Asustor Certificat LetsEncrypt : erreur 5019 puis 5056
- Auteur du sujet shaks2022
- Date de début
3 mois après rebelotte !!
> ENCORE la notification qui signale que le domaine ne peut pas se renouveller automatiquement.
> ENCORE error 5019 sur une tentative manuelle.
> ENCORE : resolution OK si on DESACTIVE le firewall le temps de RECREER le certificat ( hors asustor.com ).
fatigant...,
nouveau ticket 93553 ( forcément 3 mois après, le précédent est archivé... ) .... A quelle résolution en carton vais-je avoir droit cette fois ci ? ( la derniere fois : soi disant qu'un reboot réglait le soucis... )
Firmware 5.1.2.REO1 installé 48H00 auparavant... je ne sais pas quel bug concernant les certificats ce nouveau firmware résoud, mais c'est pas celui-là...
> ENCORE la notification qui signale que le domaine ne peut pas se renouveller automatiquement.
> ENCORE error 5019 sur une tentative manuelle.
> ENCORE : resolution OK si on DESACTIVE le firewall le temps de RECREER le certificat ( hors asustor.com ).
fatigant...,
nouveau ticket 93553 ( forcément 3 mois après, le précédent est archivé... ) .... A quelle résolution en carton vais-je avoir droit cette fois ci ? ( la derniere fois : soi disant qu'un reboot réglait le soucis... )
Firmware 5.1.2.REO1 installé 48H00 auparavant... je ne sais pas quel bug concernant les certificats ce nouveau firmware résoud, mais c'est pas celui-là...
"je ne sais pas quel bug concernant les certificats ce nouveau firmware résoud, mais c'est pas celui-là..."
=> Correction de l'application des certificats Let's Encrypt.
mon firewall est réglé uniquement sur France et ça passe crème.
Qui a le même souci que @shaks2022 ? pourrais-je avoir les numéros de ticket?
=> Correction de l'application des certificats Let's Encrypt.
mon firewall est réglé uniquement sur France et ça passe crème.
Qui a le même souci que @shaks2022 ? pourrais-je avoir les numéros de ticket?
En attendant , la réponse du support :
Reply by
Victor Sa
»
3 days ago
Je comprends. Très souvent, le pare-feu empêche la connexion aux serveurs, ce qui peut donc provoquer des échecs.
Comment dire .....
Reply by
Victor Sa
»
3 days ago
Je comprends. Très souvent, le pare-feu empêche la connexion aux serveurs, ce qui peut donc provoquer des échecs.
Comment dire .....
Beaucoup de temps à couler mais je dois toujours désactiver mon firewall pour mettre à jour le certificat.
Bonjour
@Dami1 : le souci ici, c'est qu'il s'agit d'un incident qui arrive tous les 3 mois. Le support ferme le ticket bien avant ça , et de mon expérience sur ce sujet, les solutions proposées sortent directement des organigrammes de résolution standards ( pas rebooté --> rebooter , pas a jour ? ...etc.. ) sans engagement . Même toi, tu nous fait le coup du 'ça marche chez moi'... Usant...
Les symptômes decrits sont pourtant explicites : le renouvellement ne fonctionne que si on désactive le firewall ...
Pour le moment , j'ai laissé tomber . J'ai regardé le paramètrage, et il y a tellement de facteurs qui peuvent rentrer en compte : activation ou pas des listes grises , noires, etc..., activation des protocoles , case 'docker' qui débarque sans aucune explication à la clé , etc....
Je me contente donc d'attendre le message d'injure du nas et de renouveler manuellement en coupant le firewall quelques minutes ...
@Dami1 : le souci ici, c'est qu'il s'agit d'un incident qui arrive tous les 3 mois. Le support ferme le ticket bien avant ça , et de mon expérience sur ce sujet, les solutions proposées sortent directement des organigrammes de résolution standards ( pas rebooté --> rebooter , pas a jour ? ...etc.. ) sans engagement . Même toi, tu nous fait le coup du 'ça marche chez moi'... Usant...
