Aller au contenu

[TUTO] Certificat Let's Encrypt avec acme.sh & api Ovh en Docker (DSM6/7) (Update 07/09/22)


Messages recommandés

Posté(e)

Bonjour,

J'ai parcouru le tuto et il y a quelque chose qui m'est pas claire au niveau du déploiement automatique du certificat (partie 3.B du tuto).

docker exec Acme sh -c "acme.sh --deploy -d 'mydomain.com' --deploy-hook synology_dsm"

La commande ci dessus est elle à lancer à chaque fois que l'on veux redéployer les nouveaux certificats lors des renouvellements. Ou bien ça se fait tout seul, dans ce cas comment ?

Merci

  • 1 mois après...
Posté(e)

Bonjour,
J'ai mon certificat qui n'est pas mis a jour ou déployé correctement (je pars plus pour la deuxième explication car dans le dossier acme\ndd.ovh il date du mois d'octobre)

Savez -vous comment je peux forcer le déploiement ?

Pour info je suis en DSM6

 

Posté(e)

@firlin ça m'arrive aussi.

Tu peux lancer le déploiement en créant une tâche non activée dans le planificateur de tâche :

docker exec Acme sh -c "acme.sh --deploy  -d 'ndd' --deploy-hook synology_dsm"

Vérifie bien avant que le nom du certificat est bien en base64 dans le fichier ndd.conf

Posté(e)

@Mic13710, tu veux parle de cette ligne dans le fichier ndd.conf

Citation

SAVED_SYNO_Certificate='__ACME_BASE64__START_Z2Vub3VkZXQub3Zo__ACME_BASE64__END_'

c'est ce que j'ai fait ce  matin pour le relancer par  contre je viens de voir ça dans mes log

Citation

[Mon Nov  6 16:52:11 UTC 2023] Unable to authenticate to http://172.17.0.1:5000 - check your username & password.
[Mon Nov  6 16:52:11 UTC 2023] If two-factor authentication is enabled for the user, set SYNO_Device_ID.
[Mon Nov  6 16:52:11 UTC 2023] Error deploy for domain:ndd.ovh
[Mon Nov  6 16:52:11 UTC 2023] Deploy error.

je pense que mon problème vient du fait que je sois host dans mon docker et pas en bridge.
par contre je sais pas comment le passer en Host

  • 4 semaines après...
Posté(e) (modifié)

Bonjour à tous,

j'ai besoin de votre aide j'ai commencé à mettre en place le tuto pour avoir le certificat et je bloque sur D)

Le 11/10/2020 à 12:58 PM, Einsteinium a dit :

D) Création du certificat :

Faut-il créer une nouvelle tache si oui je l'ai fait

j'ai bien dans mon dossier docker/Acme/  plusieurs nouveaux dossiers docker/Acme/votredomaine, docker/Acme/http.header, docker/Acme/acme.sh.log

et dans le dossier votredomaine rien il est vide 😞

donc impossible de continuer le tuto 😞

merci pour votre futur aide

Modifié par domtous
Posté(e)

Bonsoir @Mic13710,

je présume que c'est cela le log:

[Sat Dec  2 09:41:29 UTC 2023] Running cmd: issue
[Sat Dec  2 09:41:29 UTC 2023] _main_domain='mon.domaine.com'
[Sat Dec  2 09:41:29 UTC 2023] _alt_domains='*.mon.domaine.com'
[Sat Dec  2 09:41:29 UTC 2023] Using config home:/acme.sh
[Sat Dec  2 09:41:29 UTC 2023] default_acme_server='https://acme-v02.api.letsencrypt.org/directory'
[Sat Dec  2 09:41:29 UTC 2023] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory'
[Sat Dec  2 09:41:29 UTC 2023] DOMAIN_PATH='/acme.sh/mondomaine.com'
[Sat Dec  2 09:41:29 UTC 2023] Using ACME_DIRECTORY: https://acme-v02.api.letsencrypt.org/directory
[Sat Dec  2 09:41:29 UTC 2023] _init api for server: https://acme-v02.api.letsencrypt.org/directory
[Sat Dec  2 09:41:29 UTC 2023] GET
[Sat Dec  2 09:41:29 UTC 2023] url='https://acme-v02.api.letsencrypt.org/directory'
[Sat Dec  2 09:41:29 UTC 2023] timeout=
[Sat Dec  2 09:41:29 UTC 2023] _CURL='curl --silent --dump-header /acme.sh/http.header  -L  -g '
[Sat Dec  2 09:41:34 UTC 2023] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 6
[Sat Dec  2 09:41:34 UTC 2023] ret='6'
[Sat Dec  2 09:41:34 UTC 2023] Can not init api for: https://acme-v02.api.letsencrypt.org/directory.
[Sat Dec  2 09:41:34 UTC 2023] Sleep 10 and retry.
[Sat Dec  2 09:41:44 UTC 2023] GET

 

Posté(e)

@domtous il ne faut pas creuser bien loin. En consultant le lien donné dans votre log, voici ce qu'on trouve concernant l'erreur 6 :

Citation

Could not resolve host. The given remote host was not resolved.

