Problème de renouvellement certificat (enore un...)

Support
1

Bonjour à tous,

Mon certificat SSL n’est plus valide. Je ne comprends pas l’erreur.
J’ai un yunohost à jour. J’ai fait un renew du fichier conf de nginx. La page de diagnostique est bonne (à par le mail).

Voilà le log quand je fait cert renew

Info : Verifying heck.ynh.fr
Info : heck.ynh.fr verified!
Info : Verifying xmpp-upload.heck.ynh.fr
Info : xmpp-upload.heck.ynh.fr verified!
Info : Signing certificate…
Info : Certificate signed!
Erreur : Certificate renewing for heck.ynh.fr failed !
Info : L’opération ‘Renouveler le certificat Let’s Encrypt de ‘heck.ynh.fr’’ a échoué ! Pour obtenir de l’aide, merci de partager le journal de l’opération en utilisant la commande ‘yunohost log display 202 00622-061115-letsencrypt_cert_renew-heck.ynh.fr --share’
Erreur : Traceback (most recent call last):
File “/usr/lib/moulinette/yunohost/certificate.py”, line 389, in certificate_renew
_fetch_and_enable_new_certificate(domain, staging, no_checks=no_checks)
File “/usr/lib/moulinette/yunohost/certificate.py”, line 545, in _fetch_and_enable_new_certificate
intermediate_certificate = requests.get(INTERMEDIATE_CERTIFICATE_URL, timeout=30).text
File “/usr/lib/python2.7/dist-packages/requests/api.py”, line 70, in get
return request(‘get’, url, params=params, **kwargs)
File “/usr/lib/python2.7/dist-packages/requests/api.py”, line 56, in request
return session.request(method=method, url=url, **kwargs)
File “/usr/lib/python2.7/dist-packages/requests/sessions.py”, line 488, in request
resp = self.send(prep, **send_kwargs)
File “/usr/lib/python2.7/dist-packages/requests/sessions.py”, line 609, in send
r = adapter.send(request, **kwargs)
File “/usr/lib/python2.7/dist-packages/requests/adapters.py”, line 497, in send
raise SSLError(e, request=request)
SSLError: (“bad handshake: Error([(‘SSL routines’, ‘tls_process_server_certificate’, ‘certificate verif y failed’)],)”,)

Erreur : (“bad handshake: Error([(‘SSL routines’, ‘tls_process_server_certificate’, ‘certificate verify failed’)],)”,

Sinon j’ai ça aussi : https://paste.yunohost.org/raw/ilefehixud

Help, plesae !! :slight_smile:

2

Mouarf ben je sais pas trop pourquoi il se foirre en essayant de faire ça …

Si tu veux tu peux essayer de faire a la main sur ton serveur :

curl https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem

et confirmer que ça t’affiche bien un gros pâté de lettres/chiffres “aléatoires” entre BEGIN/END CERTIFICATE

Si oui alors je re-tenterais l’opération en me disant que c’était probablement juste un soucis temporaire

3

Merci pour ta réponse !!

Voilà le résultat de la commande. Ca n’a pas l’air d’être bon !
Est ce du au fait que je transfert pas toujours le port 80 vers yunohost. Comme j’ai un autre serveur qui tourne sur le port 80, la plus part du temps je redirige mon port 80 vers cet autre serveur.
De temps en temps je redirige le port 80 vers yunohost pour qu’il fasse la MAJ du certificat SSL.
Bien sûr, pour régler ce problème le port 80 est bien redirigé vers yunohost

curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a “bundle”
of Certificate Authority (CA) public keys (CA certs). If the default
bundle file isn’t adequate, you can specify an alternate file
using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
the bundle, the certificate verification probably failed due to a
problem with the certificate (it might be expired, or the name might
not match the domain name in the URL).
If you’d like to turn off curl’s verification of the certificate, use
the -k (or --insecure) option.

4

Hmokay, est-ce que tu peux confirmer que ton serveur est bien à jour ? Il y a eu un bug il y a quelques semaines dans les certifs etc, corrigé par une mise à jour du paquet ca-certificates … Mais peut-être que c’est pas ça

(Sinon non, ca ne devrait rien à voir avec tes redirections de port 80, là on parle de traffic sortant)

5

J’ai pu faire une mise à jour de Yunohost qui s’est bien passée. Par contre le renouvellement du certificat est toujours en échec après mis à jour…
LOG identique : https://paste.yunohost.org/raw/fosixapevi

6

Est-ce que ça ça fonctionne ?

export CURL_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt
curl https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem
7

La première commande ne renvoie aucune erreur.
La 2e commande renvoie toujours la même erreur :

curl: (60) SSL certificate problem: unable to get local issuer certificate

8

Un petit up’ !

C’est vraiment la galère ces certificats… Je ne trouve aucun info sur le net…

9

Beh du coup je sais pas trop, là y’a vraissemblablement un truc cassé dans la gestion du HTTPS/SSL/x502 sur ton serveur mais c’est pas clair …

Éventuellement peut-être que ça peut résoudre le soucis :

apt install ca-certificates --reinstall

Ou bien sinon essayer avec d’autres sites ‘classiques’ si curl fonctionne ou bien si c’est juste sur letsencrypt …

curl https://letsencrypt.org
curl https://fr.wikipedia.org
curl https://google.com
curl https://ffdn.org
curl https://reddit.com
10

Je crois qu’on avance…un peu.
Suite au réinstall des certificatsn l’erreur à changée…
https://paste.yunohost.org/raw/dobalafumu

A priori je retombe sur un problème que j’ai déjà connu :

too many certificates already issued for exact set of domains

La solution donnée alors par le forum était…d’attendre une semaine…; Peux tu le confirmer ??

A noter : J’avais remarqué lors d’un précédent souci de renouvellement de certificat que pihole était bloquant. Ne pouvant le désactiver, je l’ai désinstallé.Mais le problème persiste. Je crois que je vais arrêter d’utiliser cette appli.

Dans tous les cas, merci pour le temps passé avec moi :wink:

11

Yep … Pour ça qu’il faut mieux éviter de brute-forcer la commande d’install/renew de certificat jusqu’à ce que ça marche …

12

Donc pas de renew avant une semaine…? Yunohost ne va-t-il pas essayer de le faire tout seul ?

13

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.