Re: renouvellement de certificat

Top Page

Reply to this message
Author: Patrice Karatchentzeff
Date:  
To: Dominique Fournier
CC: GUILDE
Subject: Re: renouvellement de certificat
Ce qui est drôle est que je viens de me rendre compte que j'avais
automatisé les choses dans une crontab. C'est bien une mise à jour qui
a changé quelque chose (où une retouche de mon fichier de conf de
nginx que j'ai dû modifier pour nextcloud. Je me souviens avoir ajouté
des headers : c'est tout).

donc a priori je suspecterais un changement de comportement de nginx
(mais bon, ça parait bizarre quand même...)

PK

Le mar. 15 févr. 2022 à 08:43, Patrice Karatchentzeff
<patrice.karatchentzeff@???> a écrit :
>
> OK, merci.
>
> Je ne comprends pas trop ce qui a changé depuis la mise à jour pour
> que cela produise cet effet.
>
> Si j'inverse les positions, ça ne change rien : le rewrite continue à
> prendre le dessus :(
>
> Je n'ai qu'un fichier de conf (celui de nextcloud) où j'ai toutes les
> règles. Celui par défaut est vide.
>
> PK
>
> Le mar. 15 févr. 2022 à 08:32, Dominique Fournier
> <dominique@???> a écrit :
> >
> > Re!
> >
> > Je t'invite à changer l'ordre dans la configuration, et ne surtout pas
> > enlever le rewrite.
> >
> > Tu mets la gestion des acme-challenge AVANT la gestion de rewrite, et
> > cela fonctionne.
> >
> > Si tu mets le acme-challenge après le rewrite, tout sera capturé par le
> > rewrite et tu ne passeras jamais dans le bloc acme
> >
> > Dom
> >
> > Le 15/02/2022 à 08:24, Patrice Karatchentzeff a écrit :
> > > Bonjour Dominique,
> > >
> > > Merci de ton aide.
> > >
> > > J'ai oublié de dire que le serveur tourne depuis des années et que
> > > j'ai déjà renouvelé plusieurs fois le certificat. La nouveauté est que
> > > j'ai dû changer de version de Debian (peut-être deux versions
> > > d'affilée...) pour pouvoir mettre à jour le Nextcloud qui tourne
> > > dessus.
> > >
> > > J'ai bien dans ma conf de nginx
> > >
> > > location ^~ /.well-known/acme-challenge/* {
> > >           allow all;
> > > }

> > >
> > > mais précédant ce réglage :
> > > location / {
> > >        rewrite ^ //index.php/$uri
> > > }

> > >
> > > Jusqu'à présent, ça fonctionnait. Effectivement,
> > > http://site/.well-known/acme-challenge/ renvoie à mon index.php, ce
> > > qui fait échouer le certbot.
> > >
> > > Si je vire le rewrite, je perds le fonctionnement de mon site :(
> > >
> > > PK
> > > Le mar. 15 févr. 2022 à 07:57, Dominique Fournier
> > > <dominique@???> a écrit :
> > >>
> > >> Bonjour Patrice
> > >>
> > >> Véfifie que ta machine répond à l'adresse en
> > >> http://SITE/.well-known/acme-challenge/ (SANS https et sans faire de
> > >> redirection vers un CMS).
> > >>
> > >> C'est l'endroit où certbot dépose ses fichiers de challenge, et il doit
> > >> être accessible depuis les serveurs de Letsencrypt.
> > >>
> > >> Dans mon NGINX, il y a :
> > >> location ^~ /.well-known/acme-challenge/ {
> > >>           default_type "text/plain";
> > >>           root /var/www/letsencrypt;
> > >>           allow all;
> > >> }

> > >>
> > >> C'est intégré dans tous mes sites afin de pointer vers ce répertoire,
> > >> avant la gestion du reste des redirections, PHP et autres...
> > >>
> > >> Bonne journée
> > >>
> > >> Dom
> > >>
> > >> Le 15/02/2022 à 07:03, Patrice Karatchentzeff a écrit :
> > >>> Salut,
> > >>>
> > >>> J'ai un souci un peu chaud. J'ai un certificat Let's Encrypt qui
> > >>> expire demain. Sur un kimsufi.
> > >>>
> > >>> Si je tente un renouvellement :
> > >>>
> > >>> # certbot renew
> > >>> Saving debug log to /var/log/letsencrypt/letsencrypt.log
> > >>>
> > >>> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
> > >>> Processing /etc/letsencrypt/renewal/XX.conf
> > >>> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
> > >>> Cert is due for renewal, auto-renewing...
> > >>> Plugins selected: Authenticator webroot, Installer None
> > >>> Renewing an existing certificate
> > >>> Performing the following challenges:
> > >>> http-01 challenge for XX.eu
> > >>> Waiting for verification...
> > >>> Cleaning up challenges
> > >>> Attempting to renew cert (XX.eu) from
> > >>> /etc/letsencrypt/renewal/XX.eu.conf produced an unexpected error:
> > >>> Failed authorization procedure. XX.eu (http-01):
> > >>> urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient
> > >>> authorization :: Invalid response from https://XXlogin [YY]:
> > >>> "<!DOCTYPE html>\n<html class=\"ng-csp\"
> > >>> data-placeholder-focus=\"false\" lang=\"en\" data-locale=\"en\"
> > >>>> \n\t<head\n data-requesttoken=\"q5M8". Skipping.
> > >>> All renewal attempts failed. The following certs could not be renewed:
> > >>>     /etc/letsencrypt/live/XX.eu/fullchain.pem (failure)

> > >>>
> > >>> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
> > >>>
> > >>> All renewal attempts failed. The following certs could not be renewed:
> > >>>     /etc/letsencrypt/live/XX.eu/fullchain.pem (failure)
> > >>> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
> > >>> 1 renew failure(s), 0 parse failure(s)

> > >>>
> > >>> IMPORTANT NOTES:
> > >>>    - The following errors were reported by the server:

> > >>>
> > >>>      Domain: XX.eu
> > >>>      Type:   unauthorized
> > >>>      Detail: Invalid response from
> > >>>      https:/XX.eu/login [5.135.166.107]: "<!DOCTYPE
> > >>>      html>\n<html class=\"ng-csp\" data-placeholder-focus=\"false\"
> > >>>      lang=\"en\" data-locale=\"en\" >\n\t<head\n
> > >>>      data-requesttoken=\"q5M8"

> > >>>
> > >>>      To fix these errors, please make sure that your domain name was
> > >>>      entered correctly and the DNS A/AAAA record(s) for that domain
> > >>>      contain(s) the right IP address.

> > >>>
> > >>> Le nom de domaine est donné par OVH (c'est le nom de la machine). La
> > >>> machine répond parfaitement et je peux y accéder en https sur les
> > >>> adresses où certbot se plaint.
> > >>>
> > >>> Une idée ?
> > >>>
> > >>> Merci
> > >>>
> > >>> PK
> > >>>
> > >>
> > >
> > >
> > > --
> > >        |\      _,,,---,,_           Patrice KARATCHENTZEFF
> > > ZZZzz /,`.-'`'    -.  ;-;;,_   mailto:patrice.karatchentzeff@gmail.com
> > >       |,4-  ) )-,_. ,\ (  `'-'
> > >      '---''(_/--'  `-'\_)

>
>
>
> --
>       |\      _,,,---,,_           Patrice KARATCHENTZEFF
> ZZZzz /,`.-'`'    -.  ;-;;,_   mailto:patrice.karatchentzeff@gmail.com
>      |,4-  ) )-,_. ,\ (  `'-'
>     '---''(_/--'  `-'\_)




-- 
      |\      _,,,---,,_           Patrice KARATCHENTZEFF
ZZZzz /,`.-'`'    -.  ;-;;,_   mailto:patrice.karatchentzeff@gmail.com
     |,4-  ) )-,_. ,\ (  `'-'
    '---''(_/--'  `-'\_)