Erreur lors de la demande de création de certificat let's encrypt

Support
1

Mon serveur YunoHost

Matériel: Raspberry Pi 4
Version de YunoHost: 4.3.6.3
J’ai accès à mon serveur : En SSH | Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non
Si oui, expliquer:

Description du problème

Bonjour à tous,

Je suis nouveau dans la configuration de Yunohost, j’aimerais remplacer mes divers hébergements par un système centralisé auto-hébergé à la maison via mon domaine chez mon registrar: OVH.

Je bloque cependant sur la création de mon certificat via let’s encrypt…
J’ai créé un domaine principal mydomain.tld et ajouté un sous-domaine sub.mydomain.tld et lors de ma demande de création de certificat, voici mon erreur:

args:
  force: false
  no_checks: false
  staging: false
ended_at: 2022-05-02 12:46:13.995297
error: 'Certificate installation for maindomain.tld failed !

  Exception: Impossible de signer le nouveau certificat'
interface: api
operation: letsencrypt_cert_install
parent: null
related_to:
- - domain
  - maindomain.tld
started_at: 2022-05-02 12:45:49.169653
success: false
yunohost_version: 4.3.6.3

============

2022-05-02 13:45:49,192: DEBUG - Making sure tmp folders exists...
2022-05-02 13:45:49,197: DEBUG - Reusing IPv4 from cache: xx.xx.xx.xx
2022-05-02 13:45:49,198: DEBUG - Reusing IPv6 from cache: None
2022-05-02 13:45:49,199: DEBUG - Prepare key and certificate signing request (CSR) for maindomain.tld...
2022-05-02 13:45:55,080: DEBUG - Saving to /tmp/acme-challenge-private/maindomain.tld.csr.
2022-05-02 13:45:55,081: DEBUG - Now using ACME Tiny to sign the certificate...
2022-05-02 13:45:55,081: INFO - Parsing account key...
2022-05-02 13:45:55,105: INFO - Parsing CSR...
2022-05-02 13:45:55,128: INFO - Found domains: maindomain.tld
2022-05-02 13:45:55,130: INFO - Getting directory...
2022-05-02 13:45:55,612: INFO - Directory found!
2022-05-02 13:45:55,614: INFO - Registering account...
2022-05-02 13:45:56,711: INFO - Already registered!
2022-05-02 13:45:56,713: INFO - Creating new order...
2022-05-02 13:45:58,015: INFO - Order created!
2022-05-02 13:45:59,113: INFO - Verifying maindomain.tld...
2022-05-02 13:46:13,991: ERROR - Challenge did not pass for maindomain.tld: {'identifier': {'type': 'dns', 'value': 'maindomain.tld'}, 'status': 'invalid', 'expires': '2022-05-09T12:45:57Z', 'challenges': [{'type': 'http-01', 'status': 'invalid', 'error': {'type': 'urn:ietf:params:acme:error:connection', 'detail': 'xx.xx.xx.xx: Fetching http://maindomain.tld/.well-known/acme-challenge/iUBBWAuZuduOQNTwZ0QpKev6I44vAQXhzhX5XKTdm3I: Timeout during connect (likely firewall problem)', 'status': 400}, 'url': 'https://acme-v02.api.letsencrypt.org/acme/chall-v3/104340835577/OvPV6Q', 'token': 'iUBBWAuZuduOQNTwZ0QpKev6I44vAQXhzhX5XKTdm3I', 'validationRecord': [{'url': 'http://maindomain.tld/.well-known/acme-challenge/iUBBWAuZuduOQNTwZ0QpKev6I44vAQXhzhX5XKTdm3I', 'hostname': 'maindomain.tld', 'port': '80', 'addressesResolved': ['xx.xx.xx.xx'], 'addressUsed': 'xx.xx.xx.xx'}], 'validated': '2022-05-02T12:46:00Z'}]}
2022-05-02 13:46:13,994: ERROR - Certificate installation for maindomain.tld failed !
Exception: Impossible de signer le nouveau certificat

J’ai essayé de trouver des infos sur les forums sur comment régler ce soucis mais je ne trouve rien concernant ce problème spécifique.

Merci d’avance pour votre aide.
J’espère avoir bien respecté les convention de ce forum…

2

As tu des erreurs dans le diagnostique ?

