Problème de génération de certificat LE....

[darkneo]

Bonjour à tous!

 

Pour éviter une levée de bouclier, je tiens à préciser que j'ai regardé les différents autres sujets sur le forum, et que j'avais bon espoir que la solution proposée fonctionne... Mais malheureusement ce n'est pas le cas... 😪

Comme pas mal de sujets sur ce soucis, j'essaie de générer un certificat LE via DSM, et ca ne fonctionne pas (sur mon nom de domaine toto.ddns.net - exemple pour ce topic-, DNS chez No-Ip).

Erreur de base: 

Quand je veux générer le certificat, j'ai l'erreur suivante dans DSM:

 

Dans DSM, j'ai fait les tests indiqués ici:

https://kb.synology.com/fr-fr/DSM/tutorial/What_should_I_do_if_cannot_add_renew_lets_encrypt

 

Tout est OK (les ips sont les mêmes, et j'accède à ma page WebStation en http partout). Les ports 80 et 443 sont bien rerootés vers mon NAS. J'ai ajouté toto.ddns.net dans la configuration des accès externe (même si en http, ca fonctionne sans que cette information soit renseignée, pour info):

 

Toujours le même message d'erreur à la génération du certificat. J'ai donc suivi le tuto de NiGGaZ via un autre topic, pensant que ca résoudrait mes soucis:

 

 

 

Et bien non... Toujours exactement le même message d'erreur quand je demande la génération du certificat LE.

 

EDIT: Pour info, j'ai tenté en ligne de commande, parce que je suis tétu! voilà le retour:

DEBUG: ==== start to new cert ====
DEBUG: Server: https://acme-v02.api.letsencrypt.org/directory
DEBUG: Email: toto@gmail.com
DEBUG: Domain: toto.ddns.net
DEBUG: ==========================
DEBUG: setup acme url https://acme-v02.api.letsencrypt.org/directory
DEBUG: GET Request: https://acme-v02.api.letsencrypt.org/directory
{"error":100,"file":"client_network.cpp","msg":"Server is not reachable."}

 

J'ai vu que pas mal de monde avait réussi à générer un certif pour No-Ip, c'est donc possible, mais pour une raison qui m'echappe, ca ne foctionne pas chez moi, et toute aide serait la bienvenue!

 

Merci d'avance.

 

PS: DSM 6.1.7-15284 sur DS3615xs

Edited January 13, 2022 by darkneo

[darkneo]

Re,

Petite réponse (car j'essaie de trouver quand même par moi même aussi...)

 

J'ai suivi aussi l'info ici:

https://community.letsencrypt.org/t/synolgy-918-dsm-6-2-2-update-4-cannot-renew-certificates/164093/14

 

Et jouer la commande:

sudo -i && cp /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/ca-certificates.crt.ORIG && curl -k "https://letsencrypt.org/certs/isrgrootx1.pem" >> /etc/ssl/certs/ca-certificates.crt && reboot

 

Mon erreur a changée (c'est certainement signe que je progresse... nan?):

DEBUG: ==== start to new cert ====
DEBUG: Server: https://acme-v02.api.letsencrypt.org/directory
DEBUG: Email: toto@gmail.com
DEBUG: Domain: toto.ddns.net
DEBUG: ==========================
DEBUG: setup acme url https://acme-v02.api.letsencrypt.org/directory
DEBUG: GET Request: https://acme-v02.api.letsencrypt.org/directory
{"error":200,"file":"client.cpp","msg":"Directory Member missing."}

 

Edited January 13, 2022 by darkneo

[marcos_59143]

Bonjour,

 

C'est souvent à cause du port 80 ou 443 qui n'est pas ouvert, pour vérifier : https://www.yougetsignal.com/tools/open-ports/

 

Logiquement tu as déjà ouvert tes ports en pointant vers ton nas mais ce test permettra d'en être sur !

[darkneo]

Problème résolu...

Je sais pas trop comment car j'ai passé tout un tas de commande, mais le soucis venait (je pense) des certificats dans mon magasin qui étaient expirés pour let's encrypt. J'ai pas une mise à jour de mes magasins de certificats (et évidemment je n'ai pas gardé la commande...) et ca a fonctionné direct.

 

Voici la commande magique qui m'a tout débloqué (après déploiement de la version de syno-letsencrypt qui va bien etc):

 

sudo mv /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/ca-certificates.crt.bak && sudo curl -Lko /etc/ssl/certs/ca-certificates.crt https://curl.se/ca/cacert.pem

 

Si jamais ca peut aider quelqu'un dans la panade comme moi (mais je suis finalement content d'avoir trouvé tout seul 🥵)