[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"

[nebelnic]

Je viens de le relancer en anticipant la date de la tache planifiée et c'est passé cette fois...

@.Shad., @Mic13710, @bruno78merci pour vos conseils!!!

nebelnic

[Jeff777]

il y a 13 minutes, Mic13710 a dit :

Les logs font souvent état d'erreurs de lecture des TXT, et parfois ce sont des délais de réponse trop longs

Je ne sais pas si c'est pertinent :  pour le script de @.Shad. concernant une zone hébergée il a fallu laisser le temps aux TXT d'être transférés vers le DNS secondaire. Augmentation des tempos à 2 mn.

[Mic13710]

Il y a 1 heure, Jeff777 a dit :

Augmentation des tempos à 2 mn.

Je n'ai pas épluché le script acme.sh mais on ne peut guère y toucher, il serait réinitialisé à chaque changement de version.

[oracle7]

@Jeff777, @Mic13710

Bonjour,

Il doit exister sûrement un problème de tempo car selon la vitesse de réponse des serveurs d'Ovh le renouvellement passe ou casse.

Cordialement

oracle7😉

[Suprême NAS]

Salut à tous,

Excellent tuto une fois de plus sur le forum donc merci à vous tous pour commencer ! Mon nas me facilite le quotidien et j'ai l'impression que jamais je ne pourrais m'en passer.

J'ai réussi le tuto sans soucis car il faut bien l'avouer tout est clair. 

Par contre j'aimerais une précision sur une explication que je ne comprends pas... Avec vos explications cela sera peut-être plus clair pour moi. 

A un moment oracle7 parle du cookie DID périmé.

Mon problème est que je ne comprend pas en quoi ce cookie à un lien avec l'execution du script. Qu'il soit périmé ou qu'il aille jusqu'en 2050, le script ne vérifie pas cela car il n'est pas en lien avec.

Je rajouterais, si je me connecte sur un autre pc ou via mon téléphone (wifi ou vpn) via le navigateur web sa sera un autre cookie et surement un nouveau DID ? Car j'aurais tendance à penser que cet identifiant d'authentification à deux facteurs est propre à chaque navigateur.

Pouvez-vous m'éclairer ? Merci une nouvelle fois à tous par avance et pour ce super forum.

Citation

Le 30/05/2020 à 10:35, oracle7 a dit :

Edit du 10/01/2021

voici la « parade ».

En fait, ce message survient parce que le cookie DID est périmé. Il s’avère qu’il n’a en fait qu’une durée de vie d’un mois et qu’il change donc tous les mois.

Aussi, toute l’astuce va être d’aller éditer le cookie et de modifier sa date de péremption pour la repousser aux « calandres grecques ».

Donc pour cela, comme expliqué ci-avant, vous éditez le cookie DID et vous modifiez le champ « expire » en indiquant une date en 2050 par exemple. Cela devrait suffire 😀.

 

 

[Diplo95]

Bonjour,

J'espère que je ne vais pas dire de bêtises. Voici comment je le comprends :
Il est nécessaire pour se connecter à la session du NAS qui lance le script. Il "dupe" le NAS en faisant croire que le script se connecte à partir du matériel que l'on a déclaré "de confiance".

Envoyé de mon SM-G973F en utilisant Tapatalk

[oracle7]

@maestro72

Bonjour,

1. Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

2. Il y a 9 heures, maestro72 a dit :

   Mon problème est que je ne comprend pas en quoi ce cookie à un lien avec l'execution du script. Qu'il soit périmé ou qu'il aille jusqu'en 2050, le script ne vérifie pas cela car il n'est pas en lien avec.

   Tu n'es pas le premier à soulever ce problème. Très franchement je n'ai pas vraiment d'explication sinon de dire que C'EST UN FAIT : si le cookie est périmé alors la tentative de connexion du script acme.sh au NAS échouera.
   Comme la valeur du DID est réinitialisée naturellement tous les mois et à chaque mise à jour de FF (ce qui arrive très souvent !) repousser sa date de péremption est la seule astuce trouvée à ce jour qui marche.
   Certes le script comme tu le dis n'est pas en lien direct avec le cookie mais au travers de la variable SYNO_DID que l'on renseigne en début de processus de déploiement et qu'il sauvegarde ensuite pour réutilisation lors des renouvellement, le script a bien connaissance de la valeur du cookie DID. Delà à penser, mais cela reste qu'une supposition, que cette valeur contienne l'information de durée de validité et que le script l'exploite lors de la connexion au NAS, pourquoi pas, mais une chose est sûre la valeur DID intervient d'une façon ou d'une autre dans le processus d'authentification et l'explication donnée par @Diplo95 est une tout à fait recevable si c'est cela effectivement.
   Voilà ce n'est que mon appréciation mais, et je peux me tromper, alors je reste vivement preneur de l'explication exacte que personne jusqu'à présent, n'a pu nous fournir (pas trouvée non plus malgré moult recherches ...).

