Bonjour bonne année à tous
Encore une fois, je fais appel à vos lumières pour un nouveau problème.
Un peu de contexte tout d'abord :
Je possède une installation jeedom sur un RBPI 3. Ayant hérité de l'installation lors de l'achat de la maison il y a 18 mois, je suis novice en ce domaine car elle fonctionnait bien jusqu"à maintenant, vous m'excuserez donc par avance de mes questions bêtes
Je pouvais y accéder à distance via https sans soucis.
Mais depuis la fin de l'année dernière, j'ai une erreur de certificat lors de l'accès https suite au non renouvellement automatique de mon certificat Letsencrypt. Depuis, impossible non plus de dialoguer via Télégram mais cela doit être lié.
Après une première analyse :
- c'est le renouvellement automatique que a échoué alors qu'il se faisait bien depuis des mois
- je ne pense pas avoir modifié de configuration sur ma freebox et mon routeur
- mon nom de domaine est toujours valable (vérifié auprès de changeip)
- je ne suis en pas en IPV6 et je n'ai pas d'enregistrement AAAA au niveau de mon DNS
Voici le message d'erreur :
Processing /etc/letsencrypt/renewal/XXXX-YYYY.com.conf (j'ai remplacé mon nom de domaine par sécurité)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/XXXX-YYYY.com/fullchain.pem (failure)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
IMPORTANT NOTES:
- The following errors were reported by the server:
Domain: domo-pla31.myddns.com
Type: connection
Detail: Fetching
http://XXXX-YYYY.com/.well-known/acme-c ... IhBgxng_UE:
Timeout during connect (likely firewall problem)
To fix these errors, please make sure that your domain name was entered correctly and the DNS A/AAAA record(s) for that domain contain(s) the right IP address. Additionally, please check that your computer has a publicly routable IP address and that no firewalls are preventing the server from communicating with the client. If you're using the webroot plugin, you should also verify that you are serving files from the webroot path you provided.
Voici ma conf
# renew_before_expiry = 30 days
version = 0.27.1
archive_dir = /etc/letsencrypt/archive/dXXXX-YYYY.com.com
cert = /etc/letsencrypt/live/XXXX-YYYY.com.com/cert.pem
privkey = /etc/letsencrypt/live/XXXX-YYYY.com.com/privkey.pem
chain = /etc/letsencrypt/live/XXXX-YYYY.com.com/chain.pem
fullchain = /etc/letsencrypt/live/XXXX-YYYY.com.com/fullchain.pem
# Options used in the renewal process
[renewalparams]
authenticator = apache
installer = apache
account = 606bf30e5XXXXXXXXXXXXXXb59a431eb (j'ai masqué aussi avec des X ne sachant pas si cette données est sensible )
server = https://acme-v02.api.letsencrypt.org/directory
Après avoir lu des dizaines de posts sur le sujet, je n'arrive pas à trouver d'où cela peut provenir.
En attendant, je peux accéder tout de même à jeedom à distant en repassant en http mais cela n'est pas normal et ne résout pas mon souci de Telegram.
Quelqu'un a-t-il déjà eu ce pb ? Avez vous une méthodologie pour comprendre l'origine de ce pb ?
D'avance merci pour votre aide.
[RESOLU] Timeout sur renouvellement certificat Letsencrypt
[RESOLU] Timeout sur renouvellement certificat Letsencrypt
Dernière édition par pap_coni le 07 janv. 2019, 08:25, édité 1 fois.
Re: Timeout sur renouvellement certificat Letsencrypt
Rebonjour,
depuis ma question, j'ai le support de Letsencrypt qui m'a répondu ceci :
A recent Certbot update switched to performing validation on port 80 by default instead of port 443 (in preparation for the upcoming removal of the old TLS-SNI-01 challenge by the CA).
Your server is currently not externally reachable on port 80. If you can fix that, the renewal should work again as before.
If you can’t, there are two alternatives:
Switch to DNS authentication (if your DNS provider has an API allowing automated updates)
Switch to the new TLS-ALPN-01 validation method, which works on port 443 (this is not supported by Certbot yet but is supported by some other clients -https://community.letsencrypt.org/t/whi ... u=jmorahan ).
-> J'ai donc autorisé mon port 80 à extérieur sur ma freebox et mon routeur et le renouvellement s'est correctement déroulé.
-> Depuis, tout est OK (y compris Telegram)
J'ai refermé le port depuis et je vais chercher un moyen de ne l'ouvrir que pour le renouvellement car j'ai lu que ce n'était pas top de le laisser ouvert en permanence. En attendant que certbot soit compatible au nouveau TLS-ALPS-01.
Voilà, je partage donc pour faire profiter tout le monde car en l'absence de mail informatif de Letsencrypt, d'autres ont eu peut-être le même soucis.
depuis ma question, j'ai le support de Letsencrypt qui m'a répondu ceci :
A recent Certbot update switched to performing validation on port 80 by default instead of port 443 (in preparation for the upcoming removal of the old TLS-SNI-01 challenge by the CA).
Your server is currently not externally reachable on port 80. If you can fix that, the renewal should work again as before.
If you can’t, there are two alternatives:
Switch to DNS authentication (if your DNS provider has an API allowing automated updates)
Switch to the new TLS-ALPN-01 validation method, which works on port 443 (this is not supported by Certbot yet but is supported by some other clients -https://community.letsencrypt.org/t/whi ... u=jmorahan ).
-> J'ai donc autorisé mon port 80 à extérieur sur ma freebox et mon routeur et le renouvellement s'est correctement déroulé.
-> Depuis, tout est OK (y compris Telegram)
J'ai refermé le port depuis et je vais chercher un moyen de ne l'ouvrir que pour le renouvellement car j'ai lu que ce n'était pas top de le laisser ouvert en permanence. En attendant que certbot soit compatible au nouveau TLS-ALPS-01.
Voilà, je partage donc pour faire profiter tout le monde car en l'absence de mail informatif de Letsencrypt, d'autres ont eu peut-être le même soucis.
- maxredphenix
- Actif
- Messages : 539
- Inscription : 18 sept. 2015, 21:36
- Localisation : Bourgogne
Re: [RESOLU] Timeout sur renouvellement certificat Letsencrypt
Bonjour,
Merci pour l'info !!!
Merci pour l'info !!!
DIY Intel NUC i5 7Gen(via Proxmox) - Jeedom 3.2.
IPX800 v4 + 2 modules X-4FP
Détecteur fuite d'eau + fumée fibaro
Divers modules Zwave
IPX800 v4 + 2 modules X-4FP
Détecteur fuite d'eau + fumée fibaro
Divers modules Zwave
Re: [RESOLU] Timeout sur renouvellement certificat Letsencrypt
'Jour
Juste pour info c'est dans la doc de Jeedom https://jeedom.github.io/documentation/ ... e_en_place
Juste pour info c'est dans la doc de Jeedom https://jeedom.github.io/documentation/ ... e_en_place
Re: [RESOLU] Timeout sur renouvellement certificat Letsencrypt
Merci pour le lien vers la doc, si je l'avais vu, j'aurais effectivement gagné du temps, tout y est clairement décrit !
Qui est en ligne ?
Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 18 invités