"Let's Encrypt certificate install failed": après passage à la fibre chez orange, impossible de renouveller le certificat

Bonjour à toutes et tous, chères personnes humaines utilisatrices de Yunohost.

Je crois avoir besoin de vos lumières pour me sortir de mon problème de renouvellement de certificat.

Mon serveur YunoHost

Matériel: Raspberry Pi 3
Version de YunoHost: 11.2.9.1
J’ai accès à mon serveur : En SSH + Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non

Description du problème

qu’est-ce que je cherche à faire: le certificat let’s encrypt n’est plus à jour. Son renouvellement automatique n’a pas pu se faire. Je cherche à le renouveller.

contexte:

  • ce souci de renouvellement apparaît depuis un changement de livebox chez orange (passage à la fibre). Avant, j’arrivais à solutionner les problèmes de renouvellements de certificat soit en ligne de commande soit via la web admin.
  • le nom de domaine est en yunohost.me
  • depuis toujours, le lancement des diagnostics retourne des problèmes concernant les réglages de mon serveurs, que je n’ai jamais réussi à passer tout en vert.

ce que j’ai essayé:

  • lecture des posts sur le forum, lecture de la doc, et réalisation de nombreux essais en relation avec les conseils et les expériences décrites sur le forum
  • vérification des réglages sur la livebox, redémarrage de la livebox
  • essais de renouvellement du certificat en désactivant ou en réactivant ipv6
yunohost dyndns update --debug
yunohost domain cert-renew --no-checks
yunohost domain cert install mon.nom.de.domaine --no-checks --force

les messages d’erreurs / logs détaillés:

Error: Challenge did not pass for muc.xxxx
Error: Certificate installation for xxxx failed !
Error: Please consider checking the 'DNS records' (basic) and 'Web' categories of the diagnosis to check for possible issues that may prevent installing a Let's Encrypt certificate on domain  xxx
Error: Let's Encrypt certificate install failed

mon état d’esprit à ce stade: j’avoue que je ne sais plus trop quoi faire.

comme dit dans le message que tu as posté:

Bonjour @Aleks et merci pour ce début d’aide. C’est gentil à toi.

Effectivement, comme le dit le message d’erreur, j’étais déjà allé dans le rapport de diagnostic pour voir ce qui n’irait pas. Et malgré tout, je n’ai pas réussi à solutionner.

Voici ce que j’ai en retour du diagnostic pour les 2 items suggérés par l’erreur:

  • Enregistrement DNS: “tout semble OK”. Tout est en vert, pour basic, mail, xmpp, et extra.
  • Web: “Le domaine xxxx.nohost.me est inaccessible en HTTP depuis l’extérieur.”

Le log complet est ici.

Une idée ?

J’ajoute ici la copie écran des réglages de la livebox orange:

→ réseaux → NAT/PAT

→ réseaux → UPnP

→ réseaux → IPv6

Et quid du port 80 dans ce cas

[ERROR] Le port 80 n'est pas accessible depuis l'extérieur.
  - Rendre ce port accessible est nécessaire pour les fonctionnalités de type web (service nginx)
  - Pour résoudre ce problème, vous devez probablement configurer la redirection de port sur votre routeur Internet comme décrit dans https://yunohost.org/isp_box_config

Merci Alex.
J’ai fait une copie écran des réglages de la livebox dans mon message précédent

Tout semble ok, mais je peux me tromper ?

Le retour de la redirection automatique donne:

sudo yunohost firewall reload
Success! Firewall reloaded
opened_ports: 
  - 22
  - 25
  - 53
  - 80
  - 443
  - 587
  - 993
  - 5222
  - 5269
  - 5353

Si tu parles de l’UPnP, perso j’aurais moyennement confiance dedans. En tout cas le diagnostique est formel, les ports ne sont pas correctement exposés. Naivement je double-checkerais la config de la box qu’elle pointe bien vers la bonne IP locale

J’essaye de comprendre … mais j’ai du mal. J’ai bien la box qui délivre une IP pour le serveur, et qui délivre l’adresse mac et qui dit que c’est bien connecté. J’accède en ligne de commande via ssh avec cette adresse IP. Il faudrait que je vérifie autrement ?

J’ai vérifié que pour chaque port listés sur la box dans → réseaux → NAT/PAT que l’adresse IP est bien celle de mon serveur yunohost: tout est bon, c’est bien la bonne adresse IP qui est mentionnée.

J’ai aussi modifié la règle en remplaçant “TCP/UDP” par “TCP”, mais cela ne change rien: en relançant le diagnostic, j’ai le même message.

Cependant, en regardant les détails (ou déployant le message d’erreur sur la page du diagnostic), j’ai cette phrase:

  • Le domaine xxx.nohost.me semble inaccessible en HTTP depuis l’extérieur du réseau local en IPv6, bien qu’il fonctionne en IPv4.

Cette fin de phrase “bien qu’il fonctionne en IPv4” me met la puce à l’oreille. Ce qui voudrait dire qu’il me suffirait de passer en IPv4 et désactiver IPv6 pour que ça passe ?

