci.

Nebelnic

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, oracle7 a dit :

Merci pour l'info et le lien Let'sEncrypt. Effectivement, la nouveauté est que les certificats auront maintenant une autorité d'origine dite "R3" (qui représente une unique paire de clefs publique/privée elle même certifiée par une racine “TrustID X3 Root”). Cette autorité intermédiaire "R3" va progressivement remplacer celle nommée actuellement "X3".

J'espère que ce changement ne va pas perturber le renouvellement automatique ! Mon certificat renouvelé automatiquement le 1er décembre est toujours X3. @.Shad. qu'en penses-tu ?

Lien vers le commentaire
Partager sur d’autres sites

Il y a 19 heures, oracle7 a dit :

Maintenant, à la vue de tout cela, si j'étais toi je reprendrai à zéro la création de ton certificat mais cette fois en indiquant simplement les domaines "*.mondomaine.com" et "mondomaine.com" tel que c'est expliqué dans le présent TUTO pour rester au premier niveau de domaine. Attention, penses à bien refaire tes clés OVH. Tu verras que le renouvellement se passera alors sans encombres le moment venu.

Bonjour, Je me suis finalement dit que j'allais refaire tout proprement comme  @oracle7 me l'a conseillé.

Mais je n'arrive pas à générer de nouvelles clés OVH en indiquant juste mon domaine.com. OVH me renvoi une erreur 502 lors de la génération de la clé.

Pour être précis, si j'indique :

GET=/domain/zone/mondomaine.com/*

&POST=/domain/zone/mondomaine.com/*

&PUT=/domain/zone/mondomaine.com/*

&GET=/domain/zone/mondomaine.com

&DELETE=/domain/zone/mondomaine.com/record/*

j'obtiens une erreur 502 à la génération de la clé.

Si j'indique :

GET=/domain/zone/sousdomaine.mondomaine.com/*

&POST=/domain/zone/sousdomaine.mondomaine.com/*

&PUT=/domain/zone/sousdomaine.mondomaine.com/*

&GET=/domain/zone/sousdomaine.mondomaine.com

&DELETE=/domain/zone/sousdomaine.mondomaine.com/record/*

j'obtiens bien la génération de la clé. 

C'est très probablement pour cette raison que  j'avais créé un certificat pour un sous-domaine (je parle une nouvelle fois de sousdomaine car c'est comme ça que le nomme OVH dans mon interface de gestion)

Pour bien clarifier les choses et tenter de pas trop vous faire perdre votre temps:  j'ai donc un domaine chez ovh: mondomaine.com depuis des années pour héberger un site web et j'ai crée un Dynhost pour mon NAS , il y a déjà pas mal de temps aussi, qui pointe sur un sous domaine:  sousdomaine.domaine.com , l'adresse de mon NAS donc.

Donc me voila bloqué bien rapidement dans le processus de re-création du certificat.

Je me demande à nouveau si un truc simple m'échappe encore une fois...🤪 et aussi si finalement il est nécessaire que je touche au certificat que j'ai déjà créé. Le certificat créé semble OK (finalement l'autorité R3 n'est pas une anomalie). Mais l'email d'avertissement d'OVH sera t'il généré tout les 2 mois malgré le renouvellement du certificat par le script, ou ce sera seulement pour cette 1ere fois (jusqu'à la date d'expiration de l'ancien certificat) à cause de  l'ajout du *.sousdomaine.domaine.com  qui n'existait pas .

Merci une nouvelle fois pour vos conseils si précieux!!!

Nebelnic

 

 

 

 

 

 

 

 

Modifié par nebelnic
Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

Pas d'inquiétude à avoir avec le changement d'autorité de certification récemment mis en place par Let'sEncrypt. Dans mon cas, le renouvellement de mon certificat à eut lieu hier et sans problème. effectivement maintenant cela affiche "R3" en lieu et place de "Let'sEncrypt Autority X3".

