Aller au contenu

Renouvellement certificat Let's encrypt


Messages recommandés

Il y a 7 heures, oracle7 a dit :

N'oublies pas que ACME utilise de base par défaut le défit HTTP-01

Oui mais si on lit le début de l'article. J'ai bien l'impression que l'on parle des deux défis.

Let’s Encrypt prend en charge IPv6 pour accéder à l’API ACME à l’aide d’un client ACME, et pour les recherches DNS et les requêtes HTTP que nous faisons lors de la validation de votre contrôle des noms de domaine.

...........Étant donné que le client ACME configure uniquement le serveur IPv4 pour répondre au défi, la validation du domaine échouera lorsque l’IPv6 du serveur sera utilisée.

Répondre au défi sans précision duquel

Comme toi je voudrais bien que cela ne concerne pas le défi DNS-01,.....bien que :

Ma zone que j'héberge sur le NAS1 ( et qui possède un slave sur le NAS2) a un enregistrement A et un enregistrement AAAA.

A pointe sur le NAS1 de mon LAN (IPV4 de mon domaine et redirection vers le NAS1) et AAAA est l'adresse IPV6 de mon NAS2.

Dans le cas d'un renouvellement de certificat Let's encrypt par acme sur le NAS1 Let’s Encrypt préférera toujours les adresses IPv6 pour la connexion initiale. Donc dans mon cas le NAS2 et 

Étant donné que le client ACME configure uniquement le serveur IPv4 pour répondre au défi, la validation du domaine échouera lorsque l’IPv6 du serveur sera utilisée.

sauf que dans mon cas le serveur IPV4 configuré c'est le NAS1  mais  la zone slave du NAS2  reproduit les enregistrements TXT faits sur le NAS1 dans le cas d'un défi DNS-1 et la validation du domaine n'échouera pas sur ce dernier.

Ce que je cherchais à comprendre c'est pourquoi malgré ma config. le renouvellement d'un certificat avec acme fonctionne. Je voudrais savoir si ce que je raconte ici tiens la route, ou bien si, comme tu le dis, DNS-1 n'est pas concerné par ce problème.

 

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

il y a 56 minutes, Jeff777 a dit :

J'ai bien l'impression que l'on parle des deux défis.

Bah  je ne crois pas. Je m'explique :

il y a 56 minutes, Jeff777 a dit :

Let’s Encrypt prend en charge IPv6 pour accéder à l’API ACME à l’aide d’un client ACME, et pour les recherches DNS et les requêtes HTTP que nous faisons lors de la validation de votre contrôle des noms de domaine.

Ce que je comprends, c'est que LE utilise le défit http-01 qui est configuré de base sur ACME, pour faire ses recherches DNS et ses requêtes HTTP (comme toute requête http/https standard le fait sur le net pour trouver un hôte distant). Si LE utilisait le défit DNS-01, alors l'article le citerait explicitement, ce qui n'est manifestement pas le cas.

Après, je crains (ne le prends pas mal) que tu ne mélanges les choses en les rapprochant de ta configuration spécifique.

Voilà ce que je comprends : c'est ton NAS1 qui reçoit en premier la requête en IPv4 de LE (et à ce moment là LE ne sait pas et ne peux savoir que tu as un NAS2 en esclave relié en IPv6) donc LE traite avec le NAS1 en IPv4 et pour moi, ce serait pour cela que cela fonctionne chez toi pour le renouvellement. Je vois cela comme çà mais je peux me tromper, non ?

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, oracle7 a dit :

@Popop33

Ton problème semble venir de ton DDNS, peut-être mal configuré.

As-tu bien rentré ton @IP externe (celle de la box) pour ton DDNS (Panneau de configuration / Acces externe / DDNS) ? Est-ce bien toujours la même ? (à vérifier, vas voir dans l'interface d'admin de la LB, celle qui a cours)

Le port 443 est-il bien ouvert dans ton pare-feu du NAS ?

Le port 80 quant à lui doit être ouvert uniquement pendant la période de renouvellement du certificat, en dehors il doit être fermé sur le paré-feu du NAS (la règle désactivée suffit).

Cordialement

oracle7😉

 

Merci @oracle7 je vais effectivement creuser du côté du DDNS. Les ports, oui,  normalement c'est bon. Il mes reste jusqu'à mi-juillet avant expiration, je vais voir çà dans quelques jours car là je sature 😉

Merci !!!

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.