Aller au contenu

Impossible de renouveler le certificat Let's Encrypt


Messages recommandés

Bonjour,

Depuis quelques semaines je ne peux plus me connecter à mon NAS à distance car mon certificat Let'Encrypt est arrivé à expiration et je n'arrive pas à le renouveler.

Je vois même qu'il y a un certificat Synology que je n'ai pas souvenir d'avoir mis en place

image.png.7ab88c801588bc3e80cc39c214af05a8.png

Quand je lance le renouvellement du certificat Let's Encrypt via le bouton "Action", ça mouline un moment pour finir par m'afficher le message suivant :

image.png.d6644397c8cf043b924da454bba9b16d.png

 

Je ne comprends pas car les ports 80 et 443 sont ouverts dans le parefeu (j'avais même élargi au monde entier le port 80 plutôt que France et USA, mais ça ne change rien. J'ai même mis les règles du 443 et 80 en première position et ça n'a rien changé

image.thumb.png.8f3ef7caffe68691c17b6e69faa485c2.png

Le routage au niveau de ma freebox est également paramétré.

Voyez-vous une explication à ce problème de renouvellement svp ? 🤔

Et qu'est donc ce certificat "Synology" expiré également ?

Merci par avance pour votre aide

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Einsteinium,

Difficile de répondre. Je l'ai généré en 2020, quand j'ai mis en place le NAS et je ne me souviens pas avoir eu de problèmes pour le renouveler 1 an plus tard.

Il est fort probable que je l'ai généré en me servant des conseils que j'ai pu lire sur ce site web (dans les tutos ou échanges en forum). Je crois que c'était assez classique.

La méthode de génération a une importance ?

Lien vers le commentaire
Partager sur d’autres sites

bonjour,
1/ je deconseille de supprimer le certificat synology « utile » simplement pour jongler entre les certificats par defaut lors dune modification.
2/le cerificat LE se renouvelle automatiquement par defaut tous les 3 mois.

as tu essayé tout simplement de le supprimer et de le recreer ?
parfois cela peut suffire surtout que des modifications de protocoles ont eu lieux chez LE deouis 1 an.

Lien vers le commentaire
Partager sur d’autres sites

il y a 14 minutes, DaffY a dit :

je deconseille de supprimer le certificat synology « utile » simplement pour jongler entre les certificats par defaut lors dune modification.

Bonjour,

Ah bon. Je n'ai plus de certificat synology depuis longtemps et cela ne me pose pas de pb !

il y a 15 minutes, DaffY a dit :

le cerificat LE se renouvelle automatiquement par defaut tous les 3 mois.

tu veux dire le certificat synology. Non?

Lien vers le commentaire
Partager sur d’autres sites

bonjour, comme dit

la presence du certificat synology permet seulement de plus facilement jongler entre creation suppression d’un certificat par defaut.
un peu comme un jeton qu’on sélectionne lorsqu’on supprime le certificat par defaut installé

et c’est le certificat LE qui contractuellement (gratuit) qui lui se renouvelle tous les 3 mois

Lien vers le commentaire
Partager sur d’autres sites

bonjour

je voudrais apporter mon expérience à cette problématique de certificat. Je ne suis pas un spécialiste et je suis désolé si mes informations vous sont déjà connues et maitrisées.

Pour ma part je constate également une impossibilité de me connecter au NAS depuis internet. L'erreur remontée dans les navigateurs chrome et firefox est le problème de certificat.

Avant de modifier la configuration je me suis intéressé au paramétrage du NAS et j'ai retrouvé quelques éléments. En particulier un mail reçu de "Let's Encrypt Expiry Bot <expiry@letsencrypt.org> " m'informant de l'expiration du certificat. J'ai reçu ce mail à plusieurs reprises et chaque fois j'ai renouvelé le certificat en effectuant la procédure depuis Panneau de configuration > Sécurité > Certificat

En pièce jointe voici les vues écran du mail et de la procédure de renouvellement.

Pour le moment je ne renouvelle pas le certificat puisqu'il expire en octobre. Je vais attendre le mail d'information.

 

Let's Encrypt certificate expiration.pdf

Lien vers le commentaire
Partager sur d’autres sites

@Replier

Bonjour,

Que tu reçoives un mail de LE t'informant que ton certificat va expirer c'est une chose. Maiscomme a priori tu as un certificat sur un domaine en synology.me, de fait et sauf erreur de ma part, tu n'as pas besoin de provoquer son renouvellement manuellement, car DSM le fait pour toi automatiquement (i.e. si tu l'as créé correctement précédemment) au bout de 2 mois (même si ton certificat est valable 3mois !).