Les symptômes decrits sont pourtant explicites : le renouvellement ne fonctionne que si on désactive le firewall ...
Pour le moment , j'ai laissé tomber . J'ai regardé le paramètrage, et il y a tellement de facteurs qui peuvent rentrer en compte : activation ou pas des listes grises , noires, etc..., activation des protocoles , case 'docker' qui débarque sans aucune explication à la clé , etc....
Je me contente donc d'attendre le message d'injure du nas et de renouveler manuellement en coupant le firewall quelques minutes ...
salut @shaks2022
les tickets se ferment automatiquement en cas de non activité. ça n'est pas un choix du collègue.
quand je dis ça marche chez moi => je m'exprime mal car oui je réponds de chez moi.
mais je regarde si souci chez let's encrypt et je teste depuis une de nos machines similaires à celle du client => si ça marche sur une config classique peut être qu'il y a une règle à ajouter au firewall. j'imagine que ça a été évoqué avec toi?
Tous les 3 mois = c'est normal. c'est le cycle normal de renouvellement d'un certificat let's encrypt. ça n'est pas un délai imposé par ASUSTOR
je n'ai pas l'historique de tous les échanges avec mes collègues et pas d'info sur ton setup
néanmoins mes MP sont ouvert si tu veux discuter
bien à toi
les tickets se ferment automatiquement en cas de non activité. ça n'est pas un choix du collègue.
quand je dis ça marche chez moi => je m'exprime mal car oui je réponds de chez moi.
mais je regarde si souci chez let's encrypt et je teste depuis une de nos machines similaires à celle du client => si ça marche sur une config classique peut être qu'il y a une règle à ajouter au firewall. j'imagine que ça a été évoqué avec toi?
Tous les 3 mois = c'est normal. c'est le cycle normal de renouvellement d'un certificat let's encrypt. ça n'est pas un délai imposé par ASUSTOR
je n'ai pas l'historique de tous les échanges avec mes collègues et pas d'info sur ton setup
néanmoins mes MP sont ouvert si tu veux discuter
bien à toi
Bonjour .
Je viens de faire tilt sur ce message .
J'ai effectivement activé la liste grise avec une inscription chez abuseipdb.
J'ai mis le curseur à 40%..
D'un autre côté , dans le paramètre 'liste des services à bloquer ', ya pas http / https ..' c'est parce que c'est pas gerable en liste grise , ou c'est parce que c'est géré de force ?
Ceux qui ont des soucis / pas de soucis , vous utilisez la liste grise ?
En tout cas , j'ai le souci en ce moment , avec un message d'erreur chaque nuit à minuit .
bonjour
Donc, dans le journal d’évènements, tous les jours à minuit et quelques secondes : [Certificate manager] Authentication for <MON DOMAINE en .ovh> failed
Ce qui correspond à cette ligne dans la crontab :
0 0 * * * TAG=CERTIFICATE /usr/builtin/bin/certificate update-cert
C'est initialement suite à ces messages que je tente un update manuel.
Et c'est lors de la tentative manuelle de renouvellement, que je choppe un code d'erreur 5401 ( tenté à l'instant ).
Nouveauté : je désactive la liste grise + 2eme tentative ==> même erreur 5401.
Reste donc la liste noire : une liste de pays en autoriser ( dont la France ) , puis refuser tout, case docker cochée pour tout ça.
Bon, une fois de plus : désactivation du Firewall , renouveller : echec 5019 ( trop de tentative... Avec ce que j'ai testé avant, c'est pas étonnant ).
Donc suppression du certificat, recréation du certificat ( avec à chaque fois, perte de la connexion, puis alerte firefox ) ==> réussite .. et plus qu'à redémarrer le firewall...
Là, j'ai fait un enregistrement manuel des paquets ( export TCAP et TXT ) lors du refus, puis un autre lors de la réussite... Reste à savoir si ça peut faire avancer le soucis.
