Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 10/09/2023, à 19:52

frederic1963

Renouvellement certificat SSL Let's Encrypt

Bonjour,

J'utilise Webmin pour gérer un serveur VPS qui héberge deux sites internet. Sur l'un des 2 site les renouvellement de certificats SSL se passent automatiquement sans encombre. Sur le second le renouvellement automatique ne fonctionne pas, il m'indique que j'ai problème de pare-feu.

Timeout during connect (likely firewall problem)

Je ne comprends pas pourquoi ça fonctionne avec un site et pas l'autre ?

Si je me souviens bien la fois précédente, en Juilllet, j'avais du désactiver le pare-feu pour pouvoir renouveler manuellement le certificat depuis Webmin. A l'heure où j'écris ces lignes je ne suis pas certains que désactiver le pare-feu soit la bonne solution car j'ai un nouveau message d'erreur "too many failed authorizations recently: see https://letsencrypt.org/docs/failed-validation-limit/".

Ce que je voudrais savoir c'est comment configurer mon pare-feu, ou autre chose, pour que le renouvellement soi totalement automatique et que je n'ai pas cette galère. Comme cela ne se produit que tous les deux mois, deux mois plus tard je ne me souviens plus de la procédure que j'avais mis en place par que cela fonctionne.

Hors ligne

#2 Le 10/09/2023, à 21:45

Vobul

Re : Renouvellement certificat SSL Let's Encrypt

Salut,

Déjà, on va utiliser le terme "TLS" plutôt que "SSL", mais si j'ai l'impression que ces trucs vont être nommés ainsi pendant encore 40 ans...

Ensuite, quand tu reportes ce genre de problème il faut donner un maximum d'informations.

Il faut donner les configurations apache/nginx/caddy (là on ne sait même pas quel serveur web tu utilises !!). Est-ce que le A est bien mis en zone DNS ? Est-ce que le serveur écoute sur le port 80 ? Quel est le "challenge type" que tu utilises ?  (https://letsencrypt.org/docs/challenge-types/). Il y a pas mal de façons différentes de faire, ce qui peut rendre la chose complexe en le faisant soi-même, mais tenter de résoudre ça sur un forum sans aucun info n'est pas possible. Surtout que tu sembles avoir un site qui fonctionne et pas l'autre, mais on a aucune idée de comment t'as configuré tout ça, quelles sont les requêtes certbot que tu fais (ah non en fait tu cliques sur un machin), donc déjà oublie l'interface graphique un instant et utilise certbot directement, ce sera mieux (il faut enlever les couches de complexité : problèmes potentiels).

De plus, il faut automatiser cette chose, et c'est en l'automatisant que tu vas être certain que ça fonctionne à chaque fois. Aussi, utilise le staging environment (https://letsencrypt.org/docs/staging-environment/) pour tes tests, comme ça t'as pas la même limitation (5/h) que sur l'officiel.

Pour finir, documente les choses. Un pauvre README.md quelque part ça sauve le toi du futur, et c'est bien suffisant dans un premier temps.

Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#3 Le 10/09/2023, à 23:40

frederic1963

Re : Renouvellement certificat SSL Let's Encrypt

Est-ce que je peux mettre les logs ? Le serveurs est un Apache, il s'agit d'un renouvellement donc les enregistrements DNS n'ont pas changé et il y a bien tous les enregistrements en A. J'utilise HTTP-01 en principe, mais les logs indiquent plusieurs challenge type. Je peux mettre le fichier de log si vous voulez.

Dernière modification par frederic1963 (Le 10/09/2023, à 23:51)

Hors ligne

#4 Le 11/09/2023, à 10:19

frederic1963

Re : Renouvellement certificat SSL Let's Encrypt

Voilà une partie des logs. j'ai l'impression que c'est un problème de droits en écriture sur les répertoires. j'ai refait une tentative avec les deux autres domaines hébergés et ça fonctionne parfaitement.
Certbot failed to authenticate some domains (authenticator: webroot). The Certificate Authority reported these problems :
  

Domain: admin.mondomaine.fr
  Type:   connection
  Detail: 51.178.**.**: Fetching [url]https://mondomaine.fr/.well-known/acme-challenge/PMSV6ZaR7Ov-4PDyk1R7zRKoXHKdyvmCuJvcu0tZsE8[/url]: Timeout during connect (likely firewall problem)

  Domain: autoconfig.retro-digital.fr
  Type:   connection
  Detail: 51.178.**.**: Fetching [url]https://mondomaine.fr/.well-known/acme-challenge/VLaTR3QAZlTm707gK9X28n7I5pYpaGNd3GvmTBK7nY8[/url]: Timeout during connect (likely firewall problem)

  Domain: autodiscover.retro-digital.fr
  Type:   connection
  Detail: 51.178.**.**: Fetching [url]https://mondomaine.fr/.well-known/acme-challenge/TfwNalkjptxOOnAONmWy4r74YXVEyzG07hIFAMylQLA[/url]: Timeout during connect (likely firewall problem)