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Merci pour vos réponses sur le sujet.

J'avais reçu un message de LE et le voici

"Your certificate (or certificates) for the names listed below will expire in 9 days (on 03 Aug 22 20:26 +0000). Please make sure to renew your certificate before then, or visitors to your web site will encounter errors.

We recommend renewing certificates automatically when they have a third of their total lifetime left. For Let's Encrypt's current 90-day certificates, that means renewing 30 days before expiration. See https://letsencrypt.org/docs/integration-guide/ for details."

Manifestement , le renouvellement ne semblait pas être automatique dans leur msg, puisqu'ils me demandaient de le faire.

J'ai oublié et je ne peux plus le faire.

J'ai tenté de supprimer le supprimer le certificat LE mais dans le bouton "Action" le "Supprimer" est grisé donc impossible à supprimer.

Sinon quand je passe par le bouton "Ajouter" il y a la possibilité de remplacer le certificat existant pour mon nom de domaine

image.png.d9ec0355c7744c618598a2f23af62d3d.png

Peut-être est-il mieux que je passe par ce procédé pour supprimer et recréer le certificat LE ?

Dans ce cas, faut-il le configurer par défaut ?

J'avoue que j'ose pas pousser plu loin à ce stade, j'ai peur de faire un bêtise 😉

Lien vers le commentaire
Partager sur d’autres sites

Le 10/09/2022 à 19:43, oracle7 a dit :

Mais comme a priori tu as un certificat sur un domaine en synology.me, de fait et sauf erreur de ma part, tu n'as pas besoin de provoquer son renouvellement manuellement,

Bonjour,

Je ne suis peut-être pas réveillé mais pourquoi êtes-vous plusieurs à dire que le certificat se renouvelle automatiquement. Que je sache, mis à part, le certificat synology, le certificat à renouveler c'est nasunivers.fr qui doit être un certificat LE obtenu pour un domaine  d'un fournisseur non synology donc qui doit être renouvelé manuellement sauf à avoir une procédure automatique!!!

Maintenant si @kroumi pouvait nous confirmer que c'est bien ce certificat qui est listé sur le message:

Il y a 8 heures, kroumi a dit :

Your certificate (or certificates) for the names listed below will expire in 9 days

 

A noter que j'ai reçu un message semblable pour un certificat que j'avais fait séparemment pour un sous-domaine bien que j'ai une wildcard.

Je m'explique : j'ai un certificat avec une procédure automatique de renouvellement pour *.mondomaine.ovh et mondomaine.ovh 

Il y a quelques mois j'ai fait un autre certificat pour périf.mondomaine.ovh pour un test, puis quelques jours plus tard, je l'ai supprimé. Et bien plusieurs mois plus tard j'ai reçu ce mail bien que je ne vois plus le certificat en question sur mon nas:

 

Hello,

Your certificate (or certificates) for the names listed below will expire in 9 days (on 21 Sep 22 14:49 +0000). Please make sure to renew your certificate before then, or visitors to your web site will encounter errors.

We recommend renewing certificates automatically when they have a third of their total lifetime left. For Let's Encrypt's current 90-day certificates, that means renewing 30 days before expiration. See https://letsencrypt.org/docs/integration-guide/ for details.

perif.mondomaine

For details about when we send these emails, please visit: https://letsencrypt.org/docs/expiration-emails/ In particular, note that this reminder email is still sent if you've obtained a slightly different certificate by adding or removing names. If you've replaced this certificate with a newer one that covers more or fewer names than the list above, you may be able to ignore this message.

 

Je laisse faire pour voir ce qui se passera le 21 septembre mais à priori pas grand chose.

Sinon, en conclusion pour moi il faut que kroumi renouvelle le certificat nasunivers.fr !

@kroumi vu que le certificat est expiré il faut peut-être le recréer.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

Je crains qu'effectivement tu ne sois pas bien réveillé avec les yeux embrumés 🤣😂. Pas grave ... 😜

Si tu regardes bien son message reçu (je parle de celui de @Repliervoir son PDF joint) cela concerne son certificat en synology.me. D'où ma réponse. Je ne m'adressais pas à @kroumi même si leur deux posts se ressemblent au niveau du problème rencontré ...

En ce qui concerne ta réponse à @kroumi tu as parfaitement raison ! Il doit renouveller manuellement son certificat tous les 3 mois du moins à partir du 2ème mois.

Cordialement

oracle7😉

 

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

@oracle7  Bon  .....oui je n'ai pas vu que tu t'adressais à Replier. Par contre @DaffY a posté, avant le message de Replier, et il parle bien de renouvellement automatique pour un certificat sur un domaine non synology (nasunivers.fr) non ! Mais comme tu dis "pas grave"

Lien vers le commentaire
Partager sur d’autres sites

Bon ben je viens d'essayer 3 manières :

- renouveler le certificat (via le bouton "Action")

- remplacer le certificat (via le bouton "Ajouter")

- ajouter un nouveau certificat (via le bouton "Ajouter")

avec ...aucun pare-feu

 

image.png.dcf916710647f7e401932963f5973ec3.png

et j'ai systématiquement ce message

 

image.png.46727d49f50a2c3f4f647bc4f47c6ff5.png

Donc là je ne comprends vraiment pas ce qui se passe 😡

Lien vers le commentaire
Partager sur d’autres sites

Il y a 7 heures, kroumi a dit :

Donc là je ne comprends vraiment pas ce qui se passe

Une piste, peut-être : Let's Encrypt ne permet qu'un nombre limité de renouvellement pour un nom de domaine donné et dans une durée donnée:

https://letsencrypt.org/fr/docs/rate-limits/

et le commentaire de Let's Encrypt n'est pas toujours approprié.

 

Lien vers le commentaire
Partager sur d’autres sites

bonjour
je confirme que les messages en retour de LE sont parfois laconiques.

LE permet la creation et le renouvellement de certificat pour un NDD (synology ou autre) gratuitement pour une durée cyclique de 3 mois, pour du multidomaine non défini (NDD synology seulement) ou defini pour autre NDD.
ie : le certificat pour un ndd synology permet l’ajout de sous domaine sans avoir a resoliciter LE
pour un NDD autre il faut les definir avant ce qui suppose souvent la recreation du certificat si on ajoute un sous domaine apres coup.
(sur notre forum se trouve un sujet pour justement via script avoir la definition de certificat LE pour du multi domaine non synology)

le message d’erreur peut avoir comme sources
port non ouvert/natés 443 et 80 requis pour creation et renouvellement qui doit aller jusqu’au NAS.

ndd ou sous domaine non crées(ou erreur de syntaxe… il faut dire que l’ajout des sous domaines s’ils sont nombreux n’est pas des plus simples - zone texte avec ; comme separateur)

email dejà utilisée chez LE (1 certificat 1 email)

Lien vers le commentaire
Partager sur d’autres sites

Le 10/09/2022 à 19:43, oracle7 a dit :

@Replier

Bonjour,

Que tu reçoives un mail de LE t'informant que ton certificat va expirer c'est une chose. Maiscomme a priori tu as un certificat sur un domaine en synology.me, de fait et sauf erreur de ma part, tu n'as pas besoin de provoquer son renouvellement manuellement, car DSM le fait pour toi automatiquement (i.e. si tu l'as créé correctement précédemment) au bout de 2 mois (même si ton certificat est valable 3mois !).

Cordialement

oracle7😉

 

Bonjour et merci pour les commentaires.

Je ne suis pas un spécialiste et lorsque j'ai construit ce NAS j'ai suivi les tutos pas à pas.

Suite à vos commentaires j'ai cherché comment paramétrer le renouvellement automatique du certificat mais lorsque je me suis rendu compte que la date d'expiration de mon certificat indiquait 16/12/2022 j'ai interrompu ma recherche (voir pièce jointe). 

Je suis certain (le plus possible 🙂 de ne pas avoir cliqué sur "renouveler".

Je n'ai reçu aucun mail m'informant de la validité du certificat ces dernières semaines.

J'ai vérifié l'ouverture des ports 80 et 443. par contre le port 8080 http est fermé. je ne sais pas quelle est son utilité.

Bilan: le certificat paraît valide, il se met à jour tout seul et je ne peux toujours pas accéder au NAS depuis une page internet car le navigateur signale une erreur de sécurité "ERR_SSL_PROTOCOL_ERROR"(voir pièce jointe).

 

 

Screenshot_20220918-184842_Chrome.jpg

Let's Encrypt certificat-09-2022.pdf

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour,

Merci pour vos contributions.

@pluton212+ : Je ne saisis pas bien ce que tu veux dire avec ta copie d'écran de pare feu. Il faut que je décoche les cases si je veux être sûr que tous les ports sont accessibles, plutôt que de permettre un accès full dans le paramétrage par feu ?

