Aller au contenu

[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"


oracle7

Messages recommandés

Bonjour @Mic13710,

Je veux bien croire que mon cas soit "unique", mais même si c'est le cas, cela n'excuse absolument pas le fait de clore un ticket, alors que le client l'a ouvert, et attends donc forcément une réponse (ne serait-ce qu'un bon vieux "Allez au Diable" (pour être poli)), et ce sans apporter ni réponse, ni solution.

C'est un manque flagrant de respect, de politesse, et surtout de professionnalisme... Ce qui est encore plus aberrant, venant d'une "grosse" entreprise comme eux...

Lien vers le commentaire
Partager sur d’autres sites

Bonjour tout le monde,

@Mic13710

Je me devais de faire un petit retour sur mon problème concernant OVH (même si ce n'est pas entièrement lié au tuto ci-présent, mais cela reste connecté):

Le problème venais de l'activation de l'option DNS Anycast, qui mettait la pagaille dans la tambouille.

Il a suffit de modifier les serveurs DNS en supprimant les DNS anycast -> Valider

Attendre 48h pour que cela soit pris en compte

Refaire la création des Zones DNS

Si jamais cela peut servir aux personnes qui auraient éventuellement le même problème, tant mieux...

Modifié par KreaNum
Lien vers le commentaire
Partager sur d’autres sites

Personnellement, je suis aussi parti de chez OVH, non pas pour des problèmes de nom de domaine mais bien pour des problèmes de mail...
De plus, leur service de base gratuit est lent ou ne répond pas à nos demandes.

Pas de soucis chez Infomaniak à tous les niveaux, support réactif et aussi par téléphone et moins cher dans mon cas.

Fin de l'apparté 😉

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

Bonjour @netgus,

Ci-joint la version 1.44 d'aout 2020 du script acme_renew.py qui est a priori compatible du paquet Python 3 de Synology. Cependant je ne sais pas si elle est toujours fonctionnelle, de mon côté j'utilise la version Docker d'acme.sh.

Cordialement

Audio

acme_renew.py

Lien vers le commentaire
Partager sur d’autres sites

Pour @netgus

Le tuto pour acme.sh sous Docker est disponible à la page suivante

https://www.nas-forum.com/forum/topic/68046-tuto-certificat-lets-encrypt-avec-acmesh-api-ovh-en-docker-dsm67-update-070922/

Il vaut mieux t'y référer en priorité afin de bénéficier de la version la plus à jour du tuto, merci @Einsteinium

Cordialement - Audio

Lien vers le commentaire
Partager sur d’autres sites

Salut Oracle7

 

je viens de reussir à configuré à deployé le certificat et le renouvellement automatique du moins je pense.

j'ai rencontré quelque bugs que j'ai réussi à contourné alors je partage :

- les simples cotes "'", il faut absolument utilisé celle du terminal sinon ça ne marche pas (attention au copier-coller)

- localhost doit être remplacé par votre "ip" localhost commençant par 192. chez moi

- je crois avoir compris pourquoi "...il est nécessaire de spécifier une chaîne vide pour ce paramètre. Ne me demandez pas pourquoi ! (si un « initié » sait, je corrigerai en conséquence avec l’explication du pourquoi).... export SYNO_Certificate=""  ... de mon côté cela ne fonctionnais pas avec une chaîne vide surement car j'avais déjà un certificat que j'avais nommé donc une chaîne vide pour ce paramètre ne fonctionnais pas, alors j'ai mis le nom que j'avais donné à mon certificat par défaut et cela à fonctionné. La chaîne vide doit sûrement fonctionner lorsque le certificat n'est pas renommé?? Je ne suis pas un initié, ce n'est peut être pas la bonne raison mais je tenais à le partagé au cas où.

 

merci encore pour le tuto

Lien vers le commentaire
Partager sur d’autres sites

  • 3 mois après...

Bonjour @oracle7 et à tous les autres,

Gros problème pour moi ce matin.
Impossible de renouveler mon certificat SSL via le script présenté dans ce tuto,  que ce soit via le planificateur de tâches de DSM ou via l'invite de commandes de WinSCP...

Alors qu'habituellement, le renouvellement se passe bien (cela a déjà bloqué 1 ou 2 fois dans le passé mais ponctuellement).