Pour preuve : firefox_20201211_20-06-28.jpg.38a7705526afcb0611d15ebed94ee2e0.jpg

@nebelnic

Bonjour,

L'erreur 502 est un problème de communication avec les serveurs d'OVH.

Toutefois, assures-toi bien de :

  1. te connecter à ton compte OVH avec ton ID de client et non pas ton @Mail.
  2. de veiller lors du C/C de l'URL
    https://api.ovh.com/createToken/?GET=/domain/zone/votre-domaine.tld/*&POST=/domain/zone/votre-domaine.tld/*&PUT=/domain/zone/votre-domaine.tld/*&GET=/domain/zone/votre-domaine.tld&DELETE=/domain/zone/votre-domaine.tld/record/*

    que tu ne prends pas avec ta sélection de caractères parasites invisibles (du style blanc, retour chariot, fin de ligne, ...). Passes par un éditeur de texte pour visualiser la chaine copiée et la vérifier.
     

Lors de la création du DDNS chez OVH, il ne faut pas saisir de "sous-domaine" dans le second écran. Ainsi ton DDNS pointera sur "mondomaine.tld" et non pas "sousdomaine.mondomaine.tld". Ce qui facilite ensuite l'usage (chaine plus courte !).

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, oracle7 a dit :

L'erreur 502 est un problème de communication avec les serveurs d'OVH.

Toutefois, assures-toi bien de :

  1. te connecter à ton compte OVH avec ton ID de client et non pas ton @Mail.
  2. de veiller lors du C/C de l'URL
    
    https://api.ovh.com/createToken/?GET=/domain/zone/votre-domaine.tld/*&POST=/domain/zone/votre-domaine.tld/*&PUT=/domain/zone/votre-domaine.tld/*&GET=/domain/zone/votre-domaine.tld&DELETE=/domain/zone/votre-domaine.tld/record/*

    que tu ne prends pas avec ta sélection de caractères parasites invisibles (du styles blanc, retour chariot, fin de ligne, ...). Passes par un éditeur de texte pour visualiser la chaine copiée et la vérifier.
     

Lors de la création du DDNS chez OVH, il ne faut pas saisir de "sous-domaine" dans le second écran. Ainsi ton DDNS pointera sur "mondomaine.tld" et non pas "sousdomaine.mondomaine.tld". Ce qui facilite ensuite l'usage (chaine plus courte !).

 

D'accord.

Bon maintenant faut que je me décide à tout reprendre, DDNS , certificat. Ou... tout laisser tel quel .

Merci beaucoup en tout les cas!

Lien vers le commentaire
Partager sur d’autres sites

il y a 54 minutes, oracle7 a dit :

@nebelnic

Bonjour,

C'est toi qui vois, si j'étais toi je reprendrais tout pour repartir sur des bases saines et ne pas trainer une situation bancale.

Cordialement

oracle7😉

C'est sur. Mais y a quand même quelque-chose que je ne comprends pas dans ce que tu me dis. Désolé si je fais du hors sujet ici!!

Tu me dis de faire pointer mon Dynhost  sur "mondomaine.tld" et non pas "sousdomaine.mondomaine.tld".

Je ne l'ai pas fait à la base car OVH est explicite la dessus. Il disent bien à la page de création du DynHost: "DynHOST vous permet de faire pointer un sous-domaine vers une adresse IP dynamique qui sera mise à jour dans votre zone DNS à chaque changement de celle-ci."

Bref d’où mon questionnement:  si j'ai plusieurs NAS sur plusieurs IP dynamiques différentes (ce qui pourrait très bien arriver, ce domaine étant partagé par plusieurs utilisateurs)  et que je veux recréer d'autres dynhost pour ces autres NAS , il faudra d'office qu'ils pointent sur un sous domaine. ça c'est évident...  Mais, est ce que le fait que le 1er Dynhost créé, pointe lui sur  "mondomaine.tld" ne posera pas un souci vis à vis des autres Dynhost?

