Aller au contenu

[TUTO] Certificat Let's Encrypt avec acme.sh & api Ovh en Docker (DSM6/7) (Update 07/09/22)


Messages recommandés

Posté(e)

bonjour @Einsteinium je  suis aller voir le fichier log je vais devoir reprendre a 0 , ce sont des clé fraichement générées sur l' api OVH

error {"message":"This credential is not valid","httpCode":"403 Forbidden","errorCode":"INVALID_CREDENTIAL"}
[Tue May 11 17:06:33 UTC 2021] The consumer key is invalid: l3HL2hejAAdupkFUosRtu64tgZMzyF9z

Posté(e)

Cette erreur indique généralement soit:

- Une clé qui n'ai pas valide
- Une clé qui a expirée
- Autorisations non valides

Tu es un ancien du forum, si tu veux on ce fait un TeamViewer durant ce long week-end pour te mettre sa en place 🙂

Posté(e)
il y a 40 minutes, Einsteinium a dit :

Tu es un ancien du forum, si tu veux on ce fait un TeamViewer durant ce long week-end pour te mettre sa en place 🙂

Bonjour

Ca ne sera pas de refus , cette opération qui semble simple a réaliser coince toujours a un moment , j'ai régénérè ce matin une nouvelle API ,supprimer les anciennes . J'installerai Teamwiever  et on verra  ca ensemble soit vendredi ou samedi après midi au choix

Posté(e)

Bon petit retour quand même de la session avec @Pascalou59, on est reparti de zéro directement, assez rapide au finale, par contre il a fallut relancer une deuxième fois la génération du certificat (point 2D), la première fois l’api ovh c’est bloqué en court de route.

On a fait aussi un petit nettoyage dans le pare feu de la box, du nas, d’ovh niveau dns et j’ai fait une démonstration pour les sous domaines.

Encore un nouveau de converti 🙂

Posté(e) (modifié)

@Einsteinium Beau boulot  et maintenant tout est au propre , je me pose quand meme la question de la pertinence des tuto qui sont sur le forum pour la sécurisation ( pare feu ) , ca ne ressemble plus  à ça chez moi désormais depuis ton passage et je suis plus que converti , j'ai un bon exercice pour mon deuxieme Nas

 

Modifié par Pascalou59
Posté(e)

Hello @Einsteinium

Bon j'ai fini me créer mon nouveau nom de domaine (un peu plus simple pour la gestion), appelons-le : miles.tld

Comme je n'ai pas d'IP fixe, j'ai créé un DynHost (avec ID de connexion) pour : nas.miles.tld
Car je ne sais pas comment faire pour que ce soit directement sur miles.tld car lors de la création du DynHost, il y a obligatoirement le point avant le ndd.
7iGrc6z.png

J'ai créer ensuite mes redirection CNAME de mes "sous-domaines" sur le domaine nas.miles.tld :

  • service1.miles.tld
  • service2.miles.tld
  • service3.miles.tld
  • ...

 

En parcourant les premières page (me suis arrêté à la p.5 et la dernière 😅), j'ai pu voir ce message :

Le 24/10/2020 à 19:55, Einsteinium a dit :

Il te manque le *.domain.tld en cname vers domain.tld 😉

Est-ce que ce genre de redirection est obligatoire pour que le script ACME fonctionne ?

Si oui, est-ce que je peux faire le même genre de redirection sachant que mon DynHost est nas.miles.tld ?

 

Le 30/10/2020 à 14:36, Einsteinium a dit :

@Mic13710 J'avais pas vue la coquille merci, c'est vrais nous sommes en bridge, on rajoute alors l'ip passerelle qui est le nas et je dirais donc :


export SYNO_Hostname='172.17.0.1'

Cette variable est-elle encore à exporter ?
Ou bien celle présente dans le fichier de config suffie ?

 

Le 20/12/2020 à 12:24, bruno78 a dit :

Rebonjour,

je réponds suite à essais complémentaires : c'est bien les records TXT _acme-challenge. XXX de la zone DNS qui bloquaient le processus. Une fois la zone nettoyée, ça roule ! (vieux records qui venaient sans doute d'essais préalables sans que le nettoyage ai été fait).

Donc j'ai renouvelé le deuxième domaine en lançant à la main le cron du docker acme. Et pour le troisième j'ai simplement fait le menage dans la zone DNS et je vais laisser passer le cron de façon automatique cette nuit. Et vérifier demain matin si tout est ok.

Ça arrive souvent ce genre d'erreurs ?
Car je ne saurais pas résoudre ça...

 

Le 20/12/2020 à 19:39, Einsteinium a dit :

Update du tutoriel, avec le code directement du conf, ainsi qu'en remplacement du json, le code pour la création et l'update du docker via le gestionnaire de tâche (perso je suis pas fan de Watchtower, un dock avec des privilèges élevés...), j'ai mis aussi directement les noms pour l'import manuel, afin que cela ne porte plus à confusion.

C'est quand même possible d'utiliser le label de watchtower ?
Et corolaire : peut-on utiliser un fichier docker-compose.yml pour créer le conteneur ? (dans lequel je pourrais mettre le label de watchtower).

 

Sinon, tu me confirmes que le renouvellement du certificat wildcard se fera automatiquement à la date prévue pour ?
Est-il possible d'avoir une alerte email en cas de soucis de renouvellement ? Ou bien LE m'en avertira comme il le fait déjà pour mes certificats actuels quand la date approche et que le certificat n'a pas pu se renouveler automatiquement à cause de la restriction des ports sur les pare-feu du NAS et du routeur 😉 

 

Autre question : est-ce qu'il faut redémarrer le NAS à un moment donné de la procédure ? Je n'ai pas vu de mention là dessus, donc je suppose que non, mais je préfère être sûr ^^ là il ne peut pas redémarrer pour encore plusieurs jours 🙂 

Dernière question (je pense pour le moment 😛 car tu as dû voir que je pouvais être un moulin à questions 🤣) : on ne peut pas via ce script et l'API OVH générer de sous-domaines avec les redirections adéquates vers le nom de domaine principal ?
(ce serait un bonus, mais pas indispensable pour moi ^^)

 

Voilà  voilà 

Merci d'avance 😇

Posté(e)

Tu fais ton dynhost direct sur le domaine racine miles.tld (sans sous domaine donc) et après tu fais un sous domaine joker en cname vers le domaine racine, cela évite de créer des sous domaines, c'est le nas qui gère à ton gré 😉

il y a 10 minutes, MilesTEG1 a dit :

Cette variable est-elle encore à exporter ?
Ou bien celle présente dans le fichier de config suffie ?

Suis le tutoriel tel qu'il est, y a pas d'export à faire 😉

il y a 11 minutes, MilesTEG1 a dit :

Ça arrive souvent ce genre d'erreurs ?
Car je ne saurais pas résoudre ça...

Chez ovh, zone dns... suffit de supprimé les enregistrements txt, rien de méchant et compliqué 😉

il y a 12 minutes, MilesTEG1 a dit :

C'est quand même possible d'utiliser le label de watchtower ?
Et corolaire : peut-on utiliser un fichier docker-compose.yml pour créer le conteneur ? (dans lequel je pourrais mettre le label de watchtower).

Oui tu peux le faire, quelqu'un a du le mettre dans le topic d'ailleurs, cherche dans les pages 🙂

il y a 12 minutes, MilesTEG1 a dit :

Sinon, tu me confirmes que le renouvellement du certificat wildcard se fera automatiquement à la date prévue pour ?
Est-il possible d'avoir une alerte email en cas de soucis de renouvellement ? Ou bien LE m'en avertira comme il le fait déjà pour mes certificats actuels quand la date approche et que le certificat n'a pas pu se renouveler automatiquement à cause de la restriction des ports sur les pare-feu du NAS et du routeur

Automatiquement, des le lendemain tu seras la date de renouvellement via le log (tous les 2 mois a vrais dire)

J'ai mis le lien pour les notifications, moi je passe par ifttt qui m’envoie une notification.

On passe par api, y a pas de port à ouvrir, sa fait un enregistrement txt dans le domain que lets encrypt vérifie, c'est tout 😉

il y a 14 minutes, MilesTEG1 a dit :

Autre question : est-ce qu'il faut redémarrer le NAS à un moment donné de la procédure ? Je n'ai pas vu de mention là dessus, donc je suppose que non, mais je préfère être sûr ^^ là il ne peut pas redémarrer pour encore plusieurs jours 🙂 

Non et heureusement, le serveur web est automatiquement redémarrer après l'import, c'est transparent 😉

il y a 15 minutes, MilesTEG1 a dit :

Dernière question (je pense pour le moment 😛 car tu as dû voir que je pouvais être un moulin à questions 🤣) : on ne peut pas via ce script et l'API OVH générer de sous-domaines avec les redirections adéquates vers le nom de domaine principal ?
(ce serait un bonus, mais pas indispensable pour moi ^^)

Pour sa qu'on génère un wildcard, comme après sur le nas tu lui dis les sous domaines et basta 😉

Posté(e)
il y a 30 minutes, Einsteinium a dit :

Tu fais ton dynhost direct sur le domaine racine miles.tld (sans sous domaine donc) et après tu fais un sous domaine joker en cname vers le domaine racine, cela évite de créer des sous domaines, c'est le nas qui gère à ton gré 😉

Donc je peux laisser le champ de saisi vide dans la fenêtre en capture sans soucis ? Le point qui est présent ensuite n'est pas gênant ?
J23Ybj4.png

il y a 29 minutes, Einsteinium a dit :

Chez ovh, zone dns... suffit de supprimé les enregistrements txt, rien de méchant et compliqué 😉

Le soucis c'est que je ne sais pas où sont ces enregistrements txt chez ovh... Ils sont peut-être sur le NAS ? 😅

 

il y a 34 minutes, Einsteinium a dit :

Oui tu peux le faire, quelqu'un a du le mettre dans le topic d'ailleurs, cherche dans les pages 🙂

Ça marche 🙂 

 

il y a 35 minutes, Einsteinium a dit :

Automatiquement, des le lendemain tu seras la date de renouvellement via le log (tous les 2 mois a vrais dire)

J'ai mis le lien pour les notifications, moi je passe par ifttt qui m’envoie une notification.

On passe par api, y a pas de port à ouvrir, sa fait un enregistrement txt dans le domain que lets encrypt vérifie, c'est tout 😉

Pour les ports, c'est bien pour ça que je vais suivre ce tuto 😄

Pour les notifications, je n'utilise pas ifttt, ni gotify ou autre. Je compte passer par l'email. C'est faisable sans trop galérer ?

il y a 36 minutes, Einsteinium a dit :

Non et heureusement, le serveur web est automatiquement redémarrer après l'import, c'est transparent 😉

Ouf 😄 ça me rassure, je vais pouvoir mettre ça en place pendant le badblocks ^^

il y a 36 minutes, Einsteinium a dit :

Pour sa qu'on génère un wildcard, comme après sur le nas tu lui dis les sous domaines et basta 😉

Ok, je vais tenter avec ce que tu m'as dit précédemment.
Mais si je ne faisais pas comme ça, mais plutôt comme j'ai l'habitude de faire actuellement c'est-à-dire créer des redirections à la main, le script fonctionnera quand même ?

Posté(e)
il y a 3 minutes, MilesTEG1 a dit :

Ok, je vais tenter avec ce que tu m'as dit précédemment.
Mais si je ne faisais pas comme ça, mais plutôt comme j'ai l'habitude de faire actuellement c'est-à-dire créer des redirections à la main, le script fonctionnera quand même ?

On utilises les sous domaine pour ne plus ouvrir de port et donc réduire les attaques, si tu fais pas de wildward... c'est revenir en arrière... tape ton domaine actuel sous : https://crt.sh/

Perso j'utilise pas de sous domaine commun (chat, mail, filestation, drive) mais des noms exotiques, je n'ai jamais connus une seule tentative de connection depuis que j'utilise le wildcard et cette exotisme de sous domaine 🙂

Posté(e)

J'ai testé le DynHost avec rien devant le point.
Il a fallu que je modifie le sous-domaine de l'identifiant aussi :
PXlAKsr.png

 

Et ça semble fonctionner 😉

 

Autre question du coup :
j'ai un nom de domaine chez Synology aussi.
Lorsque j'aurais créé le certificat wildcard avec le script pour mon domaine *.miles.tld, ce certificat remplacera-t-il celui pour le synology.me partout ?
Et si c'est le cas, je devrais pouvoir remettre celui de synology là où il faut, mais lors du renouvellement automatique, faudra-t-il que je le refasse manuellement de remettre celui de synology ?

N'y aurait-il pas moyen de dire au script sur quels services je veux le wildcard pour *.miles.tld ?

 

il y a 2 minutes, Einsteinium a dit :

On utilises les sous domaine pour ne plus ouvrir de port et donc réduire les attaques, si tu fais pas de wildward... c'est revenir en arrière... tape ton domaine actuel sous : https://crt.sh/

C'est pour vérifier les certificats ça ?

il y a 2 minutes, Einsteinium a dit :

Perso j'utilise pas de sous domaine commun (chat, mail, filestation, drive) mais des noms exotiques, je n'ai jamais connus une seule tentative de connection depuis que j'utilise le wildcard et cette exotisme de sous domaine 🙂

J'ai tendance à faire pareil 😉 

Oh purée, y a tout l'historique de mes certificats (existants, passés...) ! 😱
Donc de tous les domaines qui aboutissent chez moi 😰

Ça conforte ma volonté de tout changer et de ne faire que du wildcards !!

Posté(e)

Et question subsidiaire (oui encore une 😛 ) :
J'ai testé le domaine blabla.miles.tld (blabla n'étant pas une redirection que j'ai créé coté OVH), j'abouti à cette page après un message concernant la sécurité car pas de certificat encore créé...
jBoUSJX.png

 

Y a moyen de faire en sorte que tout ce qui n'est pas mis dans le reverse-proxy aboutisse à une erreur 404 ou autre ? Voir sur une page comme ça :
XfyNOIf.png

Posté(e) (modifié)

Nouvelle question @Einsteinium vu que je suis en train de planifier le déploiement 😉

Le fichier de configuration account.conf, peut-il contenir dès le début les éléments que tu fais ajouter au point 3B ?

SAVED_SYNO_Scheme='http'
SAVED_SYNO_Hostname='172.17.0.1'
SAVED_SYNO_Port='5000'
SAVED_SYNO_Username='nom utilisateur'
SAVED_SYNO_Password='le password'
SAVED_SYNO_DID=''
SAVED_SYNO_Certificate='description du certificat mise dans le DSM'

C'est histoire de rendre plus pratique l'exécution des scripts que je crée.

Dans le §3.A je ne comprends pas par quoi remplacer DOSSIEREXPORT

Le 11/10/2020 à 12:58, Einsteinium a dit :

On va maintenant faire leur import manuellement, dans "Panneau de configuration/Sécurité/Certificat", il faudra faire une petite conversion, avec le planificateur de tâche (Cf point 2C) ou en ssh en remplaçant "mydomain.com" et "DOSSIEREXPORT" :


openssl x509 -in /volume1/docker/Acme/mydomain.com/mydomain.com.cer -out /volume1/DOSSIEREXPORT/certificat.pem
openssl x509 -in /volume1/docker/Acme/mydomain.com/ca.cer -out /volume1/DOSSIEREXPORT/certificatintermediaire.pem
cp /volume1/docker/Acme/mydomain.com/mydomain.com.key /volume1/DOSSIEREXPORT/cleprivee.key

 

 

Il y a une valeur particulière à déterminer ?? pourquoi ne pas laisser dans le dossier docker ?

 

Modifié par MilesTEG1
Posté(e)
Il y a 3 heures, MilesTEG1 a dit :

J'ai testé le domaine blabla.miles.tld (blabla n'étant pas une redirection que j'ai créé coté OVH), j'abouti à cette page après un message concernant la sécurité car pas de certificat encore créé...

On s'écarte du tutoriel par contre, donc faudra faire un topic à part si tu as d'autres questions HS 🙂

Alors j'ai une technique perso contre les sous domaine inexistant assez simple et qui oblige à abandonner le dossier web pour la racine, mais cela évite de modifier en ssh des fichiers systèmes susceptible de sauté au update, suffit de masqué sa vue dans filestation ensuite ou alors de le gardé si on a des scripts perso qu'on place dans des sous dossiers (en fessant des virtual host)

- A la racine du dossier web, tu mets un access qui deny.

- dans web station maintenant :

1) Portail de service web : par defaut avec le jocker, je mets apache au lieu de nginx

2) paramètre de la page d'erreur, profil de defaut, une redirection 302 vers mon domaine.tld

3) dans portail web je fais un virtual host avec domaine.tld qui pointe vers sa nouvelle racine

il y a une heure, MilesTEG1 a dit :

Le fichier de configuration account.conf, peut-il contenir dès le début les éléments que tu fais ajouter au point 3B ?