Voici ce que me dit le log:


[Tue Sep  5 11:55:50 CEST 2023] Add txt record error.
[Tue Sep  5 11:55:50 CEST 2023] Error add txt for domain:_acme-challenge.ndd.fr
[Tue Sep  5 11:55:50 CEST 2023] _on_issue_err
[Tue Sep  5 11:55:50 CEST 2023] Please check log file for more details: /volume1/Certs/Acme_renew/acmesh.log.1



La lecture du fichier "acmesh.log.1" ne m'apporte aucune information supplémentaire par rapport au fichier log principal...

Serait-ce un souci de configuration côté OVH?

Autre?

Merci d'avance pour votre aide.

 

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Après quelques bidouillages, mon problème a évolué mais pas en bien...

Je rencontre une grosse galère avec le script de renouvellement (acme_renew.py)...

Je vais vous expliquer tout par étape.

1) Au début,, j'avais une banale erreur de problème d'ajout de l'enregistrement TXT dans mon DNS.

Cela fait 2 ans que j'utilise le script de renouvellement "acme_renew.py".
Ce genre d'erreur arrivait de temps en temps mais jamais aussi longtemps...

Cette fois-ci cela a persisté...

Message d'erreur:

[Tue Sep  5 11:55:50 CEST 2023] Add txt record error.
[Tue Sep  5 11:55:50 CEST 2023] Error add txt for domain:_acme-challenge.ndd.tld
[Tue Sep  5 11:55:50 CEST 2023] _on_issue_err



2) Après moults recherches sur le net, j'ai tenté la commande (foireuse) ci-dessous que j'ai trouvé sur le forum officiel Let's Encrypt...

La commande foireuse en question:

./acme.sh --issue --home . -d 'ndd.tld' --dns dns_cf --debug 2

3) Mauvaise idée que j'ai eue car ensuite, le script de renouvellement ne voulait plus fonctionner...

Message d'erreur:

-- Le nom de domaine (ndd.tld) est erroné ou mal configure avec acme.sh.
-- Arret du script de renouvellement du certificat



4) J'ai modifié le fichier "ndd.tld.conf" au niveau de "Le_Alt" et "Le_Webroot" (valeurs manquantes ou erronées suite à l'exécution de la commande trouvée sur le forum Let's Encrypt).

5) Suite à cela, le script de renouvellement s'est enfin remis à fonctionner mais les dates (création et renouvellement) inscrites dans le fichier "ndd.tld.conf" sont dans un format invalide.

Exemple:
Il me donne ce format de date:

Le_CertCreateTimeStr='2023-09-06T02:39:44Z'
Le_NextRenewTimeStr='2023-11-04T02:39:44Z'


Alors que normalement, je devrais avoir ce format de date:

Le_CertCreateTimeStr='Wed Sep 6 02:39:44 UTC 2023'
Le_NextRenewTimeStr='Sat Nov 4 02:39:44 UTC 2023'



5)
À cause de ce problème de date dans le fichier "ndd.tld.conf", j'ai systématiquement ce message d'erreur quand j'exécute le script de renouvellement "acme_renew.py".

Voici le message d'erreur en question:

/volume1/Certs$ python3 /volume1/Scripts/acme_renew.py -f ndd.tld
  
Traceback (most recent call last):

  File "/volume1/Scripts/acme_renew.py", line 626, in <module>
    element = datetime.strptime(createTS[2],"%a %b %d %H:%M:%S %Z %Y")

  File "/var/packages/py3k/target/usr/local/lib/python3.8/_strptime.py", line 568, in _strptime_datetime
    tt, fraction, gmtoff_fraction = _strptime(data_string, format)

  File "/var/packages/py3k/target/usr/local/lib/python3.8/_strptime.py", line 349, in _strptime
    raise ValueError("time data %r does not match format %r" %
ValueError: time data '2023-09-06T02:39:44Z' does not match format '%a %b %d %H:%M:%S %Z %Y'




En changeant la date au bon format ou en mettant un ancien fichier "ndd.tld.conf", le script de renouvellement "acme_renew.py" accepte enfin de s'exécuter.

Mais après exécution, rebelote, le fichier "ndd.tld.conf" contient de nouveau une date de création et une date de renouvellement au mauvais format...

J'ai même supprimé acme.sh et l'ai réinstallé. Mais le problème de date incorrecte persiste!

De plus, autre problème, le déploiement du certificat refuse de se faire alors que pendant 2 ans, avec les mêmes login et mot de passe (avec authentification 2 facteurs), le déploiement se faisait sans problème...

Bref, double galère..


