Asustor Certificat LetsEncrypt : erreur 5019 puis 5056

S

shaks2022

Maître Jedi
Membre Confirmé
22 Février 2022
662
194
118
Bonjour

Mon NAS ne renouvellait plus son certificat + erreur dans la log ==> mon site web http/https était inaccessible ==> corrigé. ( un enregistrement AAAA en IP V6 que je n'arrive plus à ouvrir correctement sur internet apparemment.. ok après suppression du AAAA )

Je tente de renouveler le certificat : erreur 5019...
Je tombe sur ce topic : https://www.forum-nas.fr/threads/ré...e-domaine-a-atteint-sa-limite-ref-5019.17090/

Je supprime donc mon certificat . Maintenant, j'ai erreur 5056 , "le site xxxxx est invalide, assurez vous que le nom de domaine peut etre connecté avec succes en utilisant le port 80..." ... Mais il est accessible !, testé en Wifi, et en 4G depuis mon smartphone, avec curl ( curl http://mondomaine ) et ça répond ( depuis le NAS aussi ) , et ça ne veut rien savoir coté NAS quand je tente de créer le certificat....

J'ai ouvert un ticket chez Asustor ( ref : 89823 )...

A noter tout de même que j'ai reçu des mails de Letsencrypt il y a quelque temps, dans lequel ils avertissaient qu'il n'allait plus envoyer des avertissements d'expiration par mail, et il y avait un lien dedans à propos d'une nouvelle méthode de renouvellement:
Here are some actions you can take today:
Automate with an ACME Client that supports Automated Renewal Information (ARI). ARI enables us to automatically renew your certificates ahead of schedule should the need arise:
letsencrypt.org

An Engineer’s Guide to Integrating ARI into Existing ACME Clients

Following our previous post on the foundational benefits of ACME Renewal Information (ARI), this one offers a detailed technical guide for incorporating ARI into existing ACME clients. Since its introduction in March 2023, ARI has significantly enhanced the resiliency and reliability of...
letsencrypt.org

Et une autre page que j'ai trouvé dans un topic de la communauté letsencrypt histoire de comprendre un peu comment tout ceci fonctionne : https://letsencrypt.org/docs/challenge-types/
 
Appareil
AS6602T
Version du firmware
ADM 5.0.1.RKD2
shaks2022 a dit:
Bonjour

Mon NAS ne renouvellait plus son certificat + erreur dans la log ==> mon site web http/https était inaccessible ==> corrigé. ( un enregistrement AAAA en IP V6 que je n'arrive plus à ouvrir correctement sur internet apparemment.. ok après suppression du AAAA )

Je tente de renouveler le certificat : erreur 5019...
Je tombe sur ce topic : https://www.forum-nas.fr/threads/résolu-le-nombre-de-certificats-délivrés-par-lets-encrypt-pour-votre-nom-de-domaine-a-atteint-sa-limite-ref-5019.17090/

Je supprime donc mon certificat . Maintenant, j'ai erreur 5056 , "le site xxxxx est invalide, assurez vous que le nom de domaine peut etre connecté avec succes en utilisant le port 80..." ... Mais il est accessible !, testé en Wifi, et en 4G depuis mon smartphone, avec curl ( curl http://mondomaine ) et ça répond ( depuis le NAS aussi ) , et ça ne veut rien savoir coté NAS quand je tente de créer le certificat....

J'ai ouvert un ticket chez Asustor ( ref : 89823 )...

A noter tout de même que j'ai reçu des mails de Letsencrypt il y a quelque temps, dans lequel ils avertissaient qu'il n'allait plus envoyer des avertissements d'expiration par mail, et il y avait un lien dedans à propos d'une nouvelle méthode de renouvellement:
Here are some actions you can take today:
Automate with an ACME Client that supports Automated Renewal Information (ARI). ARI enables us to automatically renew your certificates ahead of schedule should the need arise:
letsencrypt.org

An Engineer’s Guide to Integrating ARI into Existing ACME Clients

Following our previous post on the foundational benefits of ACME Renewal Information (ARI), this one offers a detailed technical guide for incorporating ARI into existing ACME clients. Since its introduction in March 2023, ARI has significantly enhanced the resiliency and reliability of...
letsencrypt.org

