Aller au contenu

[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"


oracle7

Messages recommandés

@oracle7 @bruno78 @.Shad. 

Que pensez-vous de ceci :https://vdr.one/how-to-create-a-lets-encrypt-wildcard-certificate-on-a-synology-nas/

Edit : J'ai suivi le tuto et ça à l'air de fonctionner. J'ai mon certificat jusqu'au 29/8/20 😎👍

Je verrai demain s'il n'y a pas d'entourloupe.

 

 

 

 

 

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Il n'y rien d'automatisé dans la méthode que tu as appliquée, c'est exactement la même chose qu'avec SSL for Free, sauf que tu passes par acme à la place.
J'avais cru comprendre que ton but était d'automatiser l'ensemble. Le tutoriel ne propose aucunement une solution importer tes enregistrements TXT automatiquement dans ta zone DNS sur ton NAS, et là où @oracle7 propose un moyen d'importer automatiquement le certificat, le tutoriel dont tu as donné le lien se contente de l'importer par l'interface graphique. Ce que tu as toujours fait auparavant j'imagine.

Je pense que je n'ai rien compris à ce que tu souhaitais du coup.

Lien vers le commentaire
Partager sur d’autres sites

La solution d' @oracle7 est automatisée de bout en bout (et fait même le nettoyage de ta zone DNS en fin de procédure, fait l'import du certificat dans DSM , .... ). So what else ?

Par contre, en relisant l'utilisation de l'option --force, il est noté que cela permet de renouveler les certificats immediatement (et donc avant le terme). Je vais donc positionner la tache periodique de renouvellement en exécution mensuelle ( puisque c'est tout les mois ou tout les 3 mois ....), avec --force.

--force, -f                       Used to force to install or force to renew a cert immediately.

 

Alors je viens de faire le test de renouvellement avec --force :

  1. la création est bien lancée
  2. mais l'import de fonctionne pas: deploy error : [Mon Jun  1 08:19:13 CEST 2020] Getting certificates in Synology DSM /usr/local/share/acme.sh/deploy/synology_dsm.sh: line 113: SYNO_Create: parameter null or not set
    [Mon Jun  1 08:19:13 CEST 2020] Deploy error
Tâche : Renew Certif LE WildCard
Heure de début : Mon, 01 Jun 2020 08:19:01 GMT
Heure d’arrêt : Mon, 01 Jun 2020 08:19:13 GMT
État actuel : 1 (Interrompu)
Sortie standard/erreur :
[Mon Jun  1 08:19:01 CEST 2020] ===Starting cron===
[Mon Jun  1 08:19:01 CEST 2020] Installing from online archive.
[Mon Jun  1 08:19:01 CEST 2020] Downloading https://github.com/acmesh-official/acme.sh/archive/master.tar.gz
[Mon Jun  1 08:19:02 CEST 2020] Extracting master.tar.gz
[Mon Jun  1 08:19:02 CEST 2020] Installing to /usr/local/share/acme.sh/
[Mon Jun  1 08:19:02 CEST 2020] Installed to /usr/local/share/acme.sh//acme.sh
[Mon Jun  1 08:19:02 CEST 2020] Good, bash is found, so change the shebang to use bash as preferred.
[Mon Jun  1 08:19:04 CEST 2020] OK
[Mon Jun  1 08:19:04 CEST 2020] Install success!
[Mon Jun  1 08:19:04 CEST 2020] Upgrade success!
[Mon Jun  1 08:19:04 CEST 2020] Auto upgraded to: 2.8.6
[Mon Jun  1 08:19:04 CEST 2020] Renew: 'xxxxx.eu'
[Mon Jun  1 08:19:05 CEST 2020] Multi domain='DNS:xxxxx.eu,DNS:*.xxxxx.eu'
[Mon Jun  1 08:19:05 CEST 2020] Getting domain auth token for each domain
[Mon Jun  1 08:19:09 CEST 2020] Getting webroot for domain='xxxxx.eu'
[Mon Jun  1 08:19:09 CEST 2020] Getting webroot for domain='*.xxxxx.eu'
[Mon Jun  1 08:19:09 CEST 2020] xxxxx.eu is already verified, skip dns-01.
[Mon Jun  1 08:19:09 CEST 2020] *.xxxxx.eu is already verified, skip dns-01.
[Mon Jun  1 08:19:09 CEST 2020] Verify finished, start to sign.
[Mon Jun  1 08:19:09 CEST 2020] Lets finalize the order, Le_OrderFinalize: https://acme-v02.api.letsencrypt.org/acme/finalize/87515198/xxxxxxxxxxxxxxx
[Mon Jun  1 08:19:11 CEST 2020] Download cert, Le_LinkCert: https://acme-v02.api.letsencrypt.org/acme/cert/xxxxxxxxxxxxxxxxx
[Mon Jun  1 08:19:11 CEST 2020] Cert success.
-----BEGIN CERTIFICATE-----
MIIGYzCCBUugAwIBAgISBO57EPc9vBLFBmBAJwtzP9M/MA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0yMDA2MDEwNTE5MTBaFw0y
MDA4MzAwNTE5MTBaMBgxFjAUBgNVBAMTDWxlc21vbmdldHMuZXUwggIiMA0GCSqG
.....
FeEGXB6uxNy+bT7eMVPc6uwf/sFLsuRNoGyE5WraKHOlx3Ohx9VyL2uMEEwZOOq8
PWVPcGomXQ==
-----END CERTIFICATE-----
[Mon Jun  1 08:19:11 CEST 2020] Your cert is in  /volume1/Certs/xxxxx.eu/xxxxx.eu.cer 
[Mon Jun  1 08:19:11 CEST 2020] Your cert key is in  /volume1/Certs/xxxxx.eu/xxxxx.eu.key 
[Mon Jun  1 08:19:11 CEST 2020] The intermediate CA cert is in  /volume1/Certs/xxxxx.eu/ca.cer 
[Mon Jun  1 08:19:11 CEST 2020] And the full chain certs is there:  /volume1/Certs/xxxxx.eu/fullchain.cer 
[Mon Jun  1 08:19:12 CEST 2020] Logging into localhost:5000
[Mon Jun  1 08:19:13 CEST 2020] Getting certificates in Synology DSM
/usr/local/share/acme.sh/deploy/synology_dsm.sh: line 113: SYNO_Create: parameter null or not set
[Mon Jun  1 08:19:13 CEST 2020] Deploy error.
[Mon Jun  1 08:19:13 CEST 2020] Error renew xxxxx.eu.
[Mon Jun  1 08:19:13 CEST 2020] ===End cron===

