Page 1 sur 2

Problème Certbot & Let's Encrypt

Publié : 10 févr. 2021, 11:57
par Terrible45
Je crée mon propre topic suite à mon post sur ma mésaventure avec: " Letsencrypt : renouvellement du certificat impossible " , visible ICI

Dans mon cas j'ai tout supprimé donc je cherche plus à le mettre à jour mais à l'installer.

Je suis chez Ovh et jusqu’à ce week tout fonctionnait super bien en https et avec le nom de domaine.

Cerbot propose 2 types d'installations et j'ai tenté les 2:

- Via Ovh et mon nom de domaine ( bien activée chez Ovh et clef généré L' INFO ICI mais je ne sais pas quoi faire ensuite pour mettre en liaison cette clef SSL et Domoticz.

- Via Certbot à installer sur le Rpi4 ( SSD en USB )
Et là j'ai ce message d'erreur après l 'étape: sudo certbot certonly --standalone

To fix these errors, please make sure that your domain name was**
** entered correctly and the DNS A/AAAA record(s) for that domain**
** contain(s) the right IP address.**


J'ai checké via le site "Check-your-website" et voilà le résultat ICI

Au vu du message d'erreur que me remonte Certbot qui peut me dire ce qui ne va pas ? Sachant que je ne tape que le nom de domaine (sans les www.) à l' installe dans Certbot

Par avance merci ;)
Xavier

PS: Rajout = je mettrais la copie d'écran du message complet ce soir

Re: Problème Certbot & Let's Encrypt

Publié : 15 févr. 2021, 16:33
par Terrible45
Voici ce que j'obtiens, j'ai regardé sur la toile mais j'ai du mal à voir ce qui ne vas pas. Je n'ai aucune notion la dedans, et pas beaucoup en Raspberry car je commence juste mais là je m' emmêle les pinceaux. Merci d'avance pour l'aide apporter. Ma domotique est bancale est certaines chose sont HS tant que je ne remet pas l'accès extérieur.
Cerbot.png
Cerbot.png (40.94 Kio) Consulté 4669 fois
Tout tournait bien jusqu’ içi avant le 1er renouvellement de certificat. :oops:

Re: Problème Certbot & Let's Encrypt

Publié : 15 févr. 2021, 17:46
par Terrible45
Je viens d'essayer CE POST ou le ipv6 serait fautif mais :( tjs pareil .
J'ai désactivé dans mon raspberry les services ipv6 , suivant tuto sur la toile, et aussi la redirection AAA chez OVH.

Re: Problème Certbot & Let's Encrypt

Publié : 15 févr. 2021, 19:44
par Chrominator
Les paramètres --standalone et http-01 vont mettre en place temporairement un serveur www sur le port 80 de ta machine.
Le but est de réussir à lire une chaine de caractère créée par certbot, publiée sur ce petit serveur www local, et que le robot certbot distant va essayer de lire via Internet en pointant vers ton domaine.
Comme ça il vérifie que c'est bien cette machine qui est désignée par le dns.

Dans ton cas la chaine exposée par le serveur local n'est pas celle attendue par le robot, donc ça échoue.

Quelques pistes :

Est-ce que tu as déjà un autre serveur www sur le port 80 à ce moment là ?
Est-ce qu'une redirection NAT existe bien de ta box vers ta machine sur le port 80 ? (je pense que c'est le cas)
Essaye de vérifier que root a bien accès à la racine de ce serveur www temporaire (avec sudo ce devrait-être le cas, regarde les autorisations d'un répertoire dont la fin est .well-known/acme-challenge et celles des fichiers à l'intérieur)

Dis-nous.

Re: Problème Certbot & Let's Encrypt

Publié : 15 févr. 2021, 20:35
par Terrible45
Entre temps j'ai décidé de faire un post sur le site d' aide chez Let's Encrypt, parce que là je commence à patauger dans la semoule. ;)

En tout cas MERCI Chrominator d'essayer de m'aider.
Chrominator a écrit : 15 févr. 2021, 19:44 Dans ton cas la chaine exposée par le serveur local n'est pas celle attendue par le robot, donc ça échoue.
Donc oui j'ai bien compris qu'il y a un problème de concordance entre les 2 clefs.
Chrominator a écrit : 15 févr. 2021, 19:44 Est-ce que tu as déjà un autre serveur www sur le port 80 à ce moment là ?
Normalement plus rien car J'ai désactivé Deconz et Phoscon les seuls à utiliser en temps normal le port 80, puisque que Domoticz tournait en 443. Mon Rpi4 ne sert qu' à cela.
Chrominator a écrit : 15 févr. 2021, 19:44 Est-ce qu'une redirection NAT existe bien de ta box vers ta machine sur le port 80 ? (je pense que c'est le cas)
Le port 80 est redirigé en 8080 sur ma box SFR et est actif spécialement pour la création du certificat, sinon désactivé en temps normal.
Chrominator a écrit : 15 févr. 2021, 19:44 Essaye de vérifier que root a bien accès à la racine de ce serveur www temporaire (avec sudo ce devrait-être le cas, regarde les autorisations d'un répertoire dont la fin est .well-known/acme-challenge et celles des fichiers à l'intérieur)
Là je ne connais pas donc j'essaye de voir comment il faut procéder et je reviens donner les infos. Il devrait se trouver ou ce ou ces fichiers ?

