[Let's Encrypt] Certificate installation failed! (urn:acme:error:connection Timeout)

aokami · October 22, 2017, 4:03pm

Bonjour,

Encore un soucis d’installation de Let’s Encrypt. J’ai un parcouru le reste du forum sans trop de succès.

Tout se passe bien jusqu’au challenge…

Prepare key and certificate signing request (CSR) for aokami.codelib.re... Saving to /tmp/acme-challenge-private/aokami.codelib.re.csr. Now using ACME Tiny to sign the certificate... Parsing account key... Parsing CSR... Registering account... Already registered! Verifying aokami.codelib.re... Erreur : aokami.codelib.re challenge did not pass: {u'status': u'invalid', u'validationRecord': [{u'addressesResolved': [u'82.224.70.66', u'2a01:e35:2e04:6420::1'], u'url': u'http://aokami.codelib.re/.well-known/acme-challenge/X9qYlCwRbm4oIWI7uT2s1Ax9C9nGPUfwmbdqFMIHlBM', u'hostname': u'aokami.codelib.re', u'addressesTried': [], u'addressUsed': u'2a01:e35:2e04:6420::1', u'port': u'80'}], u'keyAuthorization': u'X9qYlCwRbm4oIWI7uT2s1Ax9C9nGPUfwmbdqFMIHlBM.x3V1XzXsJDoFWj_1L2K3Yzk8enzqQBnJ78wHR56Ts1I', u'uri': u'https://acme-v01.api.letsencrypt.org/acme/challenge/L4-GL4vvi22XElf4mFotjOIA0lrSC7igm93vlBxvZuY/2275369644', u'token': u'X9qYlCwRbm4oIWI7uT2s1Ax9C9nGPUfwmbdqFMIHlBM', u'error': {u'status': 400, u'type': u'urn:acme:error:connection', u'detail': u'Fetching http://aokami.codelib.re/.well-known/acme-challenge/X9qYlCwRbm4oIWI7uT2s1Ax9C9nGPUfwmbdqFMIHlBM: Timeout'}, u'type': u'http-01'} Erreur : Certificate installation for aokami.codelib.re failed ! Exception: [Errno 22] La signature du nouveau certificat a échoué

Je vois bien l’erreur de timeout pour aller chercher «.well-known/acme-challenge/X9qYlCwRbm4oIWI7uT2s1Ax9C9nGPUfwmbdqFMIHlBM» mais je sais pas trop quoi faire, j’y ai pourtant accès (en local) quand je clique sur le lien mais mon serveur est accessible depuis l’extérieur je m’en sers tous les jours pour mon dépôt gogs…

Je précise d’ailleurs que gogs est à la racine du sous domaine git.aokami.codelib.re.
Et que du coup j’utilise le formidable service https://netlib.re

Un petit coup de yunohost domain cert-status (avec une petit indentation sinon c’était moche)

`certificates:

aokami.codelib.re:
– CA_type: Self-signed
– summary: WARNING
– validity: 3631
git.aokami.codelib.re:
– CA_type: Self-signed
– summary: WARNING
– validity: 3631`

Désolé pour dérangement mais merci de vous être penché dessus ! =D

Aleks · October 22, 2017, 7:53pm

Salut,

j’ai l’impression que c’est l’IPv6 qui pose soucis ? Est-ce que tu peux vérifier que ton serveur est bien accessible à l’adresse 2a01:e35:2e04:6420::1 ? (Une première étape peut-être de comparer ce que renvoie curl ip6.yunohost.org depuis ton serveur.

aokami · October 23, 2017, 11:20am

Success! Successfully installed Let's Encrypt certificate for domain aokami.codelib.re!

Alors de deux choses:

Tu es un dieu
C’était ça, j’ai un peu vraiment pas mal honte…

Ma Freebox me disait vas-y coco c’est 2a01:e35:2e04:6420::1 et curl m’a renvoyé 2a01:e35:2e04:6420:4:5ff:fe83:213c.
J’ai jamais vraiment vérifié en essayant d’y accéder en IPv6.

Bref un immense merci @Aleks !
Pas juste pour moi, mais au nom de tous les gens que tu aides (j’ai beaucoup vu passer ton pseudo proposant des solutions en vérifiant s’il n’y avait pas d’autres gens qui avaient le même problème que moi sur le forum) !
Et merci également pour tout le boulot que tu fais (je sais pas si tu as des projets à côté mais t’es tellement impliqué autour de yunohost) !

C’est vraiment très inspirant, je pensais me mettre à aider à maintenir une ou deux apps, et je promets rien dans l’immédiat car je me mange une année de master dans la nouille mais j’aimerais pouvoir aider à mon tour autour de yunohost.