 

Modifié par bruno78
Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, .Shad. a dit :

Je pense que je n'ai rien compris à ce que tu souhaitais du coup.

Et moi je n'avais rien compris 👎 Désolé 😒

J'ai cru comprendre que SSL for free, méthode décrite par @unPixel n'était plus gratuite. C'est pour cela que je cherchais une alternative. 

L'automatisme du renouvellement était secondaire dans ma recherche puisque avec SSLforfree je renouvelait déjà manuellement tous les 3 mois.

Je reste connecté au lien que j'ai utilisé puisque l'auteur parle d'un éventuel tuto pour automatiser le renouvellement.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Le 30/05/2020 à 10:35, oracle7 a dit :

Malheureusement, ce service n’étant plus gratuit depuis le 18 mai 2020, il convenait alors pour moi de m’orienter sur un autre moyen pour obtenir un certificat « wilcard » LE et gratuit de surcroît.

C'était pourtant clair !😉

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

@bruno78

Bonjour,

Il y a 3 heures, bruno78 a dit :

mais l'import de fonctionne pas: deploy error : [Mon Jun  1 08:19:13 CEST 2020] Getting certificates in Synology DSM /usr/local/share/acme.sh/deploy/synology_dsm.sh: line 113: SYNO_Create: parameter null or not set
[Mon Jun  1 08:19:13 CEST 2020] Deploy error

As-tu essayé en exportant en préalable à la commande de renouvellement, les variables d'environnement : SYNO_Create=1 et SYNO_Certificate="Nom_du_Certificat" ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Le 30/05/2020 à 16:52, bruno78 a dit :

ensuite, sur OVH, je n'ai réussi à créer les API Keys qu'avec mon identifiant OVH, mais pas avec mon login (email).

J'ai aussi eu ce problème (entre autres)

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, oracle7 a dit :

As-tu essayé en exportant en préalable à la commande de renouvellement, les variables d'environnement : SYNO_Create=1 et SYNO_Certificate="Nom_du_Certificat" ?

Bonjour @oracle7,

j'ai fait des essais en spécifiant SYNO_Create=1 [et SYNO_Certificate="nom du certificat", mais a priori seul SYNO_Create est nécessaire], et le résultat est que le certificat est bien créé .... mais c'est un nouveau certificat qui est importé dans DSM, en plus de celui existant. Ce nouveau Certificat devient "default", mais ne porte aucun service. Je n'ai pas trouvé comment remplacer l'ancien certificat par le nouveau dans DSM.