Mes questions:

1) Comment faire pour que le fichier "ndd.tld.conf", modifié à chaque renouvellement, affiche de nouveau la date de création et de renouvellement au bon format?

Tant que les dates ne seront pas au bon format dans le fichier "ndd.tld.conf", impossible de renouveler mon certificat...

2) Comment faire pour le déploiement du certificat se fasse de nouveau correctement au niveau de DSM?



Merci d'avance pour votre aide!

Modifié par Stixen92
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Plus personne ne semble être actif sur ce post...C'est bien dommage...

De mon côté, je suis toujours coincé.

- Si j'utilise la version 2.8.9 d'acme-sh, j'obtiens systématiquement le message d'erreur:

Add txt record error.
Error add txt for domain:_acme-challenge.ndd.tld
_on_issue_err

Alors que tout est bien configuré côté OVH, niveau API (application key, application secret, consumer key, etc).



-Si j'utilise la dernière version d'acme-sh (3.0.6), le certificat SSL est bien renouvelé mais les dates inscrites (création et renouvellement) dans le fichier "ndd.tld.conf" sont au mauvais format (comme expliqué précédemment) et bloquent le prochain renouvellement.
Obligé de rentrer manuellement les dates, au bon format, dans le fichier "ndd.tld.conf" et donc je perds le renouvellement automatique.

Sans parler du fait que le déploiement du certificat ne fonctionne pas, malgré que la valeur "SYNO_DID", pour la double authentification soit correcte...

Quelqu'un peut m'aider?

 

@oracle7 @bruno78

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Hello,

Etrange ton soucis, car personnellement je n'ai pas eu ce message d'erreur... Et j'ai bien les date au form avec le Z a la fin...

Par contre je suis confronté à un blocage un peu différent... J'ai mon réseau internet qui était down (alors que la boucle locale était OK). le script de rnew a donc certainement été lancé et a du tomber en échec car impossible de joindre LE (car évidemment depuis le temps je ne garde plus les logs). Sauf que le script a mis à jour les date de renouvellement de certificat, et que maintenant je me retrouve avec:

- Un certificat expiré

- un script de renew qui me dit qu'il n'est pas nécessaire de renouveller le certificat...

J'ai essayé de changer la date dans le fichier conf, mais cela ne fonctionne pas. J'ai essayé de forcer le renouvellement via -f dans le script de renew, mais ca ne fonctionne pas non plus... De mon côté cela plutôt etre l'url de renouvellement des certificat du synology qui ne fonctionne plus:

Citation

[Wed Sep 20 13:53:31 CEST 2023] url='http://localhost:5000/webapi/entry.cgi?api=SYNO.API.Auth&version=6&method=login&format=sid&account=User&passwd=PWD&otp_code=&enable_syno_token=yes&enable_device_token=yes&device_name=CertRenewal'
[Wed Sep 20 13:53:31 CEST 2023] timeout=
[Wed Sep 20 13:53:31 CEST 2023] _CURL='curl --silent --dump-header /usr/local/share/acme.sh/http.header  -L  -g '
[Wed Sep 20 13:53:31 CEST 2023] ret='0'
[Wed Sep 20 13:53:31 CEST 2023] Session ID
[Wed Sep 20 13:53:31 CEST 2023] SynoToken
[Wed Sep 20 13:53:31 CEST 2023] Unable to authenticate to http://localhost:5000 - check your username & password.
[Wed Sep 20 13:53:31 CEST 2023] If two-factor authentication is enabled for the user, set SYNO_Device_ID.
[Wed Sep 20 13:53:31 CEST 2023] Error deploy for domain:MyDomain.ovh
[Wed Sep 20 13:53:31 CEST 2023] Deploy error.
[Wed Sep 20 13:53:31 CEST 2023] Return code: 1
[Wed Sep 20 13:53:31 CEST 2023] Error renew MyDomain.ovh.

Quand je tape l'url, j'ai un page JSON qui m'affiche juste

Citation
{"error":{"code":102},"success":false}

EDIT: Je ne sais pas comment tu as démarré tes investigations, mais dans mon cas le soucis a déjà été identifié: https://github.com/acmesh-official/acme.sh/issues/4721

La question c'est maintenant... Comment je reviens à la version 3.0.6 et comment je desactive l'autoupdate... 🙂

EDIT2: Pour ceux qui auraient le soucis, il faut passer le autoupdate dans account.conf à 0

Modifié par darkneo
Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.