Aller au contenu

[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"


oracle7

Messages recommandés

il y a 13 minutes, Mic13710 a dit :

Les logs font souvent état d'erreurs de lecture des TXT, et parfois ce sont des délais de réponse trop longs

Je ne sais pas si c'est pertinent :  pour le script de @.Shad. concernant une zone hébergée il a fallu laisser le temps aux TXT d'être transférés vers le DNS secondaire. Augmentation des tempos à 2 mn.

Lien vers le commentaire
Partager sur d’autres sites

Salut à tous,

Excellent tuto une fois de plus sur le forum donc merci à vous tous pour commencer ! Mon nas me facilite le quotidien et j'ai l'impression que jamais je ne pourrais m'en passer.

J'ai réussi le tuto sans soucis car il faut bien l'avouer tout est clair. 

Par contre j'aimerais une précision sur une explication que je ne comprends pas... Avec vos explications cela sera peut-être plus clair pour moi. 

A un moment oracle7 parle du cookie DID périmé.

Mon problème est que je ne comprend pas en quoi ce cookie à un lien avec l'execution du script. Qu'il soit périmé ou qu'il aille jusqu'en 2050, le script ne vérifie pas cela car il n'est pas en lien avec.

Je rajouterais, si je me connecte sur un autre pc ou via mon téléphone (wifi ou vpn) via le navigateur web sa sera un autre cookie et surement un nouveau DID ? Car j'aurais tendance à penser que cet identifiant d'authentification à deux facteurs est propre à chaque navigateur.

Pouvez-vous m'éclairer ? Merci une nouvelle fois à tous par avance et pour ce super forum.

Citation
Le 30/05/2020 à 10:35, oracle7 a dit :

Edit du 10/01/2021

voici la « parade ».

En fait, ce message survient parce que le cookie DID est périmé. Il s’avère qu’il n’a en fait qu’une durée de vie d’un mois et qu’il change donc tous les mois.

Aussi, toute l’astuce va être d’aller éditer le cookie et de modifier sa date de péremption pour la repousser aux « calandres grecques ».

Donc pour cela, comme expliqué ci-avant, vous éditez le cookie DID et vous modifiez le champ « expire » en indiquant une date en 2050 par exemple. Cela devrait suffire 😀.

 

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

J'espère que je ne vais pas dire de bêtises. Voici comment je le comprends :
Il est nécessaire pour se connecter à la session du NAS qui lance le script. Il "dupe" le NAS en faisant croire que le script se connecte à partir du matériel que l'on a déclaré "de confiance".

Envoyé de mon SM-G973F en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

@maestro72

Bonjour,

  1. Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

  2. Il y a 9 heures, maestro72 a dit :

    Mon problème est que je ne comprend pas en quoi ce cookie à un lien avec l'execution du script. Qu'il soit périmé ou qu'il aille jusqu'en 2050, le script ne vérifie pas cela car il n'est pas en lien avec.

    Tu n'es pas le premier à soulever ce problème. Très franchement je n'ai pas vraiment d'explication sinon de dire que C'EST UN FAIT : si le cookie est périmé alors la tentative de connexion du script acme.sh au NAS échouera.
    Comme la valeur du DID est réinitialisée naturellement tous les mois et à chaque mise à jour de FF (ce qui arrive très souvent !) repousser sa date de péremption est la seule astuce trouvée à ce jour qui marche.
    Certes le script comme tu le dis n'est pas en lien direct avec le cookie mais au travers de la variable SYNO_DID que l'on renseigne en début de processus de déploiement et qu'il sauvegarde ensuite pour réutilisation lors des renouvellement, le script a bien connaissance de la valeur du cookie DID. Delà à penser, mais cela reste qu'une supposition, que cette valeur contienne l'information de durée de validité et que le script l'exploite lors de la connexion au NAS, pourquoi pas, mais une chose est sûre la valeur DID intervient d'une façon ou d'une autre dans le processus d'authentification et l'explication donnée par @Diplo95 est une tout à fait recevable si c'est cela effectivement.
    Voilà ce n'est que mon appréciation mais, et je peux me tromper, alors je reste vivement preneur de l'explication exacte que personne jusqu'à présent, n'a pu nous fournir (pas trouvée non plus malgré moult recherches ...).

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Salut,

@oracle7 oui je connaissais l'option (on l'utilise un peu partout désormais) mais j'avoue ne pas y avoir pensé sur le coup ! merci pour le rappel.

Et merci à toi et @Diplo95 pour votre avis sur la question. Il doit y avoir surement dans le NAS un fichier qui à cette clé DID et qui a prit la date de validité du cookie modifié.

En tout cas j'ai hate d'être au premier renouvellement pour valider la démarche à 100% !

Bonne fin de week-end à tous. 

Lien vers le commentaire
Partager sur d’autres sites

@axb

Bonjour,

Le message d'erreur est clair me semble-t-il "... No such file or directory ...".

Si j'étais toi je commencerai par vérifier les chemins que tu as déclarés dans les exports des variables d'environnement $ACME_HOME, $CERT_HOME.

