Creation certificat Let's Encrypt - acme challenge - Timed out

Bonjour,
je rencontre un problème pour la mise en place d’un certificat let’s encrypt.
Le log parlant d’un time out, j’ai essayé à plusieurs reprises, mais ça ne passe toujours pas.
Est-ce que quelqu’un ici aurait une idée pour m’aider ?
Merci !

2020-08-30 04:04:32,933: INFO - Creating new order…
2020-08-30 04:04:34,067: INFO - Order created!
2020-08-30 04:04:34,662: INFO - Verifying mondomaine.tld…
2020-08-30 04:04:36,376: INFO - mondomaine.tld verified!
2020-08-30 04:04:36,983: INFO - Verifying xmpp-upload.mondomaine.tld… 2020-08-30 04:05:08,360: ERROR - Wrote file to /tmp/acme-challenge-public/knKMBAWXNlAJZ3V991xgr2qhm4PeU9CTePr88e2m6UM, but couldn’t download http://xmpp-upload.mondomaine.tld/.well-known/acme-challenge/knKMBAWXNlAJZ3V991xgr2qhm4PeU9CTePr88e2m6UM: Error: Url: http://xmpp-upload.mondomaine.tld/.well-known/acme-challenge/knKMBAWXNlAJZ3V991xgr2qhm4PeU9CTePr88e2m6UM Data: None Response Code: None Response: <urlopen error [Errno 110] Connection timed out>
2020-08-30 04:05:08,361: ERROR - Certificate installation for mondomaine.tld failed ! Exception: Impossible de signer le nouveau certificat

Mon serveur YunoHost

Matériel: VPS acheté en ligne
Version de YunoHost: 4.04
J’ai accès à mon serveur : En SSH | Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non

Ah… j’ai trouvé la réponse (en anglais) à mon problème ! :slight_smile:


il suffit d’enlever la ligne concernant upload.smpt dans la config DNS
Bon… je mesure mal ce que ça génère par ailleurs comme disfonctionnement possible à venir (j’ai maintenant une alerte orange dans mon diagnostic DNS)

1 Like

Ça génère que tu ne pourras pas utiliser la fonctionnalité d’upload de fichiers dans xmpp … mais si tu n’utilises pas XMPP ça n’est pas un probleme

Pour le moment XMPP n’est pas prévu au programme :slight_smile:

Par contre, là, je pensais que le certificat Let’s Encrypt sur le domaine principal suffirait mais visiblement non.

Actuellement j’ai donc bien mondomaine.tld qui a son certificat et ça roule.

Par contre chat.mondomaine.tld reste auto-signé et lorsque je demande un certificat Let’s Encrypt ça ne passe pas non plus.
J’ai ajouté les entrées suivantes dans mon DNS :

@ 3600 IN A 91.121.64.213
@ 3600 IN CAA 128 issue "letsencrypt.org"

mais visiblement ça ne passe tj pas j’obtiens l’erreur :

Exception: Impossible de signer le nouveau certificat
Wrote file to /tmp/acme-challenge-public/8KVgaLzFkmzC9-3Sckmr7L1ggCmtIdVXsyHJTFe8Evw, but couldn't download http://chat.mondomaine.tld/.well-known/acme-challenge/8KVgaLzFkmzC9-3Sckmr7L1ggCmtIdVXsyHJTFe8Evw: Error:
    Url: http://chat.mondomaine.tld/.well-known/acme-challenge/8KVgaLzFkmzC9-3Sckmr7L1ggCmtIdVXsyHJTFe8Evw
    Data: None
    Response Code: None

Il y a un point de détail important ici qui n’est pas évident : si tu configures les enregistrements pour chat.tondomaine.tld depuis l’interface de gestion de tondomaine.tld, alors il faut suffixer tous les noms d’enregistrement par “.chat” (ou remplacer @ par chat)

Donc plutot :

chat 3600 IN A 91.121.64.213
chat 3600 IN CAA 128 issue "letsencrypt.org"

Mais ceci dit le diagnostique aurait du trouver un probleme a moins que tu ai utilisé l’option --no-checks pendant l’install du certif…

Hum… oui, c’est bien chat et non @ que j’ai mis dans le DNS.
Pour le certif, je ne fais qu’utiliser l’interface proposée dans le webadmin rien de plus que cliquer sur “Installer un certificat Let’s Encrypt”

Voici le log complet :

args:
  force: false
  no_checks: false
  staging: false
ended_at: 2020-09-01 12:12:05.337803
error: 'Certificate installation for chat.maindomain.tld failed !