Et une autre page que j'ai trouvé dans un topic de la communauté letsencrypt histoire de comprendre un peu comment tout ceci fonctionne : https://letsencrypt.org/docs/challenge-types/
Cliquez pour agrandir...
Je pense avoir le même problème, j'arrivais plus à en créer et à mettre à jour. j'ai désactivé mon Pare Feu et bizarrement, il a pu le faire. quelque chose bloque la création et MAJ des certificat au niveau du Firewall mais j'ai pas encore trouvé quoi exactement. par contre ça à commencé avec les dernière MAJ Système (qui améliore aussi le firewall). Surtout que, comme j'ai un site web, il a obligatoirement le port 80/443 ouvert. Je pense que cela viens plutôt du blocage geoip (genre les serveur lets'encrype = USA et USA Bloqué au firewall = pas de certificat :/ . Faudrait pouvoir ajouter en interne une exception au Firewall pour l'app Let's encrypt pour que elle ait le droit de passer outre les restriction geoip ou parefeu
 
@Kogoro : Alors là, chapeau !! ... fallait y penser.
J'ai tenté d'abord de rajouter les USA dans la whiteliste, mais ça a échoué. J'ai donc désactivé le firewall le temps de demander la création du certificat : bingo!

D'après l'IA ( Perplexity Pro ) , il semblerait que Letsencrypt possède des serveurs partout dans le monde, et que la requete de test du domaine en http peut donc provenir de n'importe où...

J'ai rajouté ta solution de contournement dans le ticket Asustor pour pas les laisser patauger pour rien, et je suis tranquille jusqu'à décembre pour attendre la solution définitive de Asustor... ( parce que ça, c'est juste un contournement ).

Encore merci pour la solution :)
 
shaks2022 a dit:
J'ai rajouté ta solution de contournement dans le ticket Asustor pour pas les laisser patauger pour rien, et je suis tranquille jusqu'à décembre pour attendre la solution définitive de Asustor... ( parce que ça, c'est juste un contournement ).
Cliquez pour agrandir...
peux-tu m'en dire plus?
pour mettre par défaut les IP de Let's Encrypt il nous faudrait les avoir toutes et qu'elles ne changent pas.
 
Dami1 a dit:
peux-tu m'en dire plus?
pour mettre par défaut les IP de Let's Encrypt il nous faudrait les avoir toutes et qu'elles ne changent pas.
Cliquez pour agrandir...
La solution de contournement, c'est de stopper le firewall le temps de créer le certificat chez letsencrypt. J'imagine que c'est pareil pour le renouveler.

Rechercher 'Quelles sont les adresses IP utilisées par Let’s Encrypt pour valider mon serveur web ?' sur https://letsencrypt.org/fr/docs/faq/
Donc c'est impossible.

Ce qui est embêtant, c'est d'être obligé d'ouvrir le serveur web principal en http, et exposer ainsi la page de login de virtualbox par exemple...
Et aussi, dans ces conditions, le geoblocage est bon pour la poubelle, vu que le firewall est commun à tous les services.
 
Je ne connais plus le nom de cette méthode
Voir ici https://www.asustor.com/fr/knowledge/detail/?
id=10&group_id=1006#:~:text=Pour%20les%20mod%C3%A8les%20NAS%20plus,g%C3%A9n%C3%A9rer%20un%20certificat%20Let's%20Encrypt.

"Pour les modèles NAS plus récents équipés d'ADM 4.0 ou d'une version ultérieure, il n'est pas nécessaire de transférer le port 80 pour générer un certificat Let's Encrypt"
 
La problématique est certainement la même avec le port 443 : bloqué par le firewall et empêchant donc création/renouvellement du certificat letsencrypt....
 
shaks2022 a dit:
La problématique est certainement la même avec le port 443 : bloqué par le firewall et empêchant donc création/renouvellement du certificat letsencrypt....
Cliquez pour agrandir...
c'est ce que je me dis aussi
de toute façon il ne faut pas nécessairement faire 443 => 443 de la box.
en faisant NAS 443 => box autre port ça fonctionnera
 
Dami1 a dit:
c'est ce que je me dis aussi
de toute façon il ne faut pas nécessairement faire 443 => 443 de la box.
en faisant NAS 443 => box autre port ça fonctionnera
Cliquez pour agrandir...
Ben non. Letsencrypt ne s'amuse pas à scanner les ports de ses clients.
Donc box autre port, ils en ont rien à faire de ton port custom externe , et en plus, le firewall bloquerait de la même façon, parce que ce qu'il regarde, c'est l'ip source. En plus, comment le fait qu'un port soit translaté par un équipement indépendant du nas aurait une influence sur ce dernier ?
En plus, j'ai précisément fait l'inverse pour me rendre visible, mon port de site web https est custom sur le nas, et c'est donc internet ==>443 ==>box ==> 4444 ==> nas

