Re: renouvellement de certificat

Top Page

Reply to this message
Author: Dominique Fournier
Date:  
To: Patrice Karatchentzeff
CC: GUILDE
Subject: Re: renouvellement de certificat
Re!

Je t'invite à changer l'ordre dans la configuration, et ne surtout pas
enlever le rewrite.

Tu mets la gestion des acme-challenge AVANT la gestion de rewrite, et
cela fonctionne.

Si tu mets le acme-challenge après le rewrite, tout sera capturé par le
rewrite et tu ne passeras jamais dans le bloc acme

Dom

Le 15/02/2022 à 08:24, Patrice Karatchentzeff a écrit :
> Bonjour Dominique,
>
> Merci de ton aide.
>
> J'ai oublié de dire que le serveur tourne depuis des années et que
> j'ai déjà renouvelé plusieurs fois le certificat. La nouveauté est que
> j'ai dû changer de version de Debian (peut-être deux versions
> d'affilée...) pour pouvoir mettre à jour le Nextcloud qui tourne
> dessus.
>
> J'ai bien dans ma conf de nginx
>
> location ^~ /.well-known/acme-challenge/* {
>           allow all;
> }

>
> mais précédant ce réglage :
> location / {
>        rewrite ^ //index.php/$uri
> }

>
> Jusqu'à présent, ça fonctionnait. Effectivement,
> http://site/.well-known/acme-challenge/ renvoie à mon index.php, ce
> qui fait échouer le certbot.
>
> Si je vire le rewrite, je perds le fonctionnement de mon site :(
>
> PK
> Le mar. 15 févr. 2022 à 07:57, Dominique Fournier
> <dominique@???> a écrit :
>>
>> Bonjour Patrice
>>
>> Véfifie que ta machine répond à l'adresse en
>> http://SITE/.well-known/acme-challenge/ (SANS https et sans faire de
>> redirection vers un CMS).
>>
>> C'est l'endroit où certbot dépose ses fichiers de challenge, et il doit
>> être accessible depuis les serveurs de Letsencrypt.
>>
>> Dans mon NGINX, il y a :
>> location ^~ /.well-known/acme-challenge/ {
>>           default_type "text/plain";
>>           root /var/www/letsencrypt;
>>           allow all;
>> }

>>
>> C'est intégré dans tous mes sites afin de pointer vers ce répertoire,
>> avant la gestion du reste des redirections, PHP et autres...
>>
>> Bonne journée
>>
>> Dom
>>
>> Le 15/02/2022 à 07:03, Patrice Karatchentzeff a écrit :
>>> Salut,
>>>
>>> J'ai un souci un peu chaud. J'ai un certificat Let's Encrypt qui
>>> expire demain. Sur un kimsufi.
>>>
>>> Si je tente un renouvellement :
>>>
>>> # certbot renew
>>> Saving debug log to /var/log/letsencrypt/letsencrypt.log
>>>
>>> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
>>> Processing /etc/letsencrypt/renewal/XX.conf
>>> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
>>> Cert is due for renewal, auto-renewing...
>>> Plugins selected: Authenticator webroot, Installer None
>>> Renewing an existing certificate
>>> Performing the following challenges:
>>> http-01 challenge for XX.eu
>>> Waiting for verification...
>>> Cleaning up challenges
>>> Attempting to renew cert (XX.eu) from
>>> /etc/letsencrypt/renewal/XX.eu.conf produced an unexpected error:
>>> Failed authorization procedure. XX.eu (http-01):
>>> urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient
>>> authorization :: Invalid response from https://XXlogin [YY]:
>>> "<!DOCTYPE html>\n<html class=\"ng-csp\"
>>> data-placeholder-focus=\"false\" lang=\"en\" data-locale=\"en\"
>>>> \n\t<head\n data-requesttoken=\"q5M8". Skipping.
>>> All renewal attempts failed. The following certs could not be renewed:
>>>     /etc/letsencrypt/live/XX.eu/fullchain.pem (failure)

>>>
>>> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
>>>
>>> All renewal attempts failed. The following certs could not be renewed:
>>>     /etc/letsencrypt/live/XX.eu/fullchain.pem (failure)
>>> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
>>> 1 renew failure(s), 0 parse failure(s)

>>>
>>> IMPORTANT NOTES:
>>>    - The following errors were reported by the server:

>>>
>>>      Domain: XX.eu
>>>      Type:   unauthorized
>>>      Detail: Invalid response from
>>>      https:/XX.eu/login [5.135.166.107]: "<!DOCTYPE
>>>      html>\n<html class=\"ng-csp\" data-placeholder-focus=\"false\"
>>>      lang=\"en\" data-locale=\"en\" >\n\t<head\n
>>>      data-requesttoken=\"q5M8"

>>>
>>>      To fix these errors, please make sure that your domain name was
>>>      entered correctly and the DNS A/AAAA record(s) for that domain
>>>      contain(s) the right IP address.

>>>
>>> Le nom de domaine est donné par OVH (c'est le nom de la machine). La
>>> machine répond parfaitement et je peux y accéder en https sur les
>>> adresses où certbot se plaint.
>>>
>>> Une idée ?
>>>
>>> Merci
>>>
>>> PK
>>>
>>
>
>
> --
>        |\      _,,,---,,_           Patrice KARATCHENTZEFF
> ZZZzz /,`.-'`'    -.  ;-;;,_   mailto:patrice.karatchentzeff@gmail.com
>       |,4-  ) )-,_. ,\ (  `'-'
>      '---''(_/--'  `-'\_)