Aller au contenu

[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"


oracle7

Messages recommandés

Merci @oracle7, toutefois je ne sais pas où est le conteneur acme dans l'arborescence de ma machine.

Lorsque je lance la commande docker exec -it acme /bin/sh j'obtiens un message d'erreur disant qu'il n'existe de pas de conteneur acme

/volume1$ docker exec -it acme /bin/sh
Error: No such container: acme

Sans doute ne suis-je pas dans le bon répertoire...

Merci pour ton aide

Audio

Lien vers le commentaire
Partager sur d’autres sites

il y a 52 minutes, Mic13710 a dit :

@Audio plutôt que d'intervenir sur ce tuto qui concerne la mise en oeuvre d'un Certificat dans DSM via SSH, il y a un tuto spécifique pour son installation via Docker, ce qui me semble plus approprié à votre cas.

 

@Mic13710

Effectivement, il vaut mieux retourner au tuto acme.sh via Docker.

J'avais rejoint le présent sujet parce que j'avais eu les mêmes symptômes (perte de la Consumer Key OVH) que @Bajoum.

Cordialement

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Ca a marché chez moi en ssh. Merci pour votre support. Ca venait donc bien de la mise à jour acme.

J'ai eu un peu de mal à télécharger le dossier sur github. Je me permet de corriger la syntaxe d'oracle pour les moins connaisseurs des exports github. La syntaxe est :

wget https://github.com/acmesh-official/acme.sh/archive/refs/tags/3.0.5.tar.gz

cela permet de télécharger dans le dossier où on se trouve dans le terminal.

Maintenant, on est en droit de se demander que si acme a été mis à jour c'est qu'il y a bien une raison non ? Va t'on pouvoir utiliser cette version ad vitam aeternam ?

C'est vraiment compliqué la gestion des certificats je trouve.

Merci encore

Lien vers le commentaire
Partager sur d’autres sites

@Bajoum

Bonjour,

Juste pour info, j'avais donné l'endroit où se trouvait le fichier mais c'est bien que tu précises la commande exacte de téléchargement sur github.😁

Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...
Le 30/05/2020 à 10:35, oracle7 a dit :

./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" --dns "$CERT_DNS" --set-default-ca --server letsencrypt

Bonjour @oracle7,

J'ai un "petit" problème concernant la création de mon certificat, j'espère que vous saurez me dire où j'ai cafouillé...

Tout fonctionnait très bien, jusqu'au moment où j'ai tapé la commande citée plus haut.

A la suite de cette étape, j'ai eu le message suivant:

[Sat Feb 18 18:56:49 CET 2023] Changed default CA to: https://acme-v02.api.letsencrypt.org/directory

Mais rien du tout en ce qui concerne la création... Du coup, j'imagine qu'il n'a pas été créé.

Et je voudrait bien comprendre pourquoi, alors que j'ai suivis chaque étape ^^'

Merci par avance !

Modifié par KreaNum
Lien vers le commentaire
Partager sur d’autres sites

Bonjour je te réponds vite fait car je n’ai pas trop le temps mais la commande est à rentrer en deux fois. C’est ecrit quelque part dans les 37 pages…peut être même dans le tuto.

le message que tu as indique que let’s encrypt est maintenant fixé. Il faut maintenant que tu rentre la commande  sans ./acme… sans les arguments default-ca et server letsencrypt 

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @KreaNum,

Non pas tout à fait

1)

--set-default-ca --server letsencrypt

2) 

./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" --dns "$CERT_DNS"

Ca devrait le faire comme ça.

Par contre si t'as fermé ta fenêtre de connexion ssh ou ton terminal, Il faudra que tu réexporte tes variables d'environnement. Tiens moi au courant. 

Lien vers le commentaire
Partager sur d’autres sites

@KreaNum, @Bajoum

Bonjour,

Désolé les gars ce n'est pas cela en termes de commandes à taper.

Pour expliquer le principe, je vous revoie à ma précédente réponse ici :

Pour résumer :

1 - On fait normalement la première fois :

./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" --dns "$CERT_DNS" --set-default-ca --server letsencrypt

2 - Quand la variable d'environnement DEFAULT_ACME_SERVER='https://acme-v02.api.letsencrypt.org/directory' est bien définie dans le fichier account.conf (/usr/local/share/acme.sh/account.conf).

3 - Si besoin de relancer la création du certificat, après avoir ré exportées TOUTES les variables d'environnement, on crée le certificat avec la commande :

./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" --dns "$CERT_DNS" --server letsencrypt

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

@KreaNum

Bonjour,

il y a 11 minutes, KreaNum a dit :

régler un problème de DNS qui ne se met pas à jour...

Tu peux STP préciser ce problème, ce n'est peut-être au mieux qu'une mauvaise configuration de ta zone DNS ...

Fait une copie d'écran de celle-ci en masquant ton domaine.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

@KreaNum

Bonjour,

Il y avait donc bien un problème avec ta zone DNS. Au pire après l'avoir ré activée, tu peux la réinitialiser pour repartir sur une base saine :

XKrosOB.png

PS : Par sécurite masques ton domaine dans la copie d'écran (voir encart sur fond rouge).

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Bonjour,

Oui, j'ai également le fichier, malgré l'erreur... A croire que mon NAS est maudit.

En revanche, le certificat a bien été créé, grace au nom de domaine chez Infomaniak... Mais impossible de le déployer, car l'authentification via OTP est activée (encore une raison pour détester cette ***) .