Donc, dans le journal d’évènements, tous les jours à minuit et quelques secondes : [Certificate manager] Authentication for <MON DOMAINE en .ovh> failed
Ce qui correspond à cette ligne dans la crontab :
0 0 * * * TAG=CERTIFICATE /usr/builtin/bin/certificate update-cert
C'est initialement suite à ces messages que je tente un update manuel.
Et c'est lors de la tentative manuelle de renouvellement, que je choppe un code d'erreur 5401 ( tenté à l'instant ).
Nouveauté : je désactive la liste grise + 2eme tentative ==> même erreur 5401.
Reste donc la liste noire : une liste de pays en autoriser ( dont la France ) , puis refuser tout, case docker cochée pour tout ça.
Bon, une fois de plus : désactivation du Firewall , renouveller : echec 5019 ( trop de tentative... Avec ce que j'ai testé avant, c'est pas étonnant ).
Donc suppression du certificat, recréation du certificat ( avec à chaque fois, perte de la connexion, puis alerte firefox ) ==> réussite .. et plus qu'à redémarrer le firewall...
Là, j'ai fait un enregistrement manuel des paquets ( export TCAP et TXT ) lors du refus, puis un autre lors de la réussite... Reste à savoir si ça peut faire avancer le soucis.
tu as bien mis ce qui est autorisé en haut du firewall et en bas ce qui est refusé? certains mettent autorisé/refusé/autorisé => le dernier autorisé ne passe pas.
après faudrait avoir les serveurs let's encrypt et voir où ils sont hébergés.
mais comme toi (et c'est ça qui me chagrine) j'ai fermé mon NAS hors France et pourtant le renouvellement du certif est ok
bizarre
après faudrait avoir les serveurs let's encrypt et voir où ils sont hébergés.
mais comme toi (et c'est ça qui me chagrine) j'ai fermé mon NAS hors France et pourtant le renouvellement du certif est ok
bizarre
fais le test avec un certificat ASUSTOR et si tu as le même souci envoie moi ton enregistrement de santé du NAS par mp
Encore et toujours le problème. MAJ certificat échoué à minuit chaque jour depuis qu'il tente de le renouveler. Désactivation du pare-feu, clic sur "renouveler" et pouf, ça marche . Bizarre que aucun problème chez les autres. Oui les réglages sont assez restrictifs mais mon site web et autres services marchent donc le problème est ailleurs. Le pare feu laisse pas passer les demande de renouvellement peut être.
Bonjour.
Création du certificat "monID".myasustor.com , réussite du 1er coup, juste apres l'update du NAS , et APRES avoir relancé mes 2 VM et Immich ( je dis ça par rapport à la tentative du support d'imputer les soucis de renouvellement à un manque de RAM... ), et avec le firewall activé , cela va de soi.
Maintenant, comme déjà écrit, et retrouvé également ici : https://www.asustor.com/fr/online/College_topic?topic=324#hs32 , la page http en 80 est OBLIGATOIRE si on veut enregistrer un certificat autre que myasustor.com, et INUTILE dans le cas contraire.
D'ailleurs, si il fallait une preuve supplémentaire que la certification se fait de façon totalement différente pour myasustor.com : comment aurais-je pu sinon créer un 2eme certificat pour le même NAS alors que letsencrypt n'en autorise qu'un seul ? c'est parce que l'IP locale via le site web n'est pas vérifiée avec myasustor.com
Et ma page web http:xxx:80 est toujours en ligne ( juste le message : device online, pas la page par défaut de Asustor, j'ai pas envie de clamer à la terre entière que j'utilise un NAS Asustor, c'est d'ailleurs précisément pour ça que je n'utilise pas myasustor.com... )
@Kogoro : tu crois qu'on est combien à utiliser des certificats pour des url en dehors de myasustor.com ?
Dernière édition: