[résolu] Certificat Let's Encrypt out dans 9 jours

:fr: Modèle de message (français)

La catégorie “support” est destinée à l’aide et au dépannage lié à l’installation et utilisation de YunoHost et de ses applications. Elle n’est pas destinée à de l’assistance généraliste pour l’administration système, réseau, ou pour les cas particuliers qui vont au dela de ce que propose le projet. Si vous souhaitez discuter de cas d’usage avancés, merci d’utiliser la catégorie “Advanced Use Case”.

Avant de poster, merci de :

Mon serveur YunoHost

Matériel: Raspberry Pi 3B+ sur disque ssd à la maison
Version de YunoHost: Le serveur utilise YunoHost 3.8.4.9 (stable)
J’ai accès à mon serveur : En SSH | Par la webadmin |
Êtes-vous dans un contexte particulier ou avez-vous effectué des modifications particulières sur votre instance ? : non

Description du problème

Bonjour,
J’ai fouillé dans les posts précédents mais je n’ai pas trouvé de solution.
J’ai tenté à plusieurs reprises la mise à jour manuelle du certificat, qui se faisait jusqu’ici automatiquement sans problème, mais ça ne veut pas passer.
Des idées ?

Merci par avance et bonne journée



Impossible de signer le nouveau certificat

Traceback (most recent call last):
File "/usr/lib/moulinette/yunohost/certificate.py", line 388, in certificate_renew
_fetch_and_enable_new_certificate(domain, staging, no_checks=no_checks)
File "/usr/lib/moulinette/yunohost/certificate.py", line 535, in _fetch_and_enable_new_certificate
raise YunohostError('certmanager_cert_signing_failed')
YunohostError: Impossible de signer le nouveau certificat

L’opération 'Renouveler le certificat Let’s Encrypt de 'prev.nohost.me'' a échoué ! Pour obtenir de l’aide, merci de partager le journal de l’opération en cliquant ici

Certificate renewing for prev.nohost.me failed !

Wrote file to /tmp/acme-challenge-public/WvzdVTYFcOUJkfPXjeaavjX7kwVnBIoiKtFym7v6EJ8, but couldn't download http://xmpp-upload.prev.nohost.me/.well-known/acme-challenge/WvzdVTYFcOUJkfPXjeaavjXKtFym7v6EJ8: 

le log complet :

2020-07-02 06:42:30,825: DEBUG - Making sure tmp folders exists...
2020-07-02 06:42:30,843: DEBUG - Fetching IP from https://ip.yunohost.org 
2020-07-02 06:42:31,024: DEBUG - IP fetched: 151.127.52.243
2020-07-02 06:42:31,040: DEBUG - No default route for IPv6, so assuming there's no IP address for that version
2020-07-02 06:42:31,041: DEBUG - IP fetched: None
2020-07-02 06:42:31,042: DEBUG - Prepare key and certificate signing request (CSR) for prev.nohost.me...
2020-07-02 06:42:39,172: DEBUG - Saving to /tmp/acme-challenge-private/prev.nohost.me.csr.
2020-07-02 06:42:39,174: DEBUG - Now using ACME Tiny to sign the certificate...
2020-07-02 06:42:39,175: INFO - Parsing account key...
2020-07-02 06:42:39,204: INFO - Parsing CSR...
2020-07-02 06:42:39,233: INFO - Found domains: prev.nohost.me, xmpp-upload.prev.nohost.me
2020-07-02 06:42:39,235: INFO - Getting directory...
2020-07-02 06:42:39,848: INFO - Directory found!
2020-07-02 06:42:39,849: INFO - Registering account...
2020-07-02 06:42:41,302: INFO - Already registered!
2020-07-02 06:42:41,305: INFO - Creating new order...
2020-07-02 06:42:42,770: INFO - Order created!
2020-07-02 06:42:43,440: INFO - Verifying prev.nohost.me...
2020-07-02 06:42:45,600: INFO - prev.nohost.me verified!
2020-07-02 06:42:46,266: INFO - Verifying xmpp-upload.prev.nohost.me...
2020-07-02 06:42:46,357: ERROR - Wrote file to /tmp/acme-challenge-public/WvzdVTYFcOUJkfPXjeaavjX7kwVnBIoiKtFym7v6EJ8, but couldn't download http://xmpp-upload.prev.nohost.me/.well-known/acme-challenge/WvzdVTYFcOUenBIoiKtFym7v6EJ8: 
2020-07-02 06:42:46,360: ERROR - Certificate renewing for prev.nohost.me failed !

Est-ce que le système de diagnostique rapporte des choses par rapport aux ports ou aux enregistrement DNS pour ce domaine ?