  Exception: Impossible de signer le nouveau certificat'
operation: letsencrypt_cert_install
related_to:
- - domain
  - chat.maindomain.tld
started_at: 2020-09-01 12:11:29.939393
success: false
yunohost_version: 4.0.4

============

2020-09-01 08:11:29,952: DEBUG - Making sure tmp folders exists...
2020-09-01 08:11:29,964: DEBUG - Fetching IP from https://ip.yunohost.org 
2020-09-01 08:11:30,064: DEBUG - IP fetched: xx.xx.xx.xx
2020-09-01 08:11:30,074: DEBUG - No default route for IPv6, so assuming there's no IP address for that version
2020-09-01 08:11:30,074: DEBUG - IP fetched: None
2020-09-01 08:11:30,075: DEBUG - Prepare key and certificate signing request (CSR) for chat.maindomain.tld...
2020-09-01 08:11:30,260: DEBUG - Saving to /tmp/acme-challenge-private/chat.maindomain.tld.csr.
2020-09-01 08:11:30,260: DEBUG - Now using ACME Tiny to sign the certificate...
2020-09-01 08:11:30,261: INFO - Parsing account key...
2020-09-01 08:11:30,273: INFO - Parsing CSR...
2020-09-01 08:11:30,285: INFO - Found domains: chat.maindomain.tld
2020-09-01 08:11:30,286: INFO - Getting directory...
2020-09-01 08:11:30,861: INFO - Directory found!
2020-09-01 08:11:30,861: INFO - Registering account...
2020-09-01 08:11:32,055: INFO - Already registered!
2020-09-01 08:11:32,056: INFO - Creating new order...
2020-09-01 08:11:33,286: INFO - Order created!
2020-09-01 08:11:33,840: INFO - Verifying chat.maindomain.tld...
2020-09-01 08:12:05,336: ERROR - Wrote file to /tmp/acme-challenge-public/CZlJGCtNqz8XBCpqmeTAAHvn9_L1ceTUSu9zZGeZzXc, but couldn't download http://chat.maindomain.tld/.well-known/acme-challenge/CZlJGCtNqz8XBCpqmeTAAHvn9_L1ceTUSu9zZGeZzXc: Error:
Url: http://chat.maindomain.tld/.well-known/acme-challenge/CZlJGCtNqz8XBCpqmeTAAHvn9_L1ceTUSu9zZGeZzXc
Data: None
Response Code: None
Response: <urlopen error [Errno 110] Connection timed out>
2020-09-01 08:12:05,337: ERROR - Certificate installation for chat.maindomain.tld failed !
Exception: Impossible de signer le nouveau certificat

Zmlerf … et dans le diagnostique tout est happy ? Et si tu fais un yunohost tools regen-conf, ça dit des trucs particuliers ?

Tout n’est pas vert dans le diag, mais les alertes concernent :

  • le serveur qui n’est pas en IPv6
  • les enregistrements DNS pour XMPP incomplet (normal :slight_smile: )
  • le port 22 (ssh) qui n’est pas ouvert
  • le hairpinning qui n’est pas actif
  • le sshd_config qui a été modifié à la main (est-ce que le pb viendrait de là ?)

le tools regen-conf a dit :

Success! Configuration updated for 'dnsmasq'
Warning: The configuration file '/etc/ssh/sshd_config' has been manually modified and will not be updated
dnsmasq: 
  applied: 
    /etc/resolv.dnsmasq.conf: 
      status: updated
  pending: 
ssh: 
  applied: 
  pending: 
    /etc/ssh/sshd_config: 
      status: modified

Et j’ai relancé la demande de certificat mais j’obtiens la même erreur (car visiblement la modif n’a pas été prise en compte…)

Zmlerf ben le seul truc que je vois qui pourrait clocher serait le hairpinning … mais il me semble pas que c’était bloquant …

Eventuellement tu peux tenter de : éditer le fichier /etc/hosts sur le serveur

nano /etc/hosts

Dedans, tu rajoutes une ligne avec :

127.0.0.1 chat.tondomaine.tld

et tu retentes l’install du certif mais pas sur que ce soit ça qui cloche …

1 Like

Whaou !! t’es un magicien ! :slight_smile:
problem solved!

Je viens de répéter la même manip pour 2 autres sous-domaines et ça fonctionne impec !

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.