Bonjour,
je rencontre un problème pour la mise en place d’un certificat let’s encrypt.
Le log parlant d’un time out, j’ai essayé à plusieurs reprises, mais ça ne passe toujours pas.
Est-ce que quelqu’un ici aurait une idée pour m’aider ?
Merci !
2020-08-30 04:04:32,933: INFO - Creating new order…
2020-08-30 04:04:34,067: INFO - Order created!
2020-08-30 04:04:34,662: INFO - Verifying mondomaine.tld…
2020-08-30 04:04:36,376: INFO - mondomaine.tld verified!
2020-08-30 04:04:36,983: INFO - Verifying xmpp-upload.mondomaine.tld… 2020-08-30 04:05:08,360: ERROR - Wrote file to /tmp/acme-challenge-public/knKMBAWXNlAJZ3V991xgr2qhm4PeU9CTePr88e2m6UM, but couldn’t download http://xmpp-upload.mondomaine.tld/.well-known/acme-challenge/knKMBAWXNlAJZ3V991xgr2qhm4PeU9CTePr88e2m6UM: Error: Url: http://xmpp-upload.mondomaine.tld/.well-known/acme-challenge/knKMBAWXNlAJZ3V991xgr2qhm4PeU9CTePr88e2m6UM Data: None Response Code: None Response: <urlopen error [Errno 110] Connection timed out>
2020-08-30 04:05:08,361: ERROR - Certificate installation for mondomaine.tld failed ! Exception: Impossible de signer le nouveau certificat
Mon serveur YunoHost
Matériel: VPS acheté en ligne Version de YunoHost: 4.04 J’ai accès à mon serveur : En SSH | Par la webadmin Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non
Ah… j’ai trouvé la réponse (en anglais) à mon problème !
il suffit d’enlever la ligne concernant upload.smpt dans la config DNS
Bon… je mesure mal ce que ça génère par ailleurs comme disfonctionnement possible à venir (j’ai maintenant une alerte orange dans mon diagnostic DNS)
Par contre, là, je pensais que le certificat Let’s Encrypt sur le domaine principal suffirait mais visiblement non.
Actuellement j’ai donc bien mondomaine.tld qui a son certificat et ça roule.
Par contre chat.mondomaine.tld reste auto-signé et lorsque je demande un certificat Let’s Encrypt ça ne passe pas non plus.
J’ai ajouté les entrées suivantes dans mon DNS :
@ 3600 IN A 91.121.64.213
@ 3600 IN CAA 128 issue "letsencrypt.org"
mais visiblement ça ne passe tj pas j’obtiens l’erreur :
Exception: Impossible de signer le nouveau certificat
Wrote file to /tmp/acme-challenge-public/8KVgaLzFkmzC9-3Sckmr7L1ggCmtIdVXsyHJTFe8Evw, but couldn't download http://chat.mondomaine.tld/.well-known/acme-challenge/8KVgaLzFkmzC9-3Sckmr7L1ggCmtIdVXsyHJTFe8Evw: Error:
Url: http://chat.mondomaine.tld/.well-known/acme-challenge/8KVgaLzFkmzC9-3Sckmr7L1ggCmtIdVXsyHJTFe8Evw
Data: None
Response Code: None
Il y a un point de détail important ici qui n’est pas évident : si tu configures les enregistrements pour chat.tondomaine.tld depuis l’interface de gestion de tondomaine.tld, alors il faut suffixer tous les noms d’enregistrement par “.chat” (ou remplacer @ par chat)
Donc plutot :
chat 3600 IN A 91.121.64.213
chat 3600 IN CAA 128 issue "letsencrypt.org"
Mais ceci dit le diagnostique aurait du trouver un probleme a moins que tu ai utilisé l’option --no-checks pendant l’install du certif…
Hum… oui, c’est bien chat et non @ que j’ai mis dans le DNS.
Pour le certif, je ne fais qu’utiliser l’interface proposée dans le webadmin rien de plus que cliquer sur “Installer un certificat Let’s Encrypt”
Voici le log complet :
args:
force: false
no_checks: false
staging: false
ended_at: 2020-09-01 12:12:05.337803
error: 'Certificate installation for chat.maindomain.tld failed !
Exception: Impossible de signer le nouveau certificat'
operation: letsencrypt_cert_install
related_to:
- - domain
- chat.maindomain.tld
started_at: 2020-09-01 12:11:29.939393
success: false
yunohost_version: 4.0.4
============
2020-09-01 08:11:29,952: DEBUG - Making sure tmp folders exists...
2020-09-01 08:11:29,964: DEBUG - Fetching IP from https://ip.yunohost.org
2020-09-01 08:11:30,064: DEBUG - IP fetched: xx.xx.xx.xx
2020-09-01 08:11:30,074: DEBUG - No default route for IPv6, so assuming there's no IP address for that version
2020-09-01 08:11:30,074: DEBUG - IP fetched: None
2020-09-01 08:11:30,075: DEBUG - Prepare key and certificate signing request (CSR) for chat.maindomain.tld...
2020-09-01 08:11:30,260: DEBUG - Saving to /tmp/acme-challenge-private/chat.maindomain.tld.csr.
2020-09-01 08:11:30,260: DEBUG - Now using ACME Tiny to sign the certificate...
2020-09-01 08:11:30,261: INFO - Parsing account key...
2020-09-01 08:11:30,273: INFO - Parsing CSR...
2020-09-01 08:11:30,285: INFO - Found domains: chat.maindomain.tld
2020-09-01 08:11:30,286: INFO - Getting directory...
2020-09-01 08:11:30,861: INFO - Directory found!
2020-09-01 08:11:30,861: INFO - Registering account...
2020-09-01 08:11:32,055: INFO - Already registered!
2020-09-01 08:11:32,056: INFO - Creating new order...
2020-09-01 08:11:33,286: INFO - Order created!
2020-09-01 08:11:33,840: INFO - Verifying chat.maindomain.tld...
2020-09-01 08:12:05,336: ERROR - Wrote file to /tmp/acme-challenge-public/CZlJGCtNqz8XBCpqmeTAAHvn9_L1ceTUSu9zZGeZzXc, but couldn't download http://chat.maindomain.tld/.well-known/acme-challenge/CZlJGCtNqz8XBCpqmeTAAHvn9_L1ceTUSu9zZGeZzXc: Error:
Url: http://chat.maindomain.tld/.well-known/acme-challenge/CZlJGCtNqz8XBCpqmeTAAHvn9_L1ceTUSu9zZGeZzXc
Data: None
Response Code: None
Response: <urlopen error [Errno 110] Connection timed out>
2020-09-01 08:12:05,337: ERROR - Certificate installation for chat.maindomain.tld failed !
Exception: Impossible de signer le nouveau certificat
Tout n’est pas vert dans le diag, mais les alertes concernent :
le serveur qui n’est pas en IPv6
les enregistrements DNS pour XMPP incomplet (normal )
le port 22 (ssh) qui n’est pas ouvert
le hairpinning qui n’est pas actif
le sshd_config qui a été modifié à la main (est-ce que le pb viendrait de là ?)
le tools regen-conf a dit :
Success! Configuration updated for 'dnsmasq'
Warning: The configuration file '/etc/ssh/sshd_config' has been manually modified and will not be updated
dnsmasq:
applied:
/etc/resolv.dnsmasq.conf:
status: updated
pending:
ssh:
applied:
pending:
/etc/ssh/sshd_config:
status: modified
Et j’ai relancé la demande de certificat mais j’obtiens la même erreur (car visiblement la modif n’a pas été prise en compte…)