J'en viens donc à me dire si je ne devrais pas laisser mon Dynhost comme il est, et tout simplement recréer le certificat en en enlevant  *.sousdomaine.mondomaine.com lors de la création.

Bien cordialement.

Nebelnic

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

@nebelnic

Bonjour,

il y a 15 minutes, nebelnic a dit :

si j'ai plusieurs NAS sur plusieurs IP dynamiques différentes (ce qui pourrait très bien arriver, ce domaine étant partagé par plusieurs utilisateurs)  et que je veux recréer d'autres dynhost pour ces autres NAS , il faudra d'office qu'ils pointent sur un sous domaine. ça c'est évident...

Ah mais tu n'avais pas tout dit ...🤪 Je ne parlais précédemment que d'UN DynHOST pour UNE SEULE @IP dynamique !

Effectivement dans ce cas tu as raison, si et seulement si chaque NAS a sa propre @IP dynamique, il te faut bien créer un DynHOST pointant sur un domaine du type "nasX.mondomaine.tld".

Ensuite, tu pourras créer un certificat LE :

  • soit global : Certificat G pour pour "mondomaine.tld", "*.mondomaine.tld", "*.nasX.mondomaine.tld", "*.nasY.mondomaine.tld", etc...
  • soit spécifique et dédié pour chacun des domaines X, Y, ... :
    • Certificat X pour "nasX.mondomaine.tld", "*.nasX.mondomaine.tld"
    • Certificat Y pour "nasY.mondomaine.tld", "*.nasY.mondomaine.tld"
    • etc ...
il y a 32 minutes, nebelnic a dit :

Je ne l'ai pas fait à la base car OVH est explicite la dessus. Il disent bien à la page de création du DynHost: "DynHOST vous permet de faire pointer un sous-domaine vers une adresse IP dynamique qui sera mise à jour dans votre zone DNS à chaque changement de celle-ci."

stricto sensus OUI, mais en pratique (voir les écrans ici de l'aide en ligne OVH) il en est tout autre.

Dans le premier écran de l'étape 1, lorsque l'on crée l'identifiant de gestion des DynHOST, il faut entrer obligatoirement un "subdomain" comme ils disent. Et c'est là qu'un bon nombre font la confusion.

Par contre dans le second écran (à l'étape 2), le champ "subdomain" lui, n'est pas obligatoire.

On le laisse vide et c'est là toute l'astuce pour obtenir au final un un enregistrement DynHOST (ou DynDNS) sur un domaine du type "mondomaine.tld" et non pas sur "sousdomaine.mondomaine.tld". Tu me suis ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, oracle7 a dit :

Effectivement dans ce cas tu as raison, si et seulement si chaque NAS a sa propre @IP dynamique, il te faut bien créer un DynHOST pointant sur un domaine du type "nasX.mondomaine.tld".

Ensuite, tu pourras créer un certificat LE :

  • soit global : Certificat G pour pour "mondomaine.tld", "*.mondomaine.tld", "*.nasX.mondomaine.tld", "*.nasY.mondomaine.tld", etc...
  • soit spécifique et dédié pour chacun des domaines X, Y, ... :
    • Certificat X pour "nasX.mondomaine.tld", "*.nasX.mondomaine.tld"
    • Certificat Y pour "nasY.mondomaine.tld", "*.nasY.mondomaine.tld"
    • etc ...

Peux tu m'expliquer pourquoi il faut mettre *.nasX.mondomaine.tld ? pour que ça prenne en compte d'eventuels "sous sous domaine"?

A quoi correspond cette * ?

Citation

stricto sensus OUI, mais en pratique (voir les écrans ici de l'aide en ligne OVH) il en est tout autre.

Dans le premier écran de l'étape 1, lorsque l'on crée l'identifiant de gestion des DynHOST, il faut entrer obligatoirement un "subdomain" comme ils disent. Et c'est là qu'un bon nombre font la confusion.