Cordialement

oracle7😉

[Suprême NAS]

Salut,

@oracle7 oui je connaissais l'option (on l'utilise un peu partout désormais) mais j'avoue ne pas y avoir pensé sur le coup ! merci pour le rappel.

Et merci à toi et @Diplo95 pour votre avis sur la question. Il doit y avoir surement dans le NAS un fichier qui à cette clé DID et qui a prit la date de validité du cookie modifié.

En tout cas j'ai hate d'être au premier renouvellement pour valider la démarche à 100% !

Bonne fin de week-end à tous. 

[axb]

Hello,

La procédure ne se passe pas comme je veux.

 

Quelqu'un aurait une idée sur ce qui coince ?

Dois-je recommencer depuis le début ?

merci !

Modifié le 21 avril 2021 par axb
question supplémentaire

[oracle7]

@axb

Bonjour,

Le message d'erreur est clair me semble-t-il "... No such file or directory ...".

Si j'étais toi je commencerai par vérifier les chemins que tu as déclarés dans les exports des variables d'environnement $ACME_HOME, $CERT_HOME.

De plus est-tu bien positionné dans le répertoire $ACME_HOME ("/usr/local/share/acme.sh/") quand tu exécutes ta commande ?

Manifestement, à la vue de ta copie d'écran : non. Tu étais dans : "/usr/local/share/". Donc cette erreur me paraît alors normale ...

Cordialement

oracle7😉

[axb]

Bonjour et merci pour ta réponse

Le message d'erreur était effectivement clair, mais c'était ma première utilisation d'un terminal en SSH, la langue de code m'est encore inconnue...

J'ai repris le fil en me plaçant dans le bon dossier et je suis allé au bout du tuto.

Merci !

Cordialement

[Pascalou59]

Bonjour

J'ai du refaire un certificat et je me retrouve avec des erreurs , auriez vous une piste ?

[Sat May  1 18:25:12 CEST 2021] Checking authentication
[Sat May  1 18:25:12 CEST 2021] Consumer key is ok.
[Sat May  1 18:25:12 CEST 2021] Adding record
[Sat May  1 18:25:13 CEST 2021] Add txt record error.
[Sat May  1 18:25:13 CEST 2021] Error add txt for domain:_acme-challenge.mondomaine                                .eu  nom fictif bien sur
[Sat May  1 18:25:13 CEST 2021] Please add '--debug' or '--log' to check more de                                tails.
[Sat May  1 18:25:13 CEST 2021] See: https://github.com/acmesh-official/acme.sh/ wiki/How-to-debug-acme.sh
-ash: Using: command not found
root@NasServeur718:/usr/local/share/acme.sh# [Sat May  1 18:25:12 CEST 2021] Che                                cking authentication
-ash: [Sat: command not found
root@NasServeur718:/usr/local/share/acme.sh# [Sat May  1 18:25:12 CEST 2021] Con                                sumer key is ok.
-ash: [Sat: command not found
root@NasServeur718:/usr/local/share/acme.sh# [Sat May  1 18:25:12 CEST 2021] Add                                ing record
-ash: [Sat: command not found
root@NasServeur718:/usr/local/share/acme.sh# [Sat May  1 18:25:13 CEST 2021] Add                                 txt record error.
-ash: [Sat: command not found
root@NasServeur718:/usr/local/share/acme.sh# [Sat May  1 18:25:13 CEST 2021] Err                                or add txt for domain:_acme-challenge.24sur25.eu
-ash: [Sat: command not found
root@NasServeur718:/usr/local/share/acme.sh# [Sat May  1 18:25:13 CEST 2021] Ple                                ase add '--debug' or '--log' to check more details.
-ash: [Sat: command not found
root@NasServeur718:/usr/local/share/acme.sh# [Sat May  1 18:25:13 CEST 2021] See                                : https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh
-ash: [Sat: command not found

Modifié le 1 mai 2021 par Pascalou59

[oracle7]

@Pascalou59

Bonjour,

il y a 56 minutes, Pascalou59 a dit :

Error add txt for domain:_acme-challenge.