Lien vers le commentaire
Partager sur d’autres sites

@KreaNum

Bonjour,

Vis à vis de la 2FA, je t'invite à relire quelques pages en arrière les échanges que j'ai pu avoir sur ce sujet.

En gros si tu utilises la 2FA, saches que acme a récemment modifié le script de déploiement synology_dsm.sh. Celui-ci impose l'usage de la clé secrète de la 2FA au travers d'une variable d'environnement SYNO_TOTP_SECRET (fichier account.conf). Sauf que le script python ne gère pas cette nouvelle variable. Du coup, le déploiement du certificat ne se fait plus automatiquement. Heureusement cela ne bloque pas le renouvellement sur certificat, juste son déploiement. 

Il suffit alors de prendre les fichiers du certificat dans /volume1/Certs/tonDomaine.tld et de les recharger manuellement sur le NAS.

Sinon si tu tiens vraiment à la 2FA, il faut alors installer sur le NAS un outil tiers oathtool selon la procédure décrite ici .

De toutes façons comme tout se passe en local, il est préférable de créer un utilisateur (type admin) dédié pour gérer le certificat et son renouvellement, qui n'a pas la 2FA d'activée. Et cela résoud le problème aussi.

Cordialement

oracle7😉

 

 

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Bonjour,

Oui, je tiens beaucoup à la F2A, qui, malgré ses contraintes, est quand même bien pratique d'un niveau sécurité.

Pour en revenir à OVH, il y a bien un problème chez eux (voir capture d'écran).

Et concernant le NAS en lui-même, j'en ai eu tellement marre que j'ai transféré mes données sur un DD externe hier, et réinitialisé le NAS à l'état d'usine, histoire de repartir sur des bases saines et solides grâce aux différents tutos du forum ici-présent.

Autant faire ça dans les règles de l'art. 😉

image.thumb.png.d85586812ced8f490d276914abe00977.png

Lien vers le commentaire
Partager sur d’autres sites

@KreaNum

Bonjour,

il y a 21 minutes, KreaNum a dit :

Oui, je tiens beaucoup à la F2A, qui, malgré ses contraintes, est quand même bien pratique d'un niveau sécurité.

Ok, c'est tout à fait recevable mais comme je te l'ai déjà dit précédemment, pour le renouvelement du certificat, tout se passe en local (à moins que tu n'ais des pirates en herbes chez toi !😜) et la 2FA ne se justifie donc pas dans ce cas, on la réserve normalement pour des accès externes. Donc un utilisateur dédié qui n'a que les droits qui vont bien est suffisant. Maintenant ce que j'en dis, c'est toi qui voit ...

il y a 17 minutes, KreaNum a dit :

Pour en revenir à OVH, il y a bien un problème chez eux (voir capture d'écran).

Alors là je t'invites à créer un ticket auprès du support OVH et demander (çà ne coûte rien de le faire) qu'il te fasses un geste commercial, vu que tu ne peux utiliser du coup ton domaine.

Sinon, bon courage pour tout reconfigurer sur ton NAS, y-a du boulot et du temps à passer ...🤪

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Bonjour,

Concernant l'utilisateur dédié, j'ai bien pris en compte la suggestion apportée hier, et elle est prévue pour le déploiement actuel (d'où le fait de repartir sur des bases "saines") 😉

Pour OVH, je vais tenter le ticket oui, mais je ne m'attends pas à un miracle avec eux...

Et oui, il va me falloir beaucoup de temps pour tout reconfigurer, mais en comparaison au fait de pratiquer sur des bases potentiellement mauvaises, et au risque de devoir tout refaire quand même... Autant tout démolir dès le début.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Alors, petit retour de ma part, après m'être quelques peu "enflammé" contre mon NAS (qui n'avais strictement rien demandé, ceci étant dit ! ^^')

La création, le déploiement, ET le renouvellement du certificat ont fonctionné à merveille !

Donc, un grand merci, particulièrement à ces 3 personnes:

@oracle7 pour avoir créé et très bien détaillé ce tuto.

@Bajoum pour avoir dépoussiérer mes neurones avec une commande que j'avais mal écrit.

@Pinpon_112 qui m'a permis de modifier certaines commandes, afin de remplacer OVH par Infomaniak.

En revanche, je ne remercie vraiment pas OVH qui a clos le ticket créé chez eux suite à une impossibilité d'utiliser correctement la zone DNS, et ce, sans explications, NI intervention.

Ils ont atteint le summum de l'incompétence crasseuse...

 

Sur ce, on va continuer les dernières configurations pour exploiter le potentiel de Nazou ^^

Lien vers le commentaire
Partager sur d’autres sites

J'utilise OVH sur plusieurs NAS chez moi et ailleurs, y compris dans la belle province, et je n'ai jamais eu le moindre problème, sauf une fois pour la suppression d'un enregistrement GLUE récalcitrant où il a fallu leur intervention, ce qui a été fait sur l'heure.

On ne dénombre plus le nombre de membres qui sont chez OVH et qui n'ont pas rapporté de problèmes autres que ceux qu'ils ont créé eux-mêmes.

Très sincèrement, vous êtes à ma connaissance le premier qui se plaint de leurs services. Mais je veux bien croire que ça ne puisse pas fonctionner chez certains.

Très bien en tout cas que votre souci soit résolu.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.