En espérant pouvoir te payer un club maté (/flora power) au prochain THSF,

- aokami (un petit gars qui était à l’atelier auto-hébergement du hackstub)

Edit: c’est même passé pour le sous-domaine! (Je vais pouvoir cloner mes dépôts sous https )

Aleks · October 23, 2017, 1:02pm

Hey !

Haha, merci pour ton message chaleureux, ça fait plaiz

Si tu as d’autres soucis avec le DNS, ce script (non-officiel) devrait permettre de diagnostiquer les problèmes (genre est-ce que le DKIM est bien / pas bien configuré) : https://github.com/alexAubin/yunoScripts/blob/master/yunoCheckDNS.py

unjour™ ce sera directement intégré dans YunoHost et il te préviendra tout seul comme un grand des problèmes de conf DNS ou d’ouverture des ports

Coninox · November 1, 2017, 11:27am

Bon, alors déjà, merci, parce que ça fait plusieurs mois que j’ai un problème de certificat avec mon domaine en freeboxos.fr sans savoir comment le résoudre, et j’ai l’impression que j’ai le même problème.

la commande curl ip6.yunohost.org me renvoie : 2a01:e35:2f58:200:604a:2811:81e6:7742
alors que l’adresse présente dans le message d’erreur de let’s encrypt est : 2a01:e35:2f58:200:604a:2811:81e6:7742

Alors tout ça, c’est très gentil, parceque j’ai l’impression que ça me donne un gros indice sur la nature de mon problème.
En revanche, je voudrais pas être tatillon, mais je crois que ça n’est venu à l’idée de personne d’expliciter quelle manip il faut faire pour corriger le problème, en fait

Aleks · November 1, 2017, 11:46am

Salut,

oui effectivement, le problème était que la solution n’est pas triviale dans tous les cas (notamment pour les .nohost.me / .noho.st)

Si il s’agit de ton domaine que tu as configuré toi-même, le plus simple est d’enlever l’enregistrement AAAA, ou bien de t’assurer que l’IPv6 qui est dedans est bien fonctionnelle…

Ensuite, éventuellement attendre un peu pour que la fameuse “propagation DNS” opère (et que les DNS ‘oublient’ ton IPv6) puis retenter l’install / le renew du certificat.

Coninox · November 1, 2017, 11:50am

Ah ben c’est un truc qui est généré automatiquement depuis l’interface de la freebox, donc logiquement c’est free qui doit s’occuper de la configuration
En tout cas, l’enregistrement AAAA, je sais pas ce que c’est, donc je doute y avoir accès.

Je vais peut-être ouvrir un sujet distinct de celui-ci, du coup.

aokami · November 1, 2017, 4:48pm

Dans mon cas, j’utilise le génialissime service netlib.re (qui me permet de gérer mes enregistrements DNS comme chez un registrar classique).

Donc tu as plusieurs type de champs DNS et grossièrement:

A: c’est le champ où tu rentres ton IPv4
AAAA: c’est le champ où tu rentres ton IPv6
MX: pour faire du mail
(Accessoirement je fais des sous-domaines avec du CNAME)

Donc le soucis que j’avais c’est que j’ai mis l’IPv6 que la freebox me donnait sans me poser de question dans le champ AAAA et la bonne IPv6 à mettre était celle que j’ai récupéré avec le curl ip6.yunohost.org.

Est-ce que tu accès à ton serveur depuis l’extérieur en IPv6 ?
(Connecte toi directement à 2a01:e35:2f58:200:604a:2811:81e6:7742 sans nom de domaine).

Le problème c’est que free gère ça tout seul. D’un côté tu peux lui demander un certificat auto signé avec let’s encrypt aussi, (il te le demande quand tu crée un domaine en freeboxos.fr mais je sais pas trop comment tu t’en sers après).
Sinon tu gère ça directement sur ton serveur et là je pense que tu vas devoir configurer un Next Hop (c’est une suggestion, je n’ai pas les connaissances suffisantes pour ça).

[Juste une Suggestion, je sais pas trop ce que je dis]
Dans ce cas ce tu dois pouvoir faire c’est sur l’interface de ta freebox, tu récupère l’IPv6 locale de ton serveur, pour ça tu vas dans Périphériques réseau → Clic droit sur ton serveur → Propriétés → Connectivité et tu notes l’IPv6 qui commence par fe80: (c’est possible qu’il y en ai plusieurs).
Ensuite tu vas dans Configuration IPv6 → Délégation de préfixe et tu mets l’IPv6 que tu as noté dans le champ Next Hop qui correspond à l’IPv6 que la freebox te renvoie (dans Etat de la Freebox → Etat Internet → Adresse IPv6).