Note que visiblement c’est pour xmpp-upload que ça passe pas … peut-être que la conf nginx est pas à jour de ce côté …

Merci Aleks pour la rapidité de réponse.
Le diagnostique ne dit que du vert :

Enregistrements DNS

Tout va bien !

Dernière exécution : 8 seconds ago

  • Les enregistrements DNS sont correctement configurés pour le domaine prev.nohost.me (catégorie basic)
  • Les enregistrements DNS sont correctement configurés pour le domaine prev.nohost.me (catégorie mail)
  • Les enregistrements DNS sont correctement configurés pour le domaine prev.nohost.me (catégorie xmpp)
  • Les enregistrements DNS sont correctement configurés pour le domaine prev.nohost.me (catégorie extra)
    (nom de domaine modifié)

Comment met-on la conf nginx à jour ?

En regardant plus avant le diag je trouve ceci :

La résolution DNS semble fonctionner, mais il semble que vous utilisez un /etc/resolv.conf personnalisé.

  • Le fichier /etc/resolv.conf doit être un lien symbolique vers /etc/resolvconf/run/resolv.conf lui-même pointant vers 127.0.0.1 (dnsmasq). Si vous souhaitez configurer manuellement les résolveurs DNS, veuillez modifier /etc/resolv.dnsmasq.conf .

Je n’ai pas souvenir d’avoir fait une modification sur ce fichier.
La seule modif que j’ai faite c’est sur le cron du diagnostique pour ne le recevoir qu’une fois par jour au lieu de 3.

Ça peut jouer oui … mais déjà avant ça tu n’a rien dans la section configuration système par rapport à nginx ?

Apparement non, voici un récap du diag :

Système de base

Tout va bien !
Dernière exécution : 10 seconds ago

  • L’architecture du serveur est bare-metal armhf
  • Le modèle de carte du serveur est Raspberry Pi 3 Model B Plus Rev 1.3
  • Le serveur utilise le noyau Linux 4.19.66-v7+
  • Le serveur utilise Debian 9.11
  • Le serveur utilise YunoHost 3.8.4.9 (stable)

Connectivité Internet

2 avertissements

  • La résolution DNS semble fonctionner, mais il semble que vous utilisez un /etc/resolv.conf personnalisé.
    *Le serveur ne dispose pas d’une adresse IPv6.

DNS > tout va bien
Exposition des ports > tout va bien
WEB > tout va bien
État des services > tout va bien
Ressources système > tout va bien

Configurations système

1 avertissement

  • Le fichier de configuration /etc/cron.d/yunohost-diagnosis semble avoir été modifié manuellement.

Et au niveau des apps, est-ce que tu as des apps particulières installées genre pihole ?

Non, juste :

  • freshrss
  • jirafeau
  • nextcloud
  • phpsysinfo
  • rainloop
  • searx
  • shellintabox
  • wallabag

Si tu fais un ping xmpp-upload.prev.nohost.me, est-ce que ça ping ton ip locale ou bien ton ip globale ?

le ping réponds bien sur l’ip globale.
Le pi est sur une fibre ovh et l’ip du pi sur le lan est en dmz

Et si tu fais un cat /etc/nginx/conf.d/prev.nohost.me.conf, tu vois bien tout un bloc à la fin qui concerne xmpp-upload ?

Tout un bloc c’est beaucoup dire, en fin de fichier je vois :

    include /etc/nginx/conf.d/security.conf.inc;                                                                                                              
                                                                                                                                                              
    ssl_certificate /etc/yunohost/certs/prev.nohost.me/crt.pem;                                                                                            
    ssl_certificate_key /etc/yunohost/certs/prev.nohost.me/key.pem;                                                                                        
                                                                                                                                                              


    more_set_headers "Strict-Transport-Security : max-age=63072000; includeSubDomains; preload";                                                              



    # OCSP settings                                                                                                                                           
    ssl_stapling on;                                                                                                                                          
    ssl_stapling_verify on;                                                                                                                                   
    ssl_trusted_certificate /etc/yunohost/certs/prev.nohost.me/crt.pem;                                                                                    
    resolver 127.0.0.1 127.0.1.1 valid=300s;                                                                                                                  
    resolver_timeout 5s;                                                                                                                                      


                                                                                                                                                              
    access_log /var/log/nginx/xmpp-upload.prev.nohost.me-access.log;                                                                                       
    error_log /var/log/nginx/xmpp-upload.prev.nohost.me-error.log;                                                                                         

Soirée aquilenet hier (venez faire un tour si vous passez à Bordeaux un mardi)
Un copain a eu le même soucis, solution en root :

yunohost domain cert-install <votre domain> --force --no-checks

et c’est bon pour mon instance !

Merci @Aleks, je passe le message en résolu.

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.