Re: renouvellement de certificat

Top Page

Reply to this message
Author: Patrice Karatchentzeff
Date:  
To: Dominique Fournier
CC: GUILDE
Subject: Re: renouvellement de certificat
OK, merci.

Je ne comprends pas trop ce qui a changé depuis la mise à jour pour
que cela produise cet effet.

Si j'inverse les positions, ça ne change rien : le rewrite continue à
prendre le dessus :(

Je n'ai qu'un fichier de conf (celui de nextcloud) où j'ai toutes les
règles. Celui par défaut est vide.

PK

Le mar. 15 févr. 2022 à 08:32, Dominique Fournier
<dominique@???> a écrit :
>
> Re!
>
> Je t'invite à changer l'ordre dans la configuration, et ne surtout pas
> enlever le rewrite.
>
> Tu mets la gestion des acme-challenge AVANT la gestion de rewrite, et
> cela fonctionne.
>
> Si tu mets le acme-challenge après le rewrite, tout sera capturé par le
> rewrite et tu ne passeras jamais dans le bloc acme
>
> Dom
>
> Le 15/02/2022 à 08:24, Patrice Karatchentzeff a écrit :
> > Bonjour Dominique,
> >
> > Merci de ton aide.
> >
> > J'ai oublié de dire que le serveur tourne depuis des années et que
> > j'ai déjà renouvelé plusieurs fois le certificat. La nouveauté est que
> > j'ai dû changer de version de Debian (peut-être deux versions
> > d'affilée...) pour pouvoir mettre à jour le Nextcloud qui tourne
> > dessus.
> >
> > J'ai bien dans ma conf de nginx
> >
> > location ^~ /.well-known/acme-challenge/* {
> >           allow all;
> > }

> >
> > mais précédant ce réglage :
> > location / {
> >        rewrite ^ //index.php/$uri
> > }

> >
> > Jusqu'à présent, ça fonctionnait. Effectivement,
> > http://site/.well-known/acme-challenge/ renvoie à mon index.php, ce
> > qui fait échouer le certbot.
> >
> > Si je vire le rewrite, je perds le fonctionnement de mon site :(
> >
> > PK
> > Le mar. 15 févr. 2022 à 07:57, Dominique Fournier
> > <dominique@???> a écrit :
> >>
> >> Bonjour Patrice
> >>
> >> Véfifie que ta machine répond à l'adresse en
> >> http://SITE/.well-known/acme-challenge/ (SANS https et sans faire de
> >> redirection vers un CMS).
> >>
> >> C'est l'endroit où certbot dépose ses fichiers de challenge, et il doit
> >> être accessible depuis les serveurs de Letsencrypt.
> >>
> >> Dans mon NGINX, il y a :
> >> location ^~ /.well-known/acme-challenge/ {
> >>           default_type "text/plain";
> >>           root /var/www/letsencrypt;
> >>           allow all;
> >> }

> >>
> >> C'est intégré dans tous mes sites afin de pointer vers ce répertoire,
> >> avant la gestion du reste des redirections, PHP et autres...
> >>
> >> Bonne journée
> >>
> >> Dom
> >>
> >> Le 15/02/2022 à 07:03, Patrice Karatchentzeff a écrit :
> >>> Salut,
> >>>
> >>> J'ai un souci un peu chaud. J'ai un certificat Let's Encrypt qui
> >>> expire demain. Sur un kimsufi.
> >>>
> >>> Si je tente un renouvellement :
> >>>
> >>> # certbot renew
> >>> Saving debug log to /var/log/letsencrypt/letsencrypt.log
> >>>
> >>> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
> >>> Processing /etc/letsencrypt/renewal/XX.conf
> >>> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
> >>> Cert is due for renewal, auto-renewing...
> >>> Plugins selected: Authenticator webroot, Installer None
> >>> Renewing an existing certificate
> >>> Performing the following challenges:
> >>> http-01 challenge for XX.eu
> >>> Waiting for verification...
> >>> Cleaning up challenges
> >>> Attempting to renew cert (XX.eu) from
> >>> /etc/letsencrypt/renewal/XX.eu.conf produced an unexpected error:
> >>> Failed authorization procedure. XX.eu (http-01):
> >>> urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient
> >>> authorization :: Invalid response from https://XXlogin [YY]:
> >>> "<!DOCTYPE html>\n<html class=\"ng-csp\"
> >>> data-placeholder-focus=\"false\" lang=\"en\" data-locale=\"en\"
> >>>> \n\t<head\n data-requesttoken=\"q5M8". Skipping.
> >>> All renewal attempts failed. The following certs could not be renewed:
> >>>     /etc/letsencrypt/live/XX.eu/fullchain.pem (failure)

> >>>
> >>> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
> >>>
> >>> All renewal attempts failed. The following certs could not be renewed:
> >>>     /etc/letsencrypt/live/XX.eu/fullchain.pem (failure)
> >>> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
> >>> 1 renew failure(s), 0 parse failure(s)

> >>>
> >>> IMPORTANT NOTES:
> >>>    - The following errors were reported by the server:

> >>>
> >>>      Domain: XX.eu
> >>>      Type:   unauthorized
> >>>      Detail: Invalid response from
> >>>      https:/XX.eu/login [5.135.166.107]: "<!DOCTYPE
> >>>      html>\n<html class=\"ng-csp\" data-placeholder-focus=\"false\"
> >>>      lang=\"en\" data-locale=\"en\" >\n\t<head\n
> >>>      data-requesttoken=\"q5M8"

> >>>
> >>>      To fix these errors, please make sure that your domain name was
> >>>      entered correctly and the DNS A/AAAA record(s) for that domain
> >>>      contain(s) the right IP address.

> >>>
> >>> Le nom de domaine est donné par OVH (c'est le nom de la machine). La
> >>> machine répond parfaitement et je peux y accéder en https sur les
> >>> adresses où certbot se plaint.
> >>>
> >>> Une idée ?
> >>>
> >>> Merci
> >>>
> >>> PK
> >>>
> >>
> >
> >
> > --
> >        |\      _,,,---,,_           Patrice KARATCHENTZEFF
> > ZZZzz /,`.-'`'    -.  ;-;;,_   mailto:patrice.karatchentzeff@gmail.com
> >       |,4-  ) )-,_. ,\ (  `'-'
> >      '---''(_/--'  `-'\_)




-- 
      |\      _,,,---,,_           Patrice KARATCHENTZEFF
ZZZzz /,`.-'`'    -.  ;-;;,_   mailto:patrice.karatchentzeff@gmail.com
     |,4-  ) )-,_. ,\ (  `'-'
    '---''(_/--'  `-'\_)