OK, merci.
Je ne comprends pas trop ce qui a changé depuis la mise à jour pour
que cela produise cet effet.
Si j'inverse les positions, ça ne change rien : le rewrite continue à
prendre le dessus :(
Je n'ai qu'un fichier de conf (celui de nextcloud) où j'ai toutes les
règles. Celui par défaut est vide.
PK
Le mar. 15 févr. 2022 à 08:32, Dominique Fournier
<dominique@???> a écrit :
>
> Re!
>
> Je t'invite à changer l'ordre dans la configuration, et ne surtout pas
> enlever le rewrite.
>
> Tu mets la gestion des acme-challenge AVANT la gestion de rewrite, et
> cela fonctionne.
>
> Si tu mets le acme-challenge après le rewrite, tout sera capturé par le
> rewrite et tu ne passeras jamais dans le bloc acme
>
> Dom
>
> Le 15/02/2022 à 08:24, Patrice Karatchentzeff a écrit :
> > Bonjour Dominique,
> >
> > Merci de ton aide.
> >
> > J'ai oublié de dire que le serveur tourne depuis des années et que
> > j'ai déjà renouvelé plusieurs fois le certificat. La nouveauté est que
> > j'ai dû changer de version de Debian (peut-être deux versions
> > d'affilée...) pour pouvoir mettre à jour le Nextcloud qui tourne
> > dessus.
> >
> > J'ai bien dans ma conf de nginx
> >
> > location ^~ /.well-known/acme-challenge/* {
> > allow all;
> > }
> >
> > mais précédant ce réglage :
> > location / {
> > rewrite ^ //index.php/$uri
> > }
> >
> > Jusqu'à présent, ça fonctionnait. Effectivement,
> > http://site/.well-known/acme-challenge/ renvoie à mon index.php, ce
> > qui fait échouer le certbot.
> >
> > Si je vire le rewrite, je perds le fonctionnement de mon site :(
> >
> > PK
> > Le mar. 15 févr. 2022 à 07:57, Dominique Fournier
> > <dominique@???> a écrit :
> >>
> >> Bonjour Patrice
> >>
> >> Véfifie que ta machine répond à l'adresse en
> >> http://SITE/.well-known/acme-challenge/ (SANS https et sans faire de
> >> redirection vers un CMS).
> >>
> >> C'est l'endroit où certbot dépose ses fichiers de challenge, et il doit
> >> être accessible depuis les serveurs de Letsencrypt.
> >>
> >> Dans mon NGINX, il y a :
> >> location ^~ /.well-known/acme-challenge/ {
> >> default_type "text/plain";
> >> root /var/www/letsencrypt;
> >> allow all;
> >> }
> >>
> >> C'est intégré dans tous mes sites afin de pointer vers ce répertoire,
> >> avant la gestion du reste des redirections, PHP et autres...
> >>
> >> Bonne journée
> >>
> >> Dom
> >>
> >> Le 15/02/2022 à 07:03, Patrice Karatchentzeff a écrit :
> >>> Salut,
> >>>
> >>> J'ai un souci un peu chaud. J'ai un certificat Let's Encrypt qui
> >>> expire demain. Sur un kimsufi.
> >>>
> >>> Si je tente un renouvellement :
> >>>
> >>> # certbot renew
> >>> Saving debug log to /var/log/letsencrypt/letsencrypt.log
> >>>
> >>> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
> >>> Processing /etc/letsencrypt/renewal/XX.conf
> >>> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
> >>> Cert is due for renewal, auto-renewing...
> >>> Plugins selected: Authenticator webroot, Installer None
> >>> Renewing an existing certificate
> >>> Performing the following challenges:
> >>> http-01 challenge for XX.eu
> >>> Waiting for verification...
> >>> Cleaning up challenges
> >>> Attempting to renew cert (XX.eu) from
> >>> /etc/letsencrypt/renewal/XX.eu.conf produced an unexpected error:
> >>> Failed authorization procedure. XX.eu (http-01):
> >>> urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient
> >>> authorization :: Invalid response from https://XXlogin [YY]:
> >>> "<!DOCTYPE html>\n<html class=\"ng-csp\"
> >>> data-placeholder-focus=\"false\" lang=\"en\" data-locale=\"en\"
> >>>> \n\t<head\n data-requesttoken=\"q5M8". Skipping.
> >>> All renewal attempts failed. The following certs could not be renewed:
> >>> /etc/letsencrypt/live/XX.eu/fullchain.pem (failure)
> >>>
> >>> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
> >>>
> >>> All renewal attempts failed. The following certs could not be renewed:
> >>> /etc/letsencrypt/live/XX.eu/fullchain.pem (failure)
> >>> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
> >>> 1 renew failure(s), 0 parse failure(s)
> >>>
> >>> IMPORTANT NOTES:
> >>> - The following errors were reported by the server:
> >>>
> >>> Domain: XX.eu
> >>> Type: unauthorized
> >>> Detail: Invalid response from
> >>> https:/XX.eu/login [5.135.166.107]: "<!DOCTYPE
> >>> html>\n<html class=\"ng-csp\" data-placeholder-focus=\"false\"
> >>> lang=\"en\" data-locale=\"en\" >\n\t<head\n
> >>> data-requesttoken=\"q5M8"
> >>>
> >>> To fix these errors, please make sure that your domain name was
> >>> entered correctly and the DNS A/AAAA record(s) for that domain
> >>> contain(s) the right IP address.
> >>>
> >>> Le nom de domaine est donné par OVH (c'est le nom de la machine). La
> >>> machine répond parfaitement et je peux y accéder en https sur les
> >>> adresses où certbot se plaint.
> >>>
> >>> Une idée ?
> >>>
> >>> Merci
> >>>
> >>> PK
> >>>
> >>
> >
> >
> > --
> > |\ _,,,---,,_ Patrice KARATCHENTZEFF
> > ZZZzz /,`.-'`' -. ;-;;,_ mailto:patrice.karatchentzeff@gmail.com
> > |,4- ) )-,_. ,\ ( `'-'
> > '---''(_/--' `-'\_)
--
|\ _,,,---,,_ Patrice KARATCHENTZEFF
ZZZzz /,`.-'`' -. ;-;;,_ mailto:patrice.karatchentzeff@gmail.com
|,4- ) )-,_. ,\ ( `'-'
'---''(_/--' `-'\_)