Par contre dans le second écran (à l'étape 2), le champ "subdomain" lui, n'est pas obligatoire.

On le laisse vide et c'est là toute l'astuce pour obtenir au final un un enregistrement DynHOST (ou DynDNS) sur un domaine du type "mondomaine.tld" et non pas sur "sousdomaine.mondomaine.tld". Tu me suis ?

Cordialement

oracle7😉

Oui je pense avoir suivi. 😊 Merci une nouvelle fois!

Et si j'ai bien suivi (à voir...) ,  dans mon cas, arrivé à l'étape 2, je ne peux pas d’après OVH faire pointer mon DynDNS vers  mondomaine.tld car j'ai déjà un enregistrement DNS (type A) dans mes zones DNS,  mondomaine.tld qui pointe vers l'IP du serveur chez OVH qui héberge mon site web "mondomaine.tld".

Désolé pour les infos parcellaires que je donne petit à petit!!

Nebelnic

 

 

Modifié par nebelnic
Lien vers le commentaire
Partager sur d’autres sites

@nebelnic

Bonjour,

il y a 33 minutes, nebelnic a dit :

Peux tu m'expliquer pourquoi il faut mettre *.nasX.mondomaine.tld ? pour que ça prenne en compte d'eventuels "sous sous domaine"?

OUI, car si j'ai bien compris, tu utilises déjà mondomaine.tld pour ton site Web. Donc maintenant, il te faut par exemple pour le NAS1 un domaine dédié du type nas1.mondomaine.tld et l'* te servira à gérer tous tes domaines de niveaux inférieurs tels que par exemple music.nas1.mondomaine.tld, video.nas1.mondomaine.tld, ebooks.nas1.mondomaine.tld, surv.nas1.mondomaine.tld, etc ...

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

@nebelnic

Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

@kerod

Bonjour,

Utilises-tu la double authentification pour te connecter à ton NAS ?

Si oui, alors vérifies bien la valeur de ton cookies DID qui toutes les chances d'être différente de celle sauvegardée dans ton fichier ndd.tld.conf. Pour mémoire le DID à une durée de validité d'environ 1 mois en normal sauf si tu lui as fixé une date d'expiration aux calendres grecques.

Ce problème de DID est une grosse source de non renouvellement car la connexion au NAS ne peut se faire s'il n'est pas correct (différence valeur courante et valeur sauvegardée automatiquement lors du renouvellement précédent).

C'est un contrôle systématique à faire tous les trois mois.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Non je ne le ferai pas...C'est exactement ce que l'on a fait ensemble il n'y a près de trois mois (cf. messages privés) et vous n'avez pas trouvé d'où ça venait...sans compter le bogue du script python qui me dit qu'il ne renouvelle pas alors que c'est bien le cas avec le mode annule et remplace...

Je suis passé sur une autre solution...

Lien vers le commentaire
Partager sur d’autres sites

@kerod

Bonjour,

Libre à toi de refuser notre aide, mais la méthode fonctionnant parfaitement chez bon nombre d'utilisateurs je crois que tu serais bien avisé de vérifier ta configuration qui est sûrement "bancale" et donc la source de ce dysfonctionnement que tu rencontres.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

On ne va pas refaire l’histoire...J’ai déjà fait tout ce que vous m’avez dit il y a 2,5mois. Vous l’avez proposé votre aide et sans résultat...

n’oublie pas que j’ai l’historique de nos échange...avisé avisé... j’ai déjà revue la totalité de la procédure mais avant de critiquer l’autre, il faudrait peut-être la revoir toi-même puisque tu proposes deux solutions et pour l’heure tu n’as toujours pas trouvé le problème dans la configuration annule et remplace et ce malgré t’avoir fourni les logs ainsi qu’à Bruno.

il est bien dommage que je ne puisse pas faire de capture d’écran de nos échanges, mais je vais recopier tes derniers mp ici vu que tu sembles avoir oublié...