3

La seule erreur concerne le DNS inverse non défini pour IPv4. Mais j’ai cru lire que cela ne semblait pas empêcher la création des certificats?
Voici mon diag:

=================================
Système de base (basesystem)
=================================

[INFO] L'architecture du serveur est bare-metal armhf
  - Le modèle/architecture du serveur est Raspberry Pi 4 Model B Rev 1.1

[INFO] Le serveur utilise le noyau Linux 5.10.103-v7l+

[INFO] Le serveur utilise Debian 10.12

[INFO] Le serveur utilise YunoHost 4.3.6.3 (stable)
  - yunohost version : 4.3.6.3 (stable)
  - yunohost-admin version : 4.3.4.1 (stable)
  - moulinette version : 4.3.3.1 (stable)
  - ssowat version : 4.3.3.1 (stable)



=================================
Connectivité Internet (ip)
=================================

[SUCCESS] La résolution de nom de domaine fonctionne !

[SUCCESS] Le serveur est connecté à Internet en IPv4 !
  - IP globale : xx.xx.xx.xx
  - IP locale : 192.168.1.5



=================================
Enregistrements DNS (dnsrecords)
=================================

[SUCCESS] Les enregistrements DNS sont correctement configurés pour le domaine domain2.tld (catégorie basic)

[SUCCESS] Les enregistrements DNS sont correctement configurés pour le domaine domain2.tld (catégorie mail)

[SUCCESS] Les enregistrements DNS sont correctement configurés pour le domaine domain2.tld (catégorie xmpp)

[SUCCESS] Les enregistrements DNS sont correctement configurés pour le domaine domain2.tld (catégorie extra)

[SUCCESS] Vos domaines sont enregistrés et ne vont pas expirer prochainement.
  - domain2.tld expire dans 352 jours.



=================================
Exposition des ports (ports)
=================================

[SUCCESS] Le port 22 est accessible de l'extérieur.
  - Rendre ce port accessible est nécessaire pour les fonctionnalités de type admin (service ssh)

[SUCCESS] Le port 25 est accessible de l'extérieur.
  - Rendre ce port accessible est nécessaire pour les fonctionnalités de type email (service postfix)

[SUCCESS] Le port 80 est accessible de l'extérieur.
  - Rendre ce port accessible est nécessaire pour les fonctionnalités de type web (service nginx)

[SUCCESS] Le port 443 est accessible de l'extérieur.
  - Rendre ce port accessible est nécessaire pour les fonctionnalités de type web (service nginx)

[SUCCESS] Le port 587 est accessible de l'extérieur.
  - Rendre ce port accessible est nécessaire pour les fonctionnalités de type email (service postfix)

[SUCCESS] Le port 993 est accessible de l'extérieur.
  - Rendre ce port accessible est nécessaire pour les fonctionnalités de type email (service dovecot)

[SUCCESS] Le port 5222 est accessible de l'extérieur.
  - Rendre ce port accessible est nécessaire pour les fonctionnalités de type xmpp (service metronome)

[SUCCESS] Le port 5269 est accessible de l'extérieur.
  - Rendre ce port accessible est nécessaire pour les fonctionnalités de type xmpp (service metronome)



=================================
Web (web)
=================================

[SUCCESS] Le domaine domain2.tld est accessible en HTTP depuis l'extérieur.

[SUCCESS] Le domaine maindomain.tld est accessible en HTTP depuis l'extérieur.



=================================
Email (mail)
=================================

[SUCCESS] Le serveur de messagerie SMTP peut envoyer des emails (le port sortant 25 n'est pas bloqué).

[SUCCESS] Le serveur de messagerie SMTP est accessible de l'extérieur et peut donc recevoir des emails !

[ERROR] Aucun DNS inverse n'est défini pour IPv4. Certains emails seront peut-être refusés ou considérés comme des spam.
  - Vous devez d'abord essayer de configurer le DNS inverse avec maindomain.tld dans votre interface de routeur Internet ou votre interface d'hébergement. (Certains hébergeurs peuvent vous demander de leur envoyer un ticket de support pour cela).
  - Certains fournisseurs ne vous laisseront pas configurer votre DNS inversé (ou leur fonctionnalité pourrait être cassée...). Si vous rencontrez des problèmes à cause de cela, envisagez les solutions suivantes : 
     - Certains FAI fournissent l'alternative de à l'aide d'un relais de serveur de messagerie bien que cela implique que le relais pourra espionner votre trafic de messagerie. 
     - Une alternative respectueuse de la vie privée consiste à utiliser un VPN *avec une IP publique dédiée* pour contourner ce type de limites. Voir https://yunohost.org/#/vpn_advantage 
     - Enfin, il est également possible de changer de fournisseur

[SUCCESS] Les adresses IP et les domaines utilisés par ce serveur ne semblent pas être sur liste noire

[SUCCESS] 0 emails en attente dans les files d'attente de messagerie



=================================
État des services (services)
=================================

[SUCCESS] Le service dnsmasq est en cours de fonctionnement !