Dans l’interface webadmin de yunohost, dans → Outils → Pare Feu, j’ai tout en vert (donc ouvert):

est-ce que ces redirections de ports sont bien vers cette adresse IP ? 192.168.1.10

Bonjour @OniriCorpe . Merci pour ton aide.

Oui, semble-t-il, en tous les cas, c’est ce qui est indiqué dans l’administration de la livebox orange:

franchement je sèche…
as-tu essayé de redémarrer ta yunohost, voir si ça ne remet pas d’équerre des trucs côté réseau, comme justement ces adresses IP ?

Bonjour @OniriCorpe
Oui, j’ai redémarré la yunohost et la box, plusieurs fois.
Mais rien ne change.
Je crois que je vais faire une sauvegarde, et réinstaller tout à partir de zéro, après un reformatage de carte SD de la raspberry pi … Je ne me sors pas.
C’est ennuyeux, car j’envisageais de me servir de Yunohost pour passer en auto hébergement (mes sites principaux et mes services web principaux sont chez des hébergeurs actuellement), après des années de tests, mais, alors que je pensais que Yunohost était enfin suffisament mûr pour encaisser sans plus de problèmes les différents aléas de la vie numérique matérielle et immatérielle (comme le font les services offerts par les hébergeurs professionnels), je me rends compte que je n’arrive pas à maintenir correctement Yunohost par moi-même: je ne suis donc sans doute pas encore assez qualifié pour me passer d’un hébergeur professionnel et continuer ma route en auto hébergement en solo. Il me faut attendre encore. Snif. Pas grave.

Ce n’est pas un problème de maturité de YunoHost, c’est un problème de configuration réseau et vraisemblablement de box Orange claquée au sol (peut-être, ou pas)

YunoHost ne peut pas magiquement réparer le zbeul des FAI commerciaux qui s’en battent les reins de permettre ou non l’auto-hébergement (cf port 25 indébloquable, ou reverse-DNS pas configurable, pour ne mentionner que ça). YunoHost fait tout ce qui est possible pour simplifier la configuration et rapporter les problèmes pour simplifier leur résolution (cf le diagnostique)

Je doute que tu trouves un quelconque service pro qui s’installe littéralement chez toi sans nécessité de configurer des redirections de ports - sauf à utiliser d’autres astuces réseau tel qu’un VPN, ce que YunoHost peut aussi gérer

1 Like

Oups, @Aleks ,
Désolé, je ne voulais pas provoquer de couroux. Je me suis mal exprimé. Milles excuses. Yunohost c’est top, oui, oui ,oui mille fois oui.
Je voulais juste dire que n’étant pas assez qualifié pour faire face aux aléas de l’évolution matérielle et immatérielle liée à Yunohost (incluant Yunohost, ses briques, mais aussi bien sûr, les bizareries des box des FAI, et d’autres choses aussi), et bien je me sens désarmé face à ces problématiques qui me dépassent et qui m’empêchent de pouvoir me servir de Yunohost sur ma pi de façon sereine. Ce n’est donc pas un problème de maturité de Yunohost, mais un problème de compétences (les miennes) pour faire face aux problématiques.
Encore milles excuses @Aleks. Et milles mercis pour ce que tu fais. Des bises.

2 Likes

Bonjour @Aleks et @OniriCorpe ,

Bonne nouvelle: j’ai finalement réussi à trouver une solution pour renouveler le certificat ! Youpi !

J’ai tenté de modifier des réglages dans le zbeul de la livebox d’orange, et cela a fonctionné.

  1. Webadmin de la livebox → Réseau → IPv6 → activer IPv6
  2. WebAdmin de la livebox → Réseau → NAT/PAT → vérifier que les règles sont bien crées (j’ai choisi TCP/UDP)
  3. WebAdmin de la livebox → Parefeu → cocher Moyen
  4. WebAdmin de la livebox → Parefeu → Ouverture de ports dans le pare-feu (pour équipements IPv6) → créer les règles pour HTTP (port 80) et HTTPS (port 443)

C’est notamment le réglage du point 4. qui a permis de décoincer le renouvellement du certificat.

Grosso modo: sur la livebox orange, ce n’est pas parce que IPv6 est activé que cette fonction est activée pour le serveur Yunohost. Pour qu’elle le soit, il faut aller dans le réglage de pare-feu de la box et ouvrir les ports pour le serveur Yunohost.

Après avoir fait tout ça, j’ai relancé dans la web admin sur serveur yunohost, le renouvellement du certificat, et cela a fonctionné.

En lançant ensuite un diagnostic, je constate que le site est maintenant accessible en HTTP et HTTPS, bien que le diagnostic comporte encore de nombreuses erreurs - log du diagnostic.

Je passe en résolu ?

1 Like

je ne pense pas que les erreurs qui sont dans le diagnostic soient problématiques
sur ma ynh j’ai plusieurs ports rapportés comme inaccessibles, mais comme je ne les utilise pas j’ai juste cliqué sur “ignoré” pour chacun d’entre eux et basta