Le 18/10/2020 à 16:30, oracle7 a dit :

@kerod @bruno78

OK pour les dates, mais à ce moment là n'envoies que la bonne partie du log, ce sera plus simple, non ?

Donc finalement, quel était ton problème, je ne comprends plus ...

Cordialement

oracle7😉

 

Le 18/10/2020 à 19:29, kerod a dit :

@bruno78 @oracle7

En analysant le code, je vois ceci

En creusant sur les def_new et def_old, le problème vient du Yan5LF qui est toujours le même avant et après génération avec succès.

Je vous laisse m'expliquer la logique du script car je ne la connais pas.

 

Le 18/10/2020 à 23:17, bruno78 a dit :

bonsoir @kerod, c'est exactement la conclusion à laquelle j'arrive, en même temps que j'ai écrit mon message précédent. Il faut que je regarde si le script est capable de distinguer entre les 2 cas.

Et on s'est arrêté là, avec un script qui me dit que le certificat n'est pas renouvelé alors que c'était bien le cas.

 

Pour finir, lors de premier renouvellement en septembre, j'avais eu un problème avec le consumer key qui était refusé par le script. Je l'ai renouvelé et cela a fonctionné.

Pour le renouvellement ce mois-ci, il m'a sorti une nouvelle erreur identique avec la connexion à l'API. Je n'ai pas renouvelé et j'ai utilisé la même API avec les mêmes clés avec une autre solution utilisant docker (mise sur ce forum également) et cela a fonctionné sans problème (sans renouvellement).

On critique ma configuration, mais je l'ai déjà revue trois fois en septembre et je ne vais pas le refaire tous les trois mois parce que le système me dit qu'il faut que je le refasse alors que ça fonctionne bien avec d'autres système. Le jour où tu utiliseras la même configuration du script (Annule et Remplace et non Ajout) et que tu ne rencontreras pas les mêmes erreurs...on pourrait en rediscuter et mettre en défaut mon installation.

Modifié par kerod
Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Le 27/12/2020 à 16:24, oracle7 a dit :

@kerod

Bonjour,

Utilises-tu la double authentification pour te connecter à ton NAS ?

Si oui, alors vérifies bien la valeur de ton cookies DID qui toutes les chances d'être différente de celle sauvegardée dans ton fichier ndd.tld.conf. Pour mémoire le DID à une durée de validité d'environ 1 mois en normal sauf si tu lui as fixé une date d'expiration aux calendres grecques.

Ce problème de DID est une grosse source de non renouvellement car la connexion au NAS ne peut se faire s'il n'est pas correct (différence valeur courante et valeur sauvegardée automatiquement lors du renouvellement précédent).

C'est un contrôle systématique à faire tous les trois mois.

Cordialement

oracle7😉

Bonjour,

Sais-tu où il faut insérer la nouvelle valeur du cookie DID ?

J'ai eu un souci de renouvellement de mon certificat et n'ayant pas changé la valeur du cookie, il est possible que ce soit ça mon problème...

Cordialement,

Milkyway

Lien vers le commentaire
Partager sur d’autres sites

@kerod :

Oracle et Bruno propose de l’aide. Dans mon cas, j’ai aussi eu des problèmes et j’ai du recommencer l’installation 3-4 fois au départ et 3 mois plus tard , encore une fois.

Ensuite, j’ai encore eu de l’aide car toujours des problèmes. Maintenant, c’est enfin réglé grâce à leur aide.

Donc si leur solution ne te plaît pas et que tu ne veux pas te remettre en question, arrête de te plaindre et passe ton chemin surtout si tu as trouvé une autre solution.


@milkyway :

Pour insérer le DID, revois le point 5.1 de la procédure. Un conseil, prends le DID via Firefox et modifie la valeur de la date d’expiration faute de quoi tu devras changer ce paramètre chaque fois avant le renouvellement.

Seb


Envoyé de mon iPhone en utilisant Tapatalk

Modifié par Pinpon_112
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.