  Domain: mail.retro-digital.fr
  Type:   connection
  Detail: 51.178.**.**: Fetching [url]https://mondomaine.fr/.well-known/acme-challenge/dP1KW5NdKCTsxTkrgFYkj1R5RZc4Ket0HdpbhECyjJ4[/url]: Timeout during connect (likely firewall problem)

  Domain: retro-digital.fr
  Type:   connection
  Detail: 51.178.**.**: Fetching [url]https://mondomaine.fr/.well-known/acme-challenge/o1eNctpJ0mP03-69UvP2F8C9CcI6A1-jkoPM8wIqSYg[/url]: Timeout during connect (likely firewall problem)

Hint: The Certificate Authority failed to download the temporary challenge files created by Certbot. Ensure that the listed domains serve their content from the provided --webroot-path/-w and that files created there can be downloaded from the internet.

Dernière modification par frederic1963 (Le 11/09/2023, à 12:45)

Hors ligne

#5 Le 11/09/2023, à 10:22

xubu1957

Re : Renouvellement certificat SSL Let's Encrypt

Bonjour,

Pour ajouter toi-même les balises code à ton précédent message #4 :             Merci             wink

  • Cliquer sur le lien « Modifier » en bas à droite du message

  • Sélectionner le texte

  • Cliquer sur le <> de l'éditeur de message

Balisesmoko138.jpg

comme indiqué dans le : Retour utilisable de commande

Dernière modification par xubu1957 (Le 12/09/2023, à 17:54)

Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

Hors ligne

#6 Le 11/09/2023, à 10:40

frederic1963

Re : Renouvellement certificat SSL Let's Encrypt

Je test en créant manuellement le dossier /.well-known/acme-challenge en mettant les droits en 777. MArche pas !

Dernière modification par frederic1963 (Le 11/09/2023, à 12:44)

Hors ligne

#7 Le 12/09/2023, à 14:15

frederic1963

Re : Renouvellement certificat SSL Let's Encrypt

J'y suis finalement parvenu en retirant les sous-domaine qui posaient des problèmes, mais j'aimerais bien comprendre pourquoi ces sous-domaines ne peuvent pas avoir de certificat let's encrypt alors que les mêmes sous-domaine mais pour l'autre domaine obtiennent leurs certificat.
voilà les sous-domaines 

mail.mondomaine.fr
admin.mondomaine.fr
autoconfig.mondomaine.fr
autodiscover.mondomaine.

voici une extrait des logs qui indiquent l'erreur

2023-09-11 20:39:26,436:DEBUG:urllib3.connectionpool:https://acme-v02.api.letsencrypt.org:443 "POST /acme/authz-v3/xxxxxxxxxxxxxxxxxxx HTTP/1.1" 200 1447
2023-09-11 20:39:26,437:DEBUG:acme.client:Received response:
HTTP 200
Server: nginx
Date: Mon, 11 Sep 2023 18:39:26 GMT
Content-Type: application/json
Content-Length: 1447
Connection: keep-alive
Boulder-Requester: 1062631477
Cache-Control: public, max-age=0, no-cache
Link: <https://acme-v02.api.letsencrypt.org/directory>;rel="index"
Replay-Nonce: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
X-Frame-Options: DENY
Strict-Transport-Security: max-age=604800

{
  "identifier": {
    "type": "dns",
    "value": "admin.mondomaine.fr"
  },
  "status": "invalid",
  "expires": "2023-09-18T18:39:11Z",
  "challenges": [
    {
      "type": "http-01",
      "status": "invalid",
      "error": {
        "type": "urn:ietf:params:acme:error:connection",
        "detail": "ipv4: Fetching https://mondomaine.fr/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxxxxxxxxxx: Timeout during connect (likely firewall problem)",
        "status": 400
      },
      "url": "https://acme-v02.api.letsencrypt.org/acme/chall-v3/xxxxxxxxxxxxxxxxxxxxxxxx",
      "token": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
      "validationRecord": [
        {
          "url": "http://admin.mondomainel.fr/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
          "hostname": "admin.mondomaine.fr",
          "port": "80",
          "addressesResolved": [
            "ipv4"
          ],
          "addressUsed": "ipv4"
        },
        {
          "url": "https://mondomaine.fr/.well-known/acme-challenge/vhnYNrx1ZQRrErcvBJcMbTvlEcMEclaUT_vNixG0SW0",
          "hostname": "mondomaine.fr",
          "port": "443",
          "addressesResolved": [
            "ipv4",
            "ipv6"
          ],
          "addressUsed": "ipv6"
        }
      ],
      "validated": "2023-09-11T18:39:13Z"
    }
  ]
}

Hors ligne

Pages : 1