De plus est-tu bien positionné dans le répertoire $ACME_HOME ("/usr/local/share/acme.sh/") quand tu exécutes ta commande ?

Manifestement, à la vue de ta copie d'écran : non. Tu étais dans : "/usr/local/share/". Donc cette erreur me paraît alors normale ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour et merci pour ta réponse

Le message d'erreur était effectivement clair, mais c'était ma première utilisation d'un terminal en SSH, la langue de code m'est encore inconnue...

J'ai repris le fil en me plaçant dans le bon dossier et je suis allé au bout du tuto.

Merci !

Cordialement

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour

J'ai du refaire un certificat et je me retrouve avec des erreurs , auriez vous une piste ?

[Sat May  1 18:25:12 CEST 2021] Checking authentication
[Sat May  1 18:25:12 CEST 2021] Consumer key is ok.
[Sat May  1 18:25:12 CEST 2021] Adding record
[Sat May  1 18:25:13 CEST 2021] Add txt record error.
[Sat May  1 18:25:13 CEST 2021] Error add txt for domain:_acme-challenge.mondomaine                                .eu  nom fictif bien sur
[Sat May  1 18:25:13 CEST 2021] Please add '--debug' or '--log' to check more de                                tails.
[Sat May  1 18:25:13 CEST 2021] See: https://github.com/acmesh-official/acme.sh/ wiki/How-to-debug-acme.sh
-ash: Using: command not found
root@NasServeur718:/usr/local/share/acme.sh# [Sat May  1 18:25:12 CEST 2021] Che                                cking authentication
-ash: [Sat: command not found
root@NasServeur718:/usr/local/share/acme.sh# [Sat May  1 18:25:12 CEST 2021] Con                                sumer key is ok.
-ash: [Sat: command not found
root@NasServeur718:/usr/local/share/acme.sh# [Sat May  1 18:25:12 CEST 2021] Add                                ing record
-ash: [Sat: command not found
root@NasServeur718:/usr/local/share/acme.sh# [Sat May  1 18:25:13 CEST 2021] Add                                 txt record error.
-ash: [Sat: command not found
root@NasServeur718:/usr/local/share/acme.sh# [Sat May  1 18:25:13 CEST 2021] Err                                or add txt for domain:_acme-challenge.24sur25.eu
-ash: [Sat: command not found
root@NasServeur718:/usr/local/share/acme.sh# [Sat May  1 18:25:13 CEST 2021] Ple                                ase add '--debug' or '--log' to check more details.
-ash: [Sat: command not found
root@NasServeur718:/usr/local/share/acme.sh# [Sat May  1 18:25:13 CEST 2021] See                                : https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh
-ash: [Sat: command not found

Modifié par Pascalou59
Lien vers le commentaire
Partager sur d’autres sites

@Pascalou59

Bonjour,

il y a 56 minutes, Pascalou59 a dit :

Error add txt for domain:_acme-challenge.

Sous réserves, je serais tenté de te dire que cette erreur est dûe à la présence d'un enregistrement de type TXT _acme_challenge déjà présent dans ta Zone DNS chez OVH (donc il y a eut probablement un problème à un moment donné et il n'a pas été supprimé automatiquement).

Normalement il ne doit pas en exister. Ce type d'enregistrement est créé juste le temps de la vérification de l'authentification du domaine par LE puis il est supprimé.

Je t'invite donc à vérifier cela dans ta zone DNS chez OVH et relance le processus (attention 5 essais maxi par semaine au delà tu seras bloqué pour une semaine complète !).

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @oracle7

J'ai bien 2 enregistrements TXT chez OVh mais pas pour LE , je les ai supprimé .

Je ne peux plus faire de renouvellement j'ai fait les 5 essais , je te tiendrais au courant dans 1 semaine

 

Modifié par Pascalou59
Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

Je suis actuellement en train d’évaluer ici quelle serait pour moi la meilleur stratégie de sauvegarde de mes données.

Pour le moment j'envisage d'utiliser un NAS distant (sur un autre réseau) qui sera probablement en IP dynamique. Je voudrais donc savoir s'il est possible d'ajouter un nouveau DDNS depuis le routeur d'un autre LAN qui mettrait à jour mon registrar mais uniquement pour un sous domaine du type backup.ndd.tld ?

J'aurais ainsi un domaine avec l’essentiel de mes adresses qui pointent sur le LAN de mon NAS principal et mes adresses en backup.ndd.tld qui pointeraient vers le LAN de mon NAS secondaire. Si je ne dis pas de bêtise grâce à ce tuto je serais alors en mesure de diffuser avec succès mon unique certificat wilcard aux différents appareils de ces deux LAN ?