Et maintenant, puisque j'ai fait "trop" d'essais en peu de temps, .... mes tentatives sont bloquées 😭. ("Error creating new order :: too many certificates already issued for exact set of domains") (Duplicate Certificate limit of 5 per week)

Donc je suppose que dans la semaine qui vient je ne pourrais plus faire de tests .....

Modifié par bruno78
Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, bruno78 a dit :

(Duplicate Certificate limit of 5 per week)

Let's encrypt ne permet que 5 renouvellements dans 5 jours consécutifs. Par contre je crois que la limite pour créer des certificats est plus élevées.

Sinon avec la configuration tu ne peux pas appliquer ce nouveau certificat  aux services ?

Lien vers le commentaire
Partager sur d’autres sites

@GrOoT64

Je te confirme ce que @Jeff777 vient de te dire, il faut se connecter avec l'Id Principal de ton compte OVH. Perso, je me connecte toujours avec lui, d'où je n'ai pas ce ce problème. Comme manifestement il y a une ambiguïté je vais amender le tutoriel pour bien préciser cela.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@PPJP

+1, j'avais oublié celle là que nous avait donné de mémoire @Fenrir en son temps. Comme je ne l'ai pas encore testée, difficile d'en parler.

@bruno78

il y a 19 minutes, bruno78 a dit :

Je n'ai pas trouvé comment remplacer l'ancien certificat par le nouveau dans DSM.

Du coup en conjonction de l'instruction "--staging" et en employant tout simplement la méthode "annule et remplace" du § 5.2.1 ? A voir ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@PPJP, merci pour l'info sur --staging. Néanmoins, je ne sais plus trop quoi tester pour avoir un renouvellement et non pas la création d'un nouveau certificat ....

@Jeff777, oui, une fois le nouveau certificat créé, je peux basculer dessus l'ensemble des services, ... mais ça reste manuel. On cherchait ici une solution de renouvellement automatisée ....

Lien vers le commentaire
Partager sur d’autres sites

@oracle7,

Merci. C'est bon ça fonctionne, cependant, impossible de me connecter en SSH via mon mot de passe admin. Il doit être trop compliqué ou je sais pas (présence de % & ou en core * (si quelqu'un a une idée) . J'ai du faire un autre compte pour passer...
C'est ça qui faisait planter le déploiement .

Edit : c'est bon j'ai changé de mot de passe et impec ! 

Merci 

Modifié par GrOoT64
Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Comme tu as vu je n'ai malheureusement pas pu utiliser ta méthode fullauto  à cause de ma config qui ne fait pas appel aux DNS de OVH.

J'ai pu, malgré tout, obtenir un nouveau certificat wildcard manuellement avec la méthode acme.

Je souhaiterais pouvoir bénéficier du renouvellement automatique ( @bruno78 j'ai tendance a oublier ce côté sympa du présent tuto 🙄).

J'ai donc essayé le §6 et voilà le message reçu :

Le planificateur de tâches à terminé une tâche planifiée.

Tâche : RenewCertif_W_LE

Heure de début : Mon, 01 Jun 2020 14:50:02 GMT

Heure d’arrêt : Mon, 01 Jun 2020 14:50:03 GMT

État actuel : 0 (Normal)

Sortie standard/erreur :

[Mon Jun  1 14:50:02 CEST 2020] ===Starting cron===

[Mon Jun  1 14:50:03 CEST 2020] Already uptodate!

[Mon Jun  1 14:50:03 CEST 2020] Upgrade success!

[Mon Jun  1 14:50:03 CEST 2020] Auto upgraded to: 2.8.6

[Mon Jun  1 14:50:03 CEST 2020] Renew: '*.Mondomaine'

[Mon Jun  1 14:50:03 CEST 2020] Skip, Next renewal time is: Thu Jul 30 20:28:33 UTC 2020

[Mon Jun  1 14:50:03 CEST 2020] Add '--force' to force to renew.

[Mon Jun  1 14:50:03 CEST 2020] Skipped *.Mondomaine

[Mon Jun  1 14:50:03 CEST 2020] Renew: 'Mondomaine'

[Mon Jun  1 14:50:03 CEST 2020] Skip invalid cert for: Mondomaine

[Mon Jun  1 14:50:03 CEST 2020] Skipped Mondomaine

[Mon Jun  1 14:50:03 CEST 2020] ===End cron===

 

As-tu une piste à me donner ?

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.