@Jeff777 : J'ai même tenté un renouvellement de certificat sur un seul NDD, donc sans les sous domaines. Ca n'a pas marché non plus 🙄

@DaffY J'ai vérifié dans la page paramètres du certificat et j'ai bien le certificat LE associé à mon NDD et mes sous domaines. Par contre je ne sais pas pourquoi j'ai d'autres choses associées au certificat synology. je n'ai pas le souvenir d'avoir créé cette assocation (ou alors j'ai oublié)

image.png.8f22409d67a144437ba895a12be4b427.png

Et enfin, fait vraiment étranger, je viens de découvrir que le certificat synology s'est automatiquement renouvelé alors qua j'avais mon parefeu paramétré comme d'habitude

Je me suis donc dit que qqch s'était corrigé trout seul. Et j'ai retenté le renouvellement LE. Ben ça marche toujours pas

image.png.66499edb1b5422c573a9b12c87cf1e9e.png

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 6 heures, kroumi a dit :

Bonjour,

Merci pour vos contributions.

@pluton212+ : Je ne saisis pas bien ce que tu veux dire avec ta copie d'écran de pare feu. Il faut que je décoche les cases si je veux être sûr que tous les ports sont accessibles, plutôt que de permettre un accès full dans le paramétrage par feu ?

La capture d'écran montre la seule façon de vraiment désactiver le pare-feu complètement.

Lien vers le commentaire
Partager sur d’autres sites

@kroumi Première chose à faire, c'est vérifier que ton NAS est accessible depuis l'extérieur, pour ça tu peux utiliser : https://www.yougetsignal.com/tools/open-ports/

Tu dois ouvrir les ports 443 et 80 au monde entier durant le test.

Moi, quand je fais le test sur ton nom de domaine, ça me dit que les ports 443 et 80 sont fermés.

Or, vu les règles que tu as testées, ça doit être OK pour le NAS, donc recrée les règles de NAT sur ta box, il y a probablement un bug de ce côté-là.

Où est hébergée ta zone DNS publique ?

 

PS : Tu peux vérifier l'état de renouvellement et l'historique d'un ou de plusieurs certificats pour un nom de domaine via ce site : https://crt.sh/?q=nasunivers.fr&deduplicate=y

Lien vers le commentaire
Partager sur d’autres sites

[mention=91]DaffY[/mention] J'ai vérifié dans la page paramètres du certificat et j'ai bien le certificat LE associé à mon NDD et mes sous domaines. Par contre je ne sais pas pourquoi j'ai d'autres choses associées au certificat synology. je n'ai pas le souvenir d'avoir créé cette assocation (ou alors j'ai oublié)
image.png.8f22409d67a144437ba895a12be4b427.png




Justement, c'est cela qu'il faut mettre en cohérence avec le certificat LE
Ce qui évitera d'avoir une erreur à la consultation https de DSM ou autres services du NAS
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

@.Shad.Merci pour ces liens. Mais je suis une bille , je ne sais pas comment me servir de celui sur le test des ports. Comment puis-je connaitre l'IP de mon NAS qu'on me demande ?

Pour le lien sur l'historique des certificats, je vois donc que le certificat a été régulièrement renouvelé sans que j'intervienne, jusqu'en août 2022. Puis plus rien.

Quand tu parles de zone DNS publique, tu parles de mon nom de domaine ? Si c'est le cas il s'agit de OVH. Étrangement j'ai des enregistrements de type autre que CNAME quad je vais consulter les paramétrages sur OVH. Je n'ai pas le souvenir d'avoir créé des champs autres que CNAME

@DaffYEst ce que ça veut dire qu'il faut que je sélectionne le certificat LE au lieu de synology (qui s'est sélectionné par défaut) pour tous ces services.

Ce que je note en tout cas, c'est que ce problème de renouvellement de certificat LE se produit depuis que j'ai déménagé.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 8 heures, kroumi a dit :

Merci pour ces liens. Mais je suis une bille , je ne sais pas comment me servir de celui sur le test des ports. Comment puis-je connaitre l'IP de mon NAS qu'on me demande ?

C'est ton IP publique, tu la trouves en allant sur tout un tas de sites comme https://ip.lafibre.info.

Et sur le site que je t'ai donné il suffit d'y coller cette IP et le port que tu souhaites scanner.

Il y a 8 heures, kroumi a dit :

Quand tu parles de zone DNS publique, tu parles de mon nom de domaine ? Si c'est le cas il s'agit de OVH. Étrangement j'ai des enregistrements de type autre que CNAME quad je vais consulter les paramétrages sur OVH. Je n'ai pas le souvenir d'avoir créé des champs autres que CNAME

Les autres champs sont là par défaut, ils ne gênent normalement pas.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.