Merci d'avance,

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @oracle7

 La semaine s'est écoulée , les 5 essais LE sont derrière , j 'ai vérifié chez OVH il n'y a aucun TXT et ca ne fonctionne pas,  la même erreur revient

Je ne vois plus quoi faire , j'ai tout repris a zéro

Signing from existing CSR.
[Sun May  9 19:24:31 CEST 2021] Getting domain auth token for each domain
[Sun May  9 19:24:34 CEST 2021] Getting webroot for domain='MONDOMAINE'
[Sun May  9 19:24:34 CEST 2021] Getting webroot for domain='*.MONDOMAINE'
[Sun May  9 19:24:34 CEST 2021] Adding txt value: 2nj1Klw9v3GI1IwFg5OHjJeKYT7FRZOFG1uDFJE9SHc for domain:  _acme-challenge.MONDOMAINE
[Sun May  9 19:24:34 CEST 2021] Using OVH endpoint: ovh-eu
[Sun May  9 19:24:34 CEST 2021] Checking authentication
[Sun May  9 19:24:35 CEST 2021] Consumer key is ok.
[Sun May  9 19:24:36 CEST 2021] Adding record
[Sun May  9 19:24:36 CEST 2021] Add txt record error.
[Sun May  9 19:24:36 CEST 2021] Error add txt for domain:_acme-challenge.MONDOMAINE

[Sun May  9 19:24:36 CEST 2021] Please add '--debug' or '--log' to check more details.
[Sun May  9 19:24:36 CEST 2021] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh

 

Le 02/05/2021 à 14:26, oracle7 a dit :

@Pascalou59

Bonjour,

Tu dois avoir a minima ceux là :

ndd.tld.  0    TXT    "1|www.ndd.tld"

www.ndd.tld.  0   TXT   "3|welcome"

www.ndd.tld.   à   TXT    "l|tld"

Adaptes ndd.tld selon ton domaine.

Cordialement

oracle7😉

Ces enregistrements A existent bien , mon précédent certificat fonctionnait , c'est le renouvellement qui n'a pas marché , du coup je recommence a 0

 

Modifié par Pascalou59
Lien vers le commentaire
Partager sur d’autres sites

Bonjour @oracle7 ,
ça y est ! au bout d'un an, en lisant mes anciens commentaires, j'ai enfin eu le courage de suivre ton tuto jusqu'au bout !
franchement bravo ! et pour les mises à niveau aussi !

je me pose une petite question maintenant :
sur la fin du tuto sur la partie renouvellement automatique, on choisit "http" "localhost" et port "5000" <-- ce port pour moi n'est pas ouvert sur le monde mais ça à quand même fonctionné lors de la création du certificat.
Est-ce que ça va me poser des problèmes lors du renouvellement ?

Merci bien !

Lien vers le commentaire
Partager sur d’autres sites

@GrOoT64

Bonjour,

Le 15/05/2021 à 08:40, GrOoT64 a dit :

on choisit "http" "localhost" et port "5000" <-- ce port pour moi n'est pas ouvert sur le monde

Pour mémoire, cela ne sert qu'en local au script acme.sh pour ce connecter au NAS. Donc rien à ouvrir sur l'extérieur à ce niveau.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Hello tout le monde !

 

Vous me reconnaissez ? *gros bide...*

Nan plus sérieusement j'ai décidé de me relancer dans la création du certificat Wildcard....et j'ai enfin réussi !

Un grand merci à @oracle7 ! Ton tuto est fantastique !

Je n'ai pas fait l'étape de renouvellement automatique de ce dernier car je me pose plusieurs questions :

  • Avant j'étais obligé d'ouvrir temporairement mes ports 80 & 443 à tout le monde le temps de faire un renouvellement de certificat LE (sinon ça échouait...). Ma question est donc la suivante : est-ce que le renouvellement automatique nécessite de laisser ces ports ouverts ad vitam aeternam ? Je me dis que me connecter une fois tous les 3 mois pour faire un renouvellement manuel du certificat ce n'est pas la mer à boire donc je m'interroge sur la pertinence de cette étape...
  • Aussi, si jamais je décide de mettre en place ce renouvellement automatique, je suis dans le cas d'une double-authentification donc il fait que je fasse la parade du cookie mais je n'ai pas compris à quel endroit exactement on lui met une date de péremption aux calanques grecques...

Merci par avance pour vos réponses !

Lien vers le commentaire
Partager sur d’autres sites

@AlexisG

Bonjour,

Content pour toi que tu ais réussi à créer ton certificat LE.😀🤗

Il y a 4 heures, AlexisG a dit :

est-ce que le renouvellement automatique nécessite de laisser ces ports ouverts ad vitam aeternam ?

Relis le préambule du TUTO : on utilise le protocole DNS-01 qui a l'avantage de ne pas avoir à ouvrir les ports 80 et 443 lors de la création mais surtout lors du renouvellement du certificat LE contrairement au protocole HTTP-01. Tu as dû passer trop rapidement ces explications ...🤪

Il y a 4 heures, AlexisG a dit :

mais je n'ai pas compris à quel endroit exactement on lui met une date de péremption aux calanques grecques...

Il faut éditer le cookie lié à la page de connexion à DSM avec CookieQuickManager directement dans FireFox (en fait là où tu as récupéré la valeur du DID). Ne pas oublier d'enregistrer après la modif de date !!!

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.