[SUCCESS] Le service dovecot est en cours de fonctionnement !

[SUCCESS] Le service fail2ban est en cours de fonctionnement !

[SUCCESS] Le service metronome est en cours de fonctionnement !

[SUCCESS] Le service mysql est en cours de fonctionnement !

[SUCCESS] Le service nginx est en cours de fonctionnement !

[SUCCESS] Le service php7.3-fpm est en cours de fonctionnement !

[SUCCESS] Le service postfix est en cours de fonctionnement !

[SUCCESS] Le service redis-server est en cours de fonctionnement !

[SUCCESS] Le service rspamd est en cours de fonctionnement !

[SUCCESS] Le service slapd est en cours de fonctionnement !

[SUCCESS] Le service ssh est en cours de fonctionnement !

[SUCCESS] Le service yunohost-api est en cours de fonctionnement !

[SUCCESS] Le service yunohost-firewall est en cours de fonctionnement !

[SUCCESS] Le service yunomdns est en cours de fonctionnement !



=================================
Ressources système (systemresources)
=================================

[SUCCESS] Le système dispose encore de 3.4 GiB (91%) de RAM sur 3.7 GiB.

[INFO] Le système ne dispose que de 100 MiB de swap. Vous devez envisager d'avoir au moins 512 MiB pour éviter les situations où le système manque de mémoire.
  - Merci d'être prudent et conscient que si vous hébergez une partition SWAP sur une carte SD ou un disque SSD, cela risque de réduire drastiquement l'espérance de vie du périphérique.

[SUCCESS] L'espace de stockage / (sur le périphérique /dev/root) a encore 436 GiB (99.2%) d'espace restant (sur 440 GiB) !

[SUCCESS] L'espace de stockage /boot (sur le périphérique /dev/sda1) a encore 204 MiB (81%) d'espace restant (sur 252 MiB) !



=================================
Configurations système (regenconf)
=================================

[SUCCESS] Tous les fichiers de configuration sont conformes à la configuration recommandée !



=================================
Applications (apps)
=================================

[SUCCESS] Toutes les applications installées respectent les pratiques de packaging de base
4

C’est en effet pas un soucis pour la génération de certificat.

Peux-tu accéder à ton domaine depuis le réseau locale dans un navigateur (en ignorant le message relatif à l’absence de certificat) ?

5

Je peux sans problème y accéder via le réseau local en passant outre l’avertissement du navigateur.

6

Ok et curl tondomaine.tld depuis YH fonctionne aussi ?

7

Voici la réponse à la commande :

<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>
8

Visiblement tu ne peux pas accéder à ton site depuis le serveur YH. Ca peut être un problème de hairpinning. Tu peux tenter d’ajouter à /etc/hosts les lignes suivantes sur ton serveur YH puis retenter de générer le certificat.

127.0.0.1      tondomaine.tld
::1      tondomaine.tld
9

Modification faite dans le fichier /etc/hosts, mais toujours le même résultat. J’avais déjà me semble-t-il testé ce paramétrage sans succès…

10

Que donnent ping du domaine principal et ping du sous domaine ? C’est la même adresse que ton ip externe ? Tu as une ip fixe ou dynamique ? Vpn ou pas ?

11

J’ai bien une adresse ip fixe de mon fournieur. Si je ping mon domaine et son sous domaine depuis l’extérieur, c’est bien celle-ci que la commande me retourne.
En interne, elle me retourne l’adresse ip fixe locale de mon raspi.
Et je n’ai pas de VPN pour cette utilisation.
J’utilise le serveur DNS de mon routeur Synology rt2600ac derrière ma box qui est bidgée pour lui laisser la gestion totale de mes accès.

12

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.