Edit: le lien du post " Help", ICI si tu as une idée... ;)

Re: Problème Certbot & Let's Encrypt

Publié : 15 févr. 2021, 21:03
par Terrible45
Sinon, je viens de tomber par hasard la dessus " Certbot dns OVh", si pas de soluce je tenterai CECI

Re: Problème Certbot & Let's Encrypt

Publié : 16 févr. 2021, 08:03
par Chrominator
Terrible45 a écrit : 15 févr. 2021, 20:35
Le port 80 est redirigé en 8080 sur ma box SFR et est actif spécialement pour la création du certificat, sinon désactivé en temps normal.
C'est peut-être la cause de ton erreur.
Le process certbot local va ouvrir un serveur www sur le port 80, pas 8080.
Donc le robot cerbot distant qui va se retrouver sur le port 8080 de ta machine ne va pas pouvoir y accéder.

Re: Problème Certbot & Let's Encrypt

Publié : 16 févr. 2021, 08:30
par Terrible45
J'ai déjà fait le test avec un renvoi 80 vers 80 mais cela engendrait la même erreur, donc j'ai remis la config initial. ;) .

Je viens de lire Doc Cerbot par rapport au fichier que tu me disais de rechercher, mais je n'ai pas de dossier var/www ou de fichier avec une terminaison en :" ${webroot-path}/.well-known/acme-challenge " parce que si je comprend bien je tente la manip Standalone.

Sur le site de Let's Encrypt, on m'a répondu et voici son interrogation, voir si dessous, si vous pouvez m’expliquer le coup de "Apache" et "mauvaise machine "car je ne comprends pas.

Rappel je tourne sous Rpi4 avec juste une Conbee 2 + Phoscon (port 80) et Domoticz (443) en GUI ou SSH si besoin.

A quoi sert Apache ? Faut il le désactivé ? Si oui comment ?

Quand il dit "la machine", à quoi il fait allusion ?

Idem il me dit pourquoi je fait l'installe en Standalone => c'est la méthode que j'ai trouvé, laquelle faudrait il que je fasse sinon ?

MERCI d'avance pour l'aide apportée car je suis complétement dépassé et je n'ai aucunes notions. ;)

JuergenAuer
Community leader
11h

Hi @Xavier45

I ran this command: sudo certbot certonly --standalone

see your check - https://check-your-website.server-daten ... moticz.ovh

There is a running Apache.

So why do you use --standalone? Normally, I would expect an error: Port 80 blocked - because your port 80 has the running Apache.

Do you run Certbot on the wrong machine?

Your error says:

"f52IBGP5aKzusROEvpLk9jLKNKK_ycKgOQQElKnBjwM.iiT_JD8lRnVBMVTTQ2V0xw3To4BOZ3oGIjWYEjLOqQg" != "f52IBGP5aKzusROEvpLk9jLKNKK_ycKgOQQElKnBjwM.4E3VCTFsySjUrqnCg0ooULx-3kbdPBygi0aWkvg5Gd8"

There is an answer - but with the wrong key. Normally that happens if the hoster has an own Letsencrypt client and manages /.well-known/acme-challenge to create Letsencrypt certificates.

Or you use a control panel that manages Letsencrypt certificates.

But the check of

http://mydomoticz.ovh/.well-known/acme- ... ten-dot-de

has the expected answer

Not Found The requested URL was not found on this server.

instead of something like

check-your-website-dot-server-daten-dot-de.iiT_JD8lRnVBMVTTQ2V0xw3To4BOZ3oGIjWYEjLOqQg

Filename + dot + hash of the account key.

Re: Problème Certbot & Let's Encrypt

Publié : 16 févr. 2021, 09:43
par Terrible45
Je viens de faire la commande netstat -nptl et voilà le retour:
Deconz / Phoscon et Domoticz non activé. ;)

sudo netstat -ntpl
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 0.0.0.0:2024 0.0.0.0:* LISTEN 548/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 385/cupsd

Re: Problème Certbot & Let's Encrypt

Publié : 16 févr. 2021, 20:04
par Chrominator
Apache est le nom d'un serveur web bien connu et répandu.
Ton contact s'est aperçu qu'un serveur web existait à l'adresse de ton domaine http://m_d______z.ovh(que tu devrais cesser de divulguer ici au passage) et il s'étonne que tu utilises l'option standalone qui sert justement quand on a pas déjà de serveur web.

Essaye et tu verras, à l'adresse de ton domaine depuis l'extérieur en http on tombe sur une page en construction signée ovh (et pas sur domoticz d'ailleurs).
J'ignore si cette page est hébergée chez toi ou si c'est une page par défaut de ovh et si ta redirection NAT de 80 vers 8080 est activée en ce moment, en tout cas c'est ce qui empêche le mode standalone de fonctionner (on ne peut pas avoir deux serveurs web sur le même port à la même adresse ip en même temps).

Essaye de comprendre d'où provient l'affichage de cette page, on verra ensuite comment s'y prendre.