Donc je résume : le firewall a une action bloquante sur la visibilité du site web par défaut du nas, en http comme en https ce qui m'a visiblement bloqué le renouvellement puis la création du certificat chez letsencrypt , et ça n'était pas le cas dans la version précédente d'ADM qui devait apparemment se contenter de gérer le port d'admin du nas...
Pour rappel, letsencrypt valide un domaine par http01 ou dns01.
La 2ème nécessite un enregistrement txt dans le domaine , donc non ( mon domaine donc je sais ce qui est dedans, c'est sûrement ce que asustor met en œuvre pour les domaines xxx.asustor.com)
Et la 1ere exige que le site existe en http sur port 80 exclusivement.

letsencrypt.org

Types de Challenges

Lorsque vous obtenez un certificat de Let’s Encrypt, nos serveurs valident que vous contrôlez les noms de domaine dans ce certificat en utilisant des “challenges”, comme défini par la norme ACME. La plupart du temps, cette validation est traitée automatiquement par votre client ACME, mais si...
letsencrypt.org
 
Dernière édition:

DNS Challenge signifie que Myasustor.com Est Plus Facile à Utiliser​



La prise en charge de DNS Challenge pour myasustor.com facilite encore plus la connexion sécurisée à votre NAS. Le port 80 n'a plus besoin d'être transféré pour les certificats Let's Encrypt. La prise en charge d'IPv6 a également été ajoutée à myasustor.com pour une prise en charge accrue. ADM 4.2 met à jour les anciens certificats Let's Encrypt pour myasustor.com avec DNS Challenge pris en charge. Cela facilite et accélère la mise à jour des certificats."

https://www.asustor.com/admv2?type=2&subject=5&sub=22&lan=fre

Utilisation de l'HTTPS pour sécuriser les Communications du NAS - ASUSTOR NAS

Apprendre à installer un certificat HTTPS sur votre NAS et à activer l’HTTPS
www.asustor.com www.asustor.com
 
Dernière édition:
shaks2022 a dit:
Damien,
Dans le 2e lien que tu cites : Si vous souhaitez obtenir ou mettre à jour les certificats Let's Encrypt pour les domaines autres que myasustor.com ou les domaines myasustor.com utilisés dans les appareils NAS exécutant ADM 3.5 et 4.0, veuillez vous assurer que le port 80 est correctement transféré au NAS.
Et même avec un dns asustor, le domaine doit être accessible en https... La doc fait l'impasse sur ce point.
Cliquez pour agrandir...
pas compris
tu évoques les anciens firmwares (ADM 3.5 et 4.0) => port 80 oui
au delà, c'est le DNS Challenge ADM 4.1 et versions ultérieures => port 80 non nécessaire
c'est dans le doc que tu as citée sur let's encrypt de surcroît ;)
 
Non. J'ai mis en rouge le point qui coince: mon domaine dns est privé, chez Ovh.

Du coup, on fait comment dans ce cas ?

Dans le ticket, Asustor me laisse carrément tomber genre 'démerde toi et bon courage' , sauf que l'utilitaire certutil made in asustor est totalement opaque, et même si on crée un site web à part, on fait comment pour rapatrier le certificat automatiquement sur le nas ?
 
shaks2022 a dit:
Non. J'ai mis en rouge le point qui coince: mon domaine dns est privé, chez Ovh.

Du coup, on fait comment dans ce cas ?
Cliquez pour agrandir...
là le DNS Challenge ne fonctionnera pas.
Comme indiqué plus haut il faut utiliser le DDNS myasustor
shaks2022 a dit:
Dans le ticket, Asustor me laisse carrément tomber genre 'démerde toi et bon courage' , sauf que l'utilitaire certutil made in asustor est totalement opaque, et même si on crée un site web à part, on fait comment pour rapatrier le certificat automatiquement sur le nas ?
Cliquez pour agrandir...
ça n'est pas normal . Envoyez moi le numéro du ticket
 
Dami1 a dit:
là le DNS Challenge ne fonctionnera pas.
Comme indiqué plus haut il faut utiliser le DDNS myasustor

ça n'est pas normal . Envoyez moi le numéro du ticket
Cliquez pour agrandir...
Je vous ai envoyé le ticket em mp, sinon il est aussi référencé en début de discussion.

Sinon l'utilisation d'un autre dns que celui d'Asustor relève du choix personnel. Personnellement, je considère qu'un dns non représentatif d'Asustor est une mesure de sécurité importante

Un dns asustor, c'est proclamer au monde qu'on heberge notre sitre web sur un Asustor, ce qui est problématique en cas de faille 0day. Cela affaiblit en permanence la portée de la bonne démarche des ports d'administration non standards : un scan des ports sur les url xxx.asustor.com, c'est bien plus envisageable que sur les url du monde entier au pif....
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour