Aller au contenu

[TUTO] Certificat Let's Encrypt avec acme.sh & api Ovh en Docker (DSM6/7) (Update 07/09/22)


Messages recommandés

Posté(e)
Le 06/05/2022 à 11:41, simencourt a dit :

Le ping fonctionne pour google

Le 06/05/2022 à 11:41, simencourt a dit :

2 packets transmitted, 0 packets received, 100% packet loss

Ou pas 🙂

Donc c'est bien ton docker qui n'a pas accès à internet 🙂

La comme cela difficile de te dire ce qui ne vas pas dans ta configuration réseau malheureusement.

Posté(e)
Le 07/05/2022 à 20:38, Einsteinium a dit :

Ou pas 🙂

Donc c'est bien ton docker qui n'a pas accès à internet 🙂

La comme cela difficile de te dire ce qui ne vas pas dans ta configuration réseau malheureusement.

Ah oui, c'est vrai... Ca ne ping pas.

Et en plus ça ne résout pas.

Est-ce que le firewall pourrait être en cause ? (d'ailleurs, je n'arrive pas à voir dans les journaux des entrées concernant le firewall...).

Posté(e) (modifié)
Le 06/05/2022 à 11:41, simencourt a dit :

Bonjour,

J'en suis à l'étape 2D, mais le script me renvoie toujours une erreur curl 6 (CURLE_COULDNT_RESOLVE_HOST)

[Fri May  6 08:16:10 UTC 2022] GET
[Fri May  6 08:16:10 UTC 2022] url='https://acme-v02.api.letsencrypt.org/directory'
[Fri May  6 08:16:10 UTC 2022] timeout=
[Fri May  6 08:16:10 UTC 2022] curl exists=0
[Fri May  6 08:16:10 UTC 2022] wget exists=0
[Fri May  6 08:16:10 UTC 2022] _CURL='curl --silent --dump-header /acme.sh/http.header  -L '
[Fri May  6 08:16:15 UTC 2022] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 6
[Fri May  6 08:16:15 UTC 2022] ret='6'
[Fri May  6 08:16:15 UTC 2022] response
[Fri May  6 08:16:15 UTC 2022] Can not init api for: https://acme-v02.api.letsencrypt.org/directory.
[Fri May  6 08:16:15 UTC 2022] Sleep 10 and retry.

Je comprends qu'il y a un sûrement un problème au niveau du réseau, j'ai donc lancé la commande de ping directement dans l'image docker (d'abord sur le dns google, puis sur l'url acme) :

root@XXXXX:~# docker exec -ti Acme ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 packets received, 100% packet loss
root@XXXXX:~# docker exec -ti Acme ping acme-v02.api.letsencrypt.org
ping: bad address 'acme-v02.api.letsencrypt.org'

 

Le ping fonctionne pour google, mais pas pour acme...

J'ai essayé de modifier ma "Passerelle par défaut" qui exploite mon entrée VPN par LAN1, mais cela n'a rien changé...

J'aurai besoin d'une seconde paire d'yeux... 🧐🧐

Est-ce qu'un de vous comprend ce qui peut se passer ?

Merci d'avance.

Hello

J'ai le même problème depuis quelques jours 

Sauf que moi, le script tourne correctement depuis des mois 

Bonne journée

Mika

 

Modifié par Kit59
Posté(e)
Le 09/05/2022 à 20:40, Einsteinium a dit :

Cela pourrait venir du dernier update de dsm… car je vois que des conteneurs n’arrivent plus à résoudre certains domaines…

Merci pour l'info, j'ai aussi vu que des utilisateurs rencontraient des problèmes de ce genre s'ils avaient touché au paquet DNS. Pour ma part, avant l'arrivée de la fibre, j'avais utilisé le paquet DNS pour faire des résolution en interne, mais depuis que j'ai la fibre, je l'ai retiré...

Une personne indiquait qu'une désinstallation/réinstallation du paquet docker avait résolu ce problème de résolution DNS.

Je vais tenter ça. 🤞

Posté(e)

Bonjour,

Installer/désinstaller n'a rien changé et c'est sûrement normal, car en fait c'est mon Firewall qui bloque... Le fait de le désactiver m'a permis de contacter le serveur acme.

Ca me gêne parce que j'ai suivi le tuto de sécurisation de mon NAS et je ne vois pas ce que je dois ouvrir, parce que pour moi, c'est mon NAS qui fait l'appel, donc il ne devrait pas y avoir de restriction. Ou alors, le serveur Acme tente de me contacter ???

Posté(e)
il y a 23 minutes, simencourt a dit :

Bonjour,

Installer/désinstaller n'a rien changé et c'est sûrement normal, car en fait c'est mon Firewall qui bloque... Le fait de le désactiver m'a permis de contacter le serveur acme.

Ca me gêne parce que j'ai suivi le tuto de sécurisation de mon NAS et je ne vois pas ce que je dois ouvrir, parce que pour moi, c'est mon NAS qui fait l'appel, donc il ne devrait pas y avoir de restriction. Ou alors, le serveur Acme tente de me contacter ???

C’est étrange… je n’ai pas ce soucis… et mon pare-feu est activé , sur le nas et sur mon routeur synology…

tu dois avoir une règle un peu trop restrictive…

  • 3 semaines après...
Posté(e) (modifié)

Bonjour,

je suis dans le même cas que Kit 59. j'ai suivi le tuto jusqu'à l'étape 2D. et là je bloque sur la même erreur

 

[Wed Jun  1 08:53:03 UTC 2022] GET
[Wed Jun  1 08:53:03 UTC 2022] url='https://acme-v02.api.letsencrypt.org/directory'
[Wed Jun  1 08:53:03 UTC 2022] timeout=
[Wed Jun  1 08:53:03 UTC 2022] _CURL='curl --silent --dump-header /acme.sh/http.header  -L '
[Wed Jun  1 08:53:08 UTC 2022] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 6
[Wed Jun  1 08:53:08 UTC 2022] ret='6'
[Wed Jun  1 08:53:08 UTC 2022] Can not init api for: https://acme-v02.api.letsencrypt.org/directory.
[Wed Jun  1 08:53:08 UTC 2022] Sleep 10 and retry.

 

impossible de créer les certificats.

j'ai parcouru les commentaire, vu plusieurs fois cette erreur, mais j'ai du loupé la résolution...

en info complémentaire : avant de tenter ces manip, je disposais déjà d'un certificat let's enscript sur le même nom de domaine. Je l'ai supprimé manuellement du NAS avant de suivre la procédure du tuto.

Modifié par Dej
Posté(e)

Pourtant dans le log il te donne une adresse et un code d’erreur, cela correspond au fait qu’il ne peut résoudre l’adresse du domaine, donc c’est un problème de configuration réseau.

Plusieurs causes possibles… que cela soit des dns ou des configurations du nas.

Posté(e)
Il y a 4 heures, Einsteinium a dit :

Pourtant dans le log il te donne une adresse et un code d’erreur, cela correspond au fait qu’il ne peut résoudre l’adresse du domaine, donc c’est un problème de configuration réseau.

Plusieurs causes possibles… que cela soit des dns ou des configurations du nas.

Je vais retenter en coupant provisoirement le firewall pour voir si ça vient de règles trop restrictives.

Posté(e)
Le 01/06/2022 à 17:48, Einsteinium a dit :

@Dej Le firewall ne filtre que ce qui rentre, pas ce qui sort 🙂

euh, je ne filtre rien en sortie.

Posté(e)

En quoi c'est contradictoire ?
Comme tu l'as dit toi-même le pare-feu DSM ne filtre que les connexions entrantes, pas sortantes.
Couper le pare-feu fait partie de n'importe quelle phase de diagnostic pour ce type d'installation.

Pourquoi ne pas l'aider à résoudre son problème plutôt que "ça doit être" ?
Un peu plus d'accompagnement serait appréciable pour ceux qui en ont besoin.

@Dej Essaie cette commande :

docker exec -it acme nslookup acme-v02.api.letsencrypt.org

acme étant le nom du conteneur acme.sh
Ajouter sudo si pas connecté en root.

Posté(e)
il y a 59 minutes, .Shad. a dit :

En quoi c'est contradictoire ?

Autant pour moi j'ai lu de travers 🙂

il y a 56 minutes, .Shad. a dit :

Pourquoi ne pas l'aider à résoudre son problème plutôt que "ça doit être" ?
Un peu plus d'accompagnement serait appréciable pour ceux qui en ont besoin.

Il y a 3 topics qui traite du sujet et qui abordent tous les problèmes réseaux (indispo serveur, configuration ou dns)

Par contre toi aussi tu as lus de travers, inutile le nslookup, il à déjà fait une requette ping plus haut, son docker est coupé du monde, par contre en remontant relire...

Le 09/05/2022 à 13:13, Kit59 a dit :

J'ai essayé de modifier ma "Passerelle par défaut" qui exploite mon entrée VPN par LAN1, mais cela n'a rien changé...

Tu utilises quel type de vpn ? le problème vient très certainement de cette configuration qui prive docker d'internet, on à déjà abordé le sujet de mémoire.

 

 

Posté(e)

Arriver à ping 8.8.8.8 ne présage en rien du bon fonctionnement de sa résolution DNS.

Dans le cas de @Kit59 il a juste tenté un ping, la première chose serait d'essayer de changer manuellement les serveurs DNS utilisés par le NAS, vu que sauf indication contraire c'est ceux-là que les conteneurs utilisent par héritage.

Pour @Dej tu peux aussi commencer par ça, tu peux mettre 1.0.0.1 par exemple ou 9.9.9.9 et redémarrer le conteneur éventuellement (après le test que je t'ai demandé de faire).

Posté(e)
Il y a 17 heures, .Shad. a dit :

Arriver à ping 8.8.8.8 ne présage en rien du bon fonctionnement de sa résolution DNS.

Eux… alors si déjà tu ne sais pas Ping une adresse IP (celle de Google on peut pas faire mieux), alors comment veut tu résoudre un domaine ? C’est déjà le signe que le dock est coupé du monde.

Maintenant si tu regarde bien, le Ping échoue, ce n’est pas kit, mais simencourt pour cela d’ailleurs, kit sur enchéri du même problème, mais après plusieurs mois.

Le problème est le même que ce soit pour @simencourt ou @Dej, le curl donne une erreur 6, soit qu’il n’arrive pas à résoudre le domaine, donc nslookup ne fera guerre mieux.

Le 01/06/2022 à 12:56, Einsteinium a dit :

Plusieurs causes possibles… que cela soit des dns ou des configurations du nas.


Il n’y a que pour @Kit59 ou j’ai un doute, soit il a fait un changement dns/réseau depuis, soit un bug du dernier update de dsm

Le 09/05/2022 à 20:40, Einsteinium a dit :

Cela pourrait venir du dernier update de dsm… car je vois que des conteneurs n’arrivent plus à résoudre certains domaines…

 

Posté(e)

Ben quand tu ping 8.8.8.8, la résolution DNS n'intervient nulle part dans la chaîne. 🤔

Dans le cas de 8.8.8.8, le ping n'est pas bloqué évidemment, mais dans l'absolu un périphérique ou pare-feu peut très aisément bloquer le trafic ICMP.

Tandis qu'à moins d'être derrière un proxy comme le propose Cloudflare, tu ne peux pas bloquer un nslookup.

Je pense qu'on est nombreux à utiliser acme via Docker sur DSM et à ne pas rencontrer de problèmes. Donc je doute que ça ait un rapport.

Posté(e)

Je renouvelle dans deux jours, on va bien voir, en tout cas je constate que certaine résolution ne passe pas par moment pour mes dockers, sans qu'il ne soit coupé du monde, alors que les mêmes domaines, passent sans soucis sur d'autres appareils de mon réseau, je ne l'explique pas... Pour cela que je penche pour un bug du dernier dsm.

  • 1 mois après...
Posté(e)

Voila

Citation

Dear Let's Encrypt Subscriber:

 

We've updated our Subscriber Agreement, effective September 21, 2022. This is the agreement that governs the relationship between you and ISRG with regards to your acquisition and use of SSL/TLS digital certificates issued by ISRG (via Let's Encrypt). You don't need to take any action to continue to use the Let's Encrypt service but we encourage you to review the new agreement.

 

The main updates are: we now link to instructions on choosing a revocation reason if you revoke a certificate. This is a requirement for Subscriber Agreements from all Certificate Authorities as of this year. Also, we've removed unneeded capitalization, removed a section that is redundant with our Certificate Policy (CP), and tweaked the wording of the requirement to "assure" control of your private key so it matches the Baseline Requirements (BRs).

 

You can find the updated agreement (v1.3), along with a document that shows the differences between the previous and current agreement and the full text of the previous agreement here:

 

https://letsencrypt.org/repository/

 

If you have any questions about the new agreement, please ask on our community forums:

 

https://community.letsencrypt.org/

 

Let's Encrypt is a free service because we want to make the Web more secure and privacy-respecting for everyone. We're able to operate as a nonprofit thanks to corporate sponsorships and donations. Please consider joining our sponsorship program:

 

https://www.abetterinternet.org/sponsor/

 

Or donate now during our summer fundraising campaign to support this service (and get neat Let's Encrypt apparel!).

 

https://letsencrypt.org/donate/

 

Thank you,

 

The Let's Encrypt Team

 

  • 2 semaines après...
Posté(e)

Bonjour,

Pour information,  j'avais aussi reçu le mail de Let's Encrypt et le renouvellement auto des certificats de mes deux nas ce sont déroulés normalement, cette nuit, sans intervention de ma part ( méthode @.Shad. pour zone publique hébergée).

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.