Yunohost Let's encrypt

wilibre · August 11, 2017, 4:15pm

Après avoir changé de FAI et avoir restaurer une sauvegarde (suite à un problème de mise à jour) j’essaye de remettre un certificat “let’s encrypt”. J’ai testé les différentes options mais rien n’y fait voici ce que me donne l’installation dudit certificat:

admin@serveur:~$ sudo yunohost domain cert-install wilibre.ml
Erreur : wilibre.ml challenge did not pass: {u'status': u'invalid', u'validationRecord': [{u'addressesResolved': [u'88.181.52.182', u'2a01:e35:8b53:4b60::1'], u'url': u'http://wilibre.ml/.well-known/acme-challenge/eIiDDQIJqHToIX5Ep1VCfOHa2v2JOGagGNNpNMCog9M', u'hostname': u'wilibre.ml', u'addressesTried': [], u'addressUsed': u'2a01:e35:8b53:4b60::1', u'port': u'80'}], u'keyAuthorization': u'eIiDDQIJqHToIX5Ep1VCfOHa2v2JOGagGNNpNMCog9M.pR3gdLMxnh0LTedezLYqN3sbVMr5DMKUv7Idu8zg-3w', u'uri': u'https://acme-v01.api.letsencrypt.org/acme/challenge/s7eVtJGnetmooVQKlEp_YSzZK6bXgXUuUb8dtT6EHOI/1730191497', u'token': u'eIiDDQIJqHToIX5Ep1VCfOHa2v2JOGagGNNpNMCog9M', u'error': {u'status': 400, u'type': u'urn:acme:error:connection', u'detail': u'Fetching http://wilibre.ml/.well-known/acme-challenge/eIiDDQIJqHToIX5Ep1VCfOHa2v2JOGagGNNpNMCog9M: Timeout'}, u'type': u'http-01'}
Erreur : Certificate installation for wilibre.ml failed !
Exception: [Errno 22] La signature du nouveau certificat a échoué

En vous remerciant par avance pour votre aide!

siphon · August 11, 2017, 6:25pm

Bonjour,

Tu devrais récupérer et faire tourner l’excellent script yunoCheckDNS.py.
Il te donnera éventuellement des informations sur les incohérences entre ta config, et les enregistrements DNS.
A voir si cela permet de faire avancer le Schmilblick…

Siegi · August 11, 2017, 8:55pm

Hello,

Je ne suis pas spécialiste de Yunohost mais je tente une réponse :

A priori selon la ligne d’erreur 2 il y a l’indication suivante :
u’addressUsed’: u’2a01:e35:8b53:4b60::1
Cette adresse est une IPv6, c’est bien l’adresse de ton Yunohost et pas de ton routeur ?

Le challenge de l’autorité de certification Let’s Encrypt se fait en IPv6 car IPv6 est préféré à IPv4. Est-ce que ta configuration IPv6 est correcte autant IP que DNS ?

Ton domaine est bien accessible depuis l’extérieur en IPv6 ?

Je suis malheureusement bloqué derrière un FAI IPv4 only, je ne peux pas faire de test.

Aleks · August 11, 2017, 9:24pm

+1 pour la réponse de Siegi, quelqu’un a eu le meme problème récemment sur le forum je crois

wilibre · August 12, 2017, 9:22am

Merci pour vos réponses. Voici ma configuration DNS (depuis yunohost)

@ 3600 IN A 88.181.52.182
* 3600 IN A 88.181.52.182

_xmpp-client._tcp 3600 IN SRV 0 5 5222 wilibre.ml.
_xmpp-server._tcp 3600 IN SRV 0 5 5269 wilibre.ml.
muc 3600 IN CNAME @
pubsub 3600 IN CNAME @
vjud 3600 IN CNAME @

@ 3600 IN MX 10 wilibre.ml.
@ 3600 IN TXT "v=spf1 a mx ip4:88.181.52.182 -all"
mail._domainkey.wilibre.ml. 3600 IN TXT "v=DKIM1; k=rsa; p=xxxxxxxxxxxxx"
_dmarc 3600 IN TXT "v=DMARC1; p=none"

(j’ai remplacé le p=… par p=xxxxxxxxxxxxx)

Concrêtement, qu’est ce que je dois faire?

wilibre · August 12, 2017, 12:43pm

J’ai configurer ma freebox pour que l’ipv6 local de mon serveur yunohost soit attribuer a 2a01:e35:8b53:4b61:/64 puis j’ai configurer la redirection DNS de my.freenom.com pour qu’il pointe vers cette nouvelle ipv6 (finissant ppar 4b61). J’ai ensuite tenter de modifier le fichier /etc/network/interfaces pour ajouter:

iface eth0 inet6 static
address 2a01:e35:8b53:4b61::1
netmask 64

Néanmoins ça ne fonctionne toujours pas. Je dois encore rater quelque chose… Et j’ai l’impression que c’est sur mon serveur car un ping6 ipv6.google.com ne donne rien de très positif.