Sous réserves, je serais tenté de te dire que cette erreur est dûe à la présence d'un enregistrement de type TXT _acme_challenge déjà présent dans ta Zone DNS chez OVH (donc il y a eut probablement un problème à un moment donné et il n'a pas été supprimé automatiquement).

Normalement il ne doit pas en exister. Ce type d'enregistrement est créé juste le temps de la vérification de l'authentification du domaine par LE puis il est supprimé.

Je t'invite donc à vérifier cela dans ta zone DNS chez OVH et relance le processus (attention 5 essais maxi par semaine au delà tu seras bloqué pour une semaine complète !).

Cordialement

oracle7😉

[Pascalou59]

Bonjour @oracle7

J'ai bien 2 enregistrements TXT chez OVh mais pas pour LE , je les ai supprimé .

Je ne peux plus faire de renouvellement j'ai fait les 5 essais , je te tiendrais au courant dans 1 semaine

 

Modifié le 2 mai 2021 par Pascalou59

[oracle7]

@Pascalou59

Bonjour,

Désolé pour toi, effectivement c'est pénible cette limitation à 5 essais.

Sinon, on est bien d'accord que ce sont les enregistrements TXT nommés "_acme_challenge.ndd.tld" qu'il faut supprimer dans la zone DNS chez OVH, pas les autres ...

Cordialement

oracle7😉

[Pascalou59]

@oracle7 j'ai supprimé tous les txt  , il en avait  de google , 1 acme , et 1 autre mais je ne sais plus

 

[oracle7]

@Pascalou59

Bonjour,

Tu dois avoir a minima ceux là :

Citation

ndd.tld.  0    TXT    "1|www.ndd.tld"

www.ndd.tld.  0   TXT   "3|welcome"

www.ndd.tld.   à   TXT    "l|tld"

Adaptes ndd.tld selon ton domaine.

Cordialement

oracle7😉

[Pascalou59]

@oracle7 c'est bien noté , j' attend 1 semaine

[TuringFan]

Bonjour à tous,

Je suis actuellement en train d’évaluer ici quelle serait pour moi la meilleur stratégie de sauvegarde de mes données.

Pour le moment j'envisage d'utiliser un NAS distant (sur un autre réseau) qui sera probablement en IP dynamique. Je voudrais donc savoir s'il est possible d'ajouter un nouveau DDNS depuis le routeur d'un autre LAN qui mettrait à jour mon registrar mais uniquement pour un sous domaine du type backup.ndd.tld ?

J'aurais ainsi un domaine avec l’essentiel de mes adresses qui pointent sur le LAN de mon NAS principal et mes adresses en backup.ndd.tld qui pointeraient vers le LAN de mon NAS secondaire. Si je ne dis pas de bêtise grâce à ce tuto je serais alors en mesure de diffuser avec succès mon unique certificat wilcard aux différents appareils de ces deux LAN ?

Merci d'avance,

[Pascalou59]

Bonjour @oracle7

 La semaine s'est écoulée , les 5 essais LE sont derrière , j 'ai vérifié chez OVH il n'y a aucun TXT et ca ne fonctionne pas,  la même erreur revient

Je ne vois plus quoi faire , j'ai tout repris a zéro

Signing from existing CSR.
[Sun May  9 19:24:31 CEST 2021] Getting domain auth token for each domain
[Sun May  9 19:24:34 CEST 2021] Getting webroot for domain='MONDOMAINE'
[Sun May  9 19:24:34 CEST 2021] Getting webroot for domain='*.MONDOMAINE'
[Sun May  9 19:24:34 CEST 2021] Adding txt value: 2nj1Klw9v3GI1IwFg5OHjJeKYT7FRZOFG1uDFJE9SHc for domain:  _acme-challenge.MONDOMAINE
[Sun May  9 19:24:34 CEST 2021] Using OVH endpoint: ovh-eu
[Sun May  9 19:24:34 CEST 2021] Checking authentication
[Sun May  9 19:24:35 CEST 2021] Consumer key is ok.
[Sun May  9 19:24:36 CEST 2021] Adding record
[Sun May  9 19:24:36 CEST 2021] Add txt record error.
[Sun May  9 19:24:36 CEST 2021] Error add txt for domain:_acme-challenge.MONDOMAINE
[Sun May  9 19:24:36 CEST 2021] Please add '--debug' or '--log' to check more details.
[Sun May  9 19:24:36 CEST 2021] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh

 

Le 02/05/2021 à 14:26, oracle7 a dit :

@Pascalou59

Bonjour,

Tu dois avoir a minima ceux là :

ndd.tld.  0    TXT    "1|www.ndd.tld"

www.ndd.tld.  0   TXT   "3|welcome"

www.ndd.tld.   à   TXT    "l|tld"

Adaptes ndd.tld selon ton domaine.

Cordialement

oracle7😉

Ces enregistrements A existent bien , mon précédent certificat fonctionnait , c'est le renouvellement qui n'a pas marché , du coup je recommence a 0

 

Modifié le 9 mai 2021 par Pascalou59

[Einsteinium]

@Pascalou59 Tu as un nas prenant docker, essaye ma méthode via docker 😉

[_DR64_]

Bonjour @oracle7 ,
ça y est ! au bout d'un an, en lisant mes anciens commentaires, j'ai enfin eu le courage de suivre ton tuto jusqu'au bout !
franchement bravo ! et pour les mises à niveau aussi !

je me pose une petite question maintenant :
sur la fin du tuto sur la partie renouvellement automatique, on choisit "http" "localhost" et port "5000" <-- ce port pour moi n'est pas ouvert sur le monde mais ça à quand même fonctionné lors de la création du certificat.
Est-ce que ça va me poser des problèmes lors du renouvellement ?

Merci bien !

[oracle7]

@GrOoT64

Bonjour,

Le 15/05/2021 à 08:40, GrOoT64 a dit :

on choisit "http" "localhost" et port "5000" <-- ce port pour moi n'est pas ouvert sur le monde

Pour mémoire, cela ne sert qu'en local au script acme.sh pour ce connecter au NAS. Donc rien à ouvrir sur l'extérieur à ce niveau.

Cordialement

oracle7😉

 

[AlexisG]

Hello tout le monde !

 

Vous me reconnaissez ? *gros bide...*

Nan plus sérieusement j'ai décidé de me relancer dans la création du certificat Wildcard....et j'ai enfin réussi !

Un grand merci à @oracle7 ! Ton tuto est fantastique !

Je n'ai pas fait l'étape de renouvellement automatique de ce dernier car je me pose plusieurs questions :

• Avant j'étais obligé d'ouvrir temporairement mes ports 80 & 443 à tout le monde le temps de faire un renouvellement de certificat LE (sinon ça échouait...). Ma question est donc la suivante : est-ce que le renouvellement automatique nécessite de laisser ces ports ouverts ad vitam aeternam ? Je me dis que me connecter une fois tous les 3 mois pour faire un renouvellement manuel du certificat ce n'est pas la mer à boire donc je m'interroge sur la pertinence de cette étape...
• Aussi, si jamais je décide de mettre en place ce renouvellement automatique, je suis dans le cas d'une double-authentification donc il fait que je fasse la parade du cookie mais je n'ai pas compris à quel endroit exactement on lui met une date de péremption aux calanques grecques...

Merci par avance pour vos réponses !

[oracle7]

@AlexisG

Bonjour,

Content pour toi que tu ais réussi à créer ton certificat LE.😀🤗

Il y a 4 heures, AlexisG a dit :

est-ce que le renouvellement automatique nécessite de laisser ces ports ouverts ad vitam aeternam ?

Relis le préambule du TUTO : on utilise le protocole DNS-01 qui a l'avantage de ne pas avoir à ouvrir les ports 80 et 443 lors de la création mais surtout lors du renouvellement du certificat LE contrairement au protocole HTTP-01. Tu as dû passer trop rapidement ces explications ...🤪

Il y a 4 heures, AlexisG a dit :

mais je n'ai pas compris à quel endroit exactement on lui met une date de péremption aux calanques grecques...

Il faut éditer le cookie lié à la page de connexion à DSM avec CookieQuickManager directement dans FireFox (en fait là où tu as récupéré la valeur du DID). Ne pas oublier d'enregistrer après la modif de date !!!

Cordialement

oracle7😉

Modifié le 5 juin 2021 par oracle7