Autrement dit, votre nom de domaine n'existe pas aux yeux du monde. Ce qui indique que votre zone DNS n'est pas correcte. Soit vos enregistrements sont erronés, soit vous avez supprimé les serveurs DNS.

Pour pouvoir émettre un certificat, il faut d'abord que votre zone soit correctement paramétrée et que vos ndd soient diffusés.

Faite un test avec : https://www.zonemaster.net/fr/run-test

Posté(e)

Je parlais de la page des serveurs DNS chez OVH.

C'est bien ce que je craignais. Votre zone DNS ne peut pas fonctionner car vos enregistrements A sont dirigés vers des IP privées qui ne peuvent pas être résolues dans le domaine publique. Pourtant, je vous ai parlé plusieurs fois de votre IP publique, celle de votre routeur.

Ainsi, je redemande ce que je vous ai demandé dans un autre post à savoir : est-ce que votre IP PUBLIQUE (celle que vous attribue votre opérateur Nordnet) est fixe ou dynamique ?

Posté(e)

je m'y perds 😓

donc si je comprends bien j'ai une adresse IP

pour mon Synology (elle est fixe).

pour mon routeur (elle est fixe).

ce que j'ai donné aujourd'hui chez OVH c'est celle de mon Synology.

@Mic13710 vous êtes patient merci  

 

serveur dns ovh.png

Posté(e) (modifié)

@_DR64_ mon opérateur est NordNet 

dans le lien que tu as posté que signifie le deuxième ligne  "Hôte" cvgf.dynamic.ftth.abo.nordnet.fr

si non mon adresse est fixe sur le routeur 

Modifié par domtous
Posté(e)

@domtous votre réseau privé et comme son nom l'indique, privé. Ce sont des adresses de la RFC1918 qui ne sortent pas de votre réseau. https://fr.wikipedia.org/wiki/Réseau_privé

La seule adresse qui doit être associée à votre ndd c'est l'ip publique de votre box. Vous me dites qu'elle est fixe, perso je n'en sais rien. Je ne connais pas votre opérateur et c'est à vous de vous renseigner sur son status, fixe ou dynamique. En tout état de cause, c'est cette IP qui doit être renseignée chez OVH soit par un DynHost si dynamique soit par un enregistrement A et/ou AAAA si fixe.

Ensuite, vos enregistrements sont incomplets ou du moins mal fait.

Si vous invoquez des ndd dans votre demande de certificat, il faut que ces ndd existent. Or, votre demande porte sur mondomaine.com et *.mondomaine.com. Aucun des deux noms existe dans votre zone, il n'y a donc aucune chance de pouvoir émettre un certificat sur quelque chose qui n'existe pas.

Il faut au minimum :

  1. un enregistrement (A et/ou AAAA) ou un DynHost sur mondomaine.com qui pointe sur l'IP publique
  2. un enregistrement CNAME sur le wildcard *.mondomaine.com qui est lié à mondomaine.com

Mais tout ceci vous a déjà été suggéré dans l'autre sujet que vous avez ouvert....

Posté(e)
il y a 15 minutes, domtous a dit :

que signifie le deuxième ligne  "Hôte" cvgf.dynamic.ftth.abo.nordnet.fr

Vous n'avez pas compris que le résultat correspond à votre ligne ? C'est l'URL de votre opérateur. Peut-être qu'il s'agit d'une IP dynamique....

Normalement c'est votre ndd (domaine.com) lié à l'IP qui apparait, si bien sûr la zone DNS chez OVH est correctement faite, ce qui n'est pas votre cas.

il y a 15 minutes, domtous a dit :

mon adresse est fixe sur le routeur 

De quelle adresse parlez-vous, est ce celle qui est indiquée dans la première ligne du lien ? Comment êtes vous sûr qu'il s'agit d'une IP fixe ?

Posté(e)
il y a 12 minutes, Mic13710 a dit :

De quelle adresse parlez-vous, est ce celle qui est indiquée dans la première ligne du lien ? Comment êtes vous sûr qu'il s'agit d'une IP fixe ?

Car depuis que je suis chez Nordnet elle n'a jamais changé.

 

 

Posté(e)
Il y a 3 heures, domtous a dit :

depuis que je suis chez Nordnet elle n'a jamais changé

Ce n'est pas une assurance en soit. Chez certain FAI, l'IP ne change que si le modem a été arrêté pour une durée relativement longue (quelques heures). C'est le cas par exemple chez Videotron au Canada.

Si ça fait peu de temps que vous êtes chez cet opérateur, vous n'avez pas assez de recul pour le savoir. Le mieux serait de les contacter pour confirmer.

Posté(e)
il y a 3 minutes, Mic13710 a dit :

Si ça fait peu de temps que vous êtes chez cet opérateur, vous n'avez pas assez de recul pour le savoir. Le mieux serait de les contacter pour confirmer.

bonsoir à tous, je suis chez eux depuis le début de la fibre dans mon secteur, je leurs ai envoyé un message j'espère avoir une réponse très rapidement.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.