Oui sans soucis

il y a une heure, MilesTEG1 a dit :

Il y a une valeur particulière à déterminer ?? pourquoi ne pas laisser dans le dossier docker ?

Bah c'est juste l'emplacement que tu veux, sa le melange pas avec ceux lets encrypt au moins 🙂

Posté(e)
il y a 4 minutes, Einsteinium a dit :

On s'écarte du tutoriel par contre, donc faudra faire un topic à part si tu as d'autres questions HS 🙂

Alors j'ai une technique perso contre les sous domaine inexistant assez simple et qui oblige à abandonner le dossier web pour la racine, mais cela évite de modifier en ssh des fichiers systèmes susceptible de sauté au update, suffit de masqué sa vue dans filestation ensuite ou alors de le gardé si on a des scripts perso qu'on place dans des sous dossiers (en fessant des virtual host)

Ok, merci pour ta réponse, j'aurais d'autres questions là dessus, mais du coup, je ferais un nouveau sujet pour ça ^^ (où le mettre par contre... ?)

Nickel pour le fichier de conf.

il y a 5 minutes, Einsteinium a dit :

Bah c'est juste l'emplacement que tu veux, sa le melange pas avec ceux lets encrypt au moins 🙂

Et cool, je peux faire un dossier certf_a_exporter dans le dossier .../docker/Acme/ pour récupérer ces fichiers.

Et tu peux me confirmer qu'une fois ces fichiers exportés là, donc les .pem et .key, je les récupère sur mon ordi, et je les envoi là :
cWTCFlQ.png

 

Merci bien pour tes réponse 🙂 

Posté(e)

Pour changer, ou pas, j'ai une autre question :
Dans le script à lancer périodiquement, la ligne du docker pull :

docker pull neilpang/acme.sh:latest       # Récupération de la dernière version de l'image acme.sh

Si il y a eu une MAJ de l'image, elle est récupérée et l'ancienne est supprimée avec :

docker image prune -f                     # Suppression des images non utilisées (-f : sans confirmation)

J'ai raison là ?

(c'est pour savoir si je dois me farcir une conversion en docker-compose ou pas 😄 car ça semble chiantos à faire ^^

Et dernière question, le conteneur créé par la procédure, il apparait dans Portainer ou pas ?

Posté(e)

@Einsteinium J'ai quelque messages d'erreurs dans le premier script.
C'est en soit normal vu que le conteneur n'existait pas encore.
4kcAFBo.png

Mais c'est jamais très propre de voir ces erreurs.
Quand j'aurais quelque chose de fonctionnel, je ferais une modif du script pour que l'erreur n'en soit plus une avec un test d'existence ou autre.
 

Posté(e)

C'est du harcèlement la quand même 🤣

Il y a 1 heure, MilesTEG1 a dit :

Et tu peux me confirmer qu'une fois ces fichiers exportés là, donc les .pem et .key, je les récupère sur mon ordi, et je les envoi là :

Voilà la première fois, après une fois le déploiement mis en place on utilise plus 🙂 (enfin moi je l'utilise pour le RT)

il y a 27 minutes, MilesTEG1 a dit :

J'ai raison là ?

Non a chaque fois que tu pull, tu gardes les différentes versions, cette ligne vire les anciennes image inutilisé

il y a 7 minutes, MilesTEG1 a dit :

C'est en soit normal vu que le conteneur n'existait pas encore.

Voilà c'est normal à la première execution, vue qu'il n'existe pas encore 😉

Posté(e)
il y a 55 minutes, Einsteinium a dit :

C'est du harcèlement la quand même 🤣

🥰🥰

Merci pour les précisions.

Bon j'ai une erreur avec la commande du §2B :
Voilà le log qui est présent dans mon terminal :

Citation
19:14:18 -  Script de création du certificat wildcard à l'aide du conteneur Acme
19:14:18 -  Exécution de la commande...
[Mon May 17 17:14:19 UTC 2021] Using CA: https://acme-v02.api.letsencrypt.org/directory
[Mon May 17 17:14:19 UTC 2021] Create account key ok.
[Mon May 17 17:14:19 UTC 2021] Registering account: https://acme-v02.api.letsencrypt.org/directory
[Mon May 17 17:14:20 UTC 2021] Registered
[Mon May 17 17:14:21 UTC 2021] ACCOUNT_THUMBPRINT='ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ'
[Mon May 17 17:14:21 UTC 2021] Creating domain key
[Mon May 17 17:14:21 UTC 2021] The domain key is here: /acme.sh/mydomain.com/mydomain.com.key
[Mon May 17 17:14:21 UTC 2021] Multi domain='DNS:mydomain.com,DNS:*.mydomain.com'
[Mon May 17 17:14:21 UTC 2021] Getting domain auth token for each domain
[Mon May 17 17:14:22 UTC 2021] Getting webroot for domain='mydomain.com'
[Mon May 17 17:14:22 UTC 2021] Getting webroot for domain='*.mydomain.com'
[Mon May 17 17:14:23 UTC 2021] Adding txt value: YYYYYYYYYYYYYYYYYYYYYYYYYYYY for domain:  _acme-challenge.mydomain.com
[Mon May 17 17:14:23 UTC 2021] Using OVH endpoint: ovh-eu
[Mon May 17 17:14:23 UTC 2021] Checking authentication
[Mon May 17 17:14:23 UTC 2021] Consumer key is ok.
[Mon May 17 17:14:23 UTC 2021] Adding record
[Mon May 17 17:14:24 UTC 2021] Added, sleep 10 seconds.
[Mon May 17 17:14:34 UTC 2021] The txt record is added: Success.
[Mon May 17 17:14:34 UTC 2021] Adding txt value: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX for domain:  _acme-challenge.mydomain.com
[Mon May 17 17:14:34 UTC 2021] Using OVH endpoint: ovh-eu
[Mon May 17 17:14:34 UTC 2021] Checking authentication
[Mon May 17 17:14:34 UTC 2021] Consumer key is ok.
[Mon May 17 17:14:35 UTC 2021] Adding record
[Mon May 17 17:14:35 UTC 2021] Add txt record error.
 
[Mon May 17 17:14:35 UTC 2021] Error add txt for domain:_acme-challenge.mydomain.com
 
[Mon May 17 17:14:35 UTC 2021] Please check log file for more details: /acme.sh/acme.sh.log
[Mon May 17 17:14:36 UTC 2021] Removing DNS records.
[Mon May 17 17:14:36 UTC 2021] Removing txt: YYYYYYYYYYYYYYYYYYYYYYYYYYYY for domain: _acme-challenge.mydomain.com
[Mon May 17 17:14:36 UTC 2021] Using OVH endpoint: ovh-eu
[Mon May 17 17:14:36 UTC 2021] Checking authentication
[Mon May 17 17:14:36 UTC 2021] Consumer key is ok.
[Mon May 17 17:14:37 UTC 2021] Removed: Success
19:14:37 -  Script de création du certificat wildcard terminé

Voilà la partie de log dont je pense correspond à cette erreur :

Citation

[Mon May 17 17:14:35 UTC 2021] Add txt record error.
[Mon May 17 17:14:35 UTC 2021] Error add txt for domain:_acme-challenge.mydomain.com
[Mon May 17 17:14:35 UTC 2021] _on_issue_err
[Mon May 17 17:14:35 UTC 2021] Please check log file for more details: /acme.sh/acme.sh.log
[Mon May 17 17:14:35 UTC 2021] url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/13207148389/1DF1gw'
[Mon May 17 17:14:35 UTC 2021] payload='{}'
[Mon May 17 17:14:35 UTC 2021] POST
[Mon May 17 17:14:35 UTC 2021] _post_url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/13207148389/1DF1gw'
[Mon May 17 17:14:35 UTC 2021] _CURL='curl --silent --dump-header /acme.sh/http.header  -L '
[Mon May 17 17:14:35 UTC 2021] _ret='0'
[Mon May 17 17:14:35 UTC 2021] code='200'
[Mon May 17 17:14:35 UTC 2021] url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/13207148387/2sbsvA'
[Mon May 17 17:14:35 UTC 2021] payload='{}'
[Mon May 17 17:14:35 UTC 2021] POST
[Mon May 17 17:14:35 UTC 2021] _post_url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/13207148387/2sbsvA'
[Mon May 17 17:14:35 UTC 2021] _CURL='curl --silent --dump-header /acme.sh/http.header  -L '
[Mon May 17 17:14:36 UTC 2021] _ret='0'
[Mon May 17 17:14:36 UTC 2021] code='200'
[Mon May 17 17:14:36 UTC 2021] pid
[Mon May 17 17:14:36 UTC 2021] No need to restore nginx, skip.
[Mon May 17 17:14:36 UTC 2021] _clearupdns
[Mon May 17 17:14:36 UTC 2021] dns_entries='mydomain.com,_acme-challenge.mydomain.com,,dns_ovh,AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA,/root/.acme.sh/dnsapi/dns_ovh.sh
'

Est-ce que cette erreur est bloquante ? Comment l'éviter/corriger ?

J'ai un fichier http.header qui a été créé, un dossier mondomaine.com et un autre ca.
Dans le dossier mondomaine.com, il y a 4 fichiers : 

  • mondomaine.com.conf  
  • mondomaine.com.csr  
  • mondomaine.com.conf  
  • mondomaine.com.key

Dans le dossier ca, j'ai

  • acme-v02.api.letsencrypt.org/
    • account.json
    • account.key
    • ca.conf

Est-ce que je peux considérer que tout est OK ?

Posté(e)
il y a 2 minutes, Einsteinium a dit :

Erreur dans la création de l’api, refait la 😉

C'est-à-dire ? Je relance la commande du §2D ?

Ha oui, je l'ai relancé et j'ai obtenu un bien gros pavé 😄 qui est la clé je pense 😄 
pas d'erreur visible 😉

Aller, je continue 😛 

merci

Posté(e)

Bon dernière commande §3B , erreur :
 

Citation

20:28:53 -  Script pour paramétrer le déploiement automatique des certificats sur le Syno.
20:28:53 -  Exécution de la commande...
[Mon May 17 18:28:55 UTC 2021] Logging into 172.17.0.1:12000
[Mon May 17 18:28:59 UTC 2021] Getting certificates in Synology DSM
[Mon May 17 18:28:59 UTC 2021] Unable to find certificate: mondomaine.com - Certificat Wildcard LE pur domaine and $SYNO_Create is not set
[Mon May 17 18:28:59 UTC 2021] Error deploy for domain:mondomaine.com
[Mon May 17 18:28:59 UTC 2021] Deploy error.
20:28:59 -  Script de création du certificat wildcard terminé

Je précise que j'ai modifié le port de DSM, donc 12000.

Qu'est-ce que j'ai mal fait ?

Bon j'avais édité le fichier sur le NAS directement pour modifier le teste de la variable SAVED_SYNO_Certificate, mais la sauvegarde ne modifiait pas le fichier...
J'ai re-uploadé le fichier modifié, et hop plus d'erreur 😄

 

Mais du coup, je me dis qu'avoir mis comme propriétaire du dossier Acme/ et de ses fils, l'utilisateur Acme_User créé pour n'était peut être pas utile... Vu que le script s'éxécute en root...
J'ai repassé l'utilisateur propriétaire sur mon admin-perso, comme ça une modification sera bien enregistrée 😅

Du coup, rdv demain matin à 5h pour voir si tout s'est bien exécuté comme prévu 😄 

Posté(e) (modifié)

Note pour plus tard :
Bien pensez à affecter le nouveau certificat aux différents services déclarés dans le reverse-proxy !

(j'ai bataillé bien 10 min à chercher pourquoi j'avais une erreur "canot fetch" sur mon Vaultwarden 😅)

 

Sinon :

Tout fonctionne !!! Génial 😄 

Modifié par MilesTEG1
Posté(e)
il y a 2 minutes, Einsteinium a dit :

Bah voilà tu y est arrivé 🤣

Ho ça va hein 🤣

Je comprends vite, faut juste m'expliquer beauuucoup et longtemps 😛


N'empèche j'ai appris des choses ^^

Je te proposerais à l'occasion quelques raffinements pour les scripts 😉 À toi de voir à ce moment là si tu veux garder ou pas 😇

Posté(e)

Plutôt énormément 🤣🤣

Je penses que les novices auront tous ce qu’il faut comme information sur le sujet maintenant, c’est le bon point, parfois il faut mieux trop en demandé 👍🏼
 

De mon point de vue le tutoriel est parfait et le plus simplifier possible, mais si tu as des améliorations de ton point de vue, pour ceux qui n’ont pas forcément mon niveau (pour moi avec les C/C en 10 minutes c’est en place 🤣), fais toi plaisir le tutoriel est ouvert à tous.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.