Après tu peux toujours désactiver l’IPv6 mais c’est la pire solution et ça me plaît pas…

Coninox · November 1, 2017, 6:34pm

Merci pour ces tentatives d’aide

Alors, si je rentre ça tel quel dans la barre d’adresse de mon navigateur, ça me lance une recherche… j’ai pas l’impression qu’il comprenne que c’est une adresse, en fait. Je fais pas ça comme il faut ?

J’ai essayé, mais je ne retrouve pas exactement la même adresse dans la liste donnée dans “Délégation de préfixe”.

L’adresse de ma freebox est : 2a01:e35:2f58:200::1
dans “Délégation de préfixe”, l’adresse la plus proche est : 2a01:e35:2f58:200::/64
Dans le doute, j’ai renseigné ici l’adresse IPV6 de mon serveur (il en avait plusieurs, mais une seule à l’état “Active”)
J’ai pas constaté de changement, l’installation du certificat se solde toujours par
‘Exception: [Errno 22] La signature du nouveau certificat a échoué’

Pour le reste, je suis pas sûr de tout comprendre.
Pour remettre un peu de contexte :

Lors de temps anciens (l’année dernière, en gros), j’avais une configuration Yunohost qui marchait bien, j’avais créé un nom de domaine du type [mon pseudo].freeboxos.fr, j’avais utilisé l’application Let’s Encrypt pour importer le certificat, et tout marchait pour le mieux dans le meilleur des mondes sans que j’ai rien de spécial à configurer.
Puis j’ai pêté mon serveur en essayant de redimensionner une partition, tout était foutu, j’avais pas le temps de m’en occuper.

Récemment, j’ai fait une réinstallation toute fraiche en partant de zero (parceque je n’ai pas réussi à réutiliser les sauvegardes que j’avais faites avant), et comme j’ai pour vague projet d’autohéberger un vieux blog qui dort dans les limbes de l’internet, j’ai voulu plutôt utiliser un nom de domaine sous la forme [nom de mon blog].freeboxos.fr
Comme j’ai droit qu’à un seul nom de domaine chez free, j’ai demandé à le remplacer depuis l’interface de ma freebox, ce qui s’est à priori bien passé.

Mais comme maintenant l’application Let’s encrypt n’est plus d’actualité, j’ai tenté d’installer le certificat depuis l’interface d’administration (ou par la ligne de commande), mais là, ça se passe mal.

Je vais me renseigner sur ce qu’est netlib.re, mais ce qui m’étonne c’est que j’avais pas eu besoin de ça auparavant.

Ah, et j’ai vu sur le forum que des gens avaient effectivement résolu le problème en désactivant l’IPV6, mais j’ai pas constaté de changement.

Aleks · November 1, 2017, 6:36pm

Effectivement, il faut la mettre entre crochets , je crois

Coninox · November 1, 2017, 6:51pm

Rah, mais pourquoi de toutes les pages web que j’ai pu lire qui cause d’IPv6, aucune ne mentionnait ce détail ?

Bon, effectivement, si j’essaye d’y accéder depuis mon PC, ça marche (toujours avec une erreur de certificat, hein, évidemment)

Par contre, si j’essaye d’activer un VPN, puis d’y accéder, ça marche plus. Donc je suppute que c’est pas accessible depuis l’extérieur

aokami · November 2, 2017, 11:19pm

On en revient précisément au problème que j’avais, freebox te donne son IPv6, pas l’IPv6 de ton serveur et ça c’est embêtant.

La différence avec là où j’avais un soucis, c’est que on a pas nos noms de domaines au même endroit (perso c’était un champ AAAA à changer).
Pour toi, l’interface de la freebox assume que l’IPv6 que t’auras sur ton serveur est celle de la freebox (d’où ma tentative de next hop), ce qui n’est pas le cas et qui malheureusement semble être géré automatiquement par la freebox et je m’y connais pas assez pour savoir si c’est configurable manuellement…

Autant j’aime beaucoup free, t’as de l’IPv6 statique de base et aucun port bloqué (pas comme orange où c’est des options payantes et qui bloque le smtp, ou comme bouygues qui a mis des siècles à proposer l’IPv6 si il le propose seulement, ou sfr où t’as une ip dynamique), autant il fond vraiment des trucs crade (injection de pubs, bridage vers youtube, communication de leurs abonnés à hadopi, conditions des salariés plutôt naze…) donc je reste méfiant vis à vis de leur hardware et j’évite de m’en servir si je peux faire autrement…