Let’sEncrypt : des erreurs dans le journal liées à SSL (ou à autre chose)?

Bonjour J’avais initialement fait état de mon problème dans ce sujet, mais il m’a été suggéré d’en ouvrir un tout neuf.
Voici l’erreur que le journal de Lets’Crypt me renvoie:

Requesting a certificate for ndd.ovh

Certbot failed to authenticate some domains (authenticator: standalone). The Certificate Authority reported these problems:
  Domain: ha.ndd.ovh
  Type:   unauthorized
  Detail: The key authorization file from the server did not match this challenge. Expected "hkiwkkP17-ZqTCAlHIpiHHvBW-CRrD4s5jZYsjoH7P8.qr_is5wTV2xKP1hE_wZUeiLO-NLxlHTfU1X9-3flLfc" (got "hkiwkkP17-ZqTCAlHIpiHHvBW-CRrD4s5jZYsjoH7P8.4E3VCTFsySjUrqnCg0ooULx-3kbdPBygi0aWkvg5Gd8")

Chez OVH mon sous-domaine est bien redirigé vers l’IP de mon serveur HA

OVHcloud - Google Chrome717×262 31.2 KB

Archer C7 - Google Chrome710×276 38.2 KB

Pour Let’s encrypt, tu devrais avoir 80 vers 80 (au lieu de 80 vers 8123).
De plus avec OVH, tu n’es pas obligé d’ouvrir tes ports si tu utilises DNS Challenge au lieu de HTTP Challenge.

• j’ai fermé tous les ports
• je me suis mis en DNS dans Let’sEncrypt

Mais j’ai une autre erreur maintenant :

[12:58:23] INFO: Detecting existing certificate type for ha.ndd.ovh
Saving debug log to /var/log/letsencrypt/letsencrypt.log
[12:58:26] INFO: No certificate found - using 'ecdsa' key type.
usage: 
  certbot [SUBCOMMAND] [options] [-d DOMAIN] [-d DOMAIN] ...

Certbot can obtain and install HTTPS/TLS/SSL certificates.  By default,
it will attempt to use a webserver both for obtaining and installing the
certificate. 
certbot: error: unrecognized arguments: --null --null-credentials /data/dnsapikey
s6-rc: info: service legacy-services: stopping
s6-rc: info: service legacy-services successfully stopped
s6-rc: info: service legacy-cont-init: stopping
s6-rc: info: service legacy-cont-init successfully stopped
s6-rc: info: service fix-attrs: stopping
s6-rc: info: service fix-attrs successfully stopped
s6-rc: info: service s6rc-oneshot-runner: stopping
s6-rc: info: service s6rc-oneshot-runner successfully stopped

Voilà donc…

Tu es certain de la config de l’addon LE ? Pour moi, soit il est pas correct/mal ecrit

Le voilà :

domains:
  - ha.ndd.ovh
email: me@gmail.com
keyfile: privkey.pem
certfile: fullchain.pem
challenge: dns
dns: {}

Il ne suffit pas de sélectionner dns. Il faut aussi configurer.

image1064×659 24 KB

Tu dois obtenir une clé pour l’API d’OVH : Premiers pas avec les API OVHcloud - OVHcloud

D’accord d’accord…
J’y suis. Dans Restricted IPs qu’as tu mis ?

Rien, car j’ai une IP dynamique.
Mais tu peux mettre ton adresse IP publique si elle est statique.

Grâce à toi je progresse, sauf que (en ne mettant pas d4IP) :

Error determining zone identifier for ha.ndd.ovh: 403 Client Error: Forbidden for url: https://eu.api.ovh.com/1.0/domain/zone/. (Are your Application Key and Consumer Key values correct?)

C’est pareil en refaisant une clé avec mon adresse IP statique.

Comment as-tu créé ta clé ?

J’ai fait comme ça :

image528×741 24.3 KB

Bon… je m’y recolle.
…
J’ai fait tout comme toi.
Eh bien, je crois que maintenant ça coince chez OVH en fait.
Dans le lien que m’avais passé pour piger les API d’OVHcloud il y avait ce lien https://www.zonemaster.net/ où j’ai lancé la vérification de l’accessibilité de mon domaine (pas du sous-domaine) et voici les erreurs que j’obtiens (attention ça pique les yeux) :

ndd.ovh · Zonemaster - Google Chrome1299×521 111 KB

Quelles erreurs ??? Je ne vois que des warnings
Rien de grave ce n’est pas ça qui pose problème.

Tu as toujours la même erreur 403 Client Error ?

Oui. Toujours.

Error determining zone identifier for ha.ndd.ovh: 403 Client Error: Forbidden for url: https://eu.api.ovh.com/1.0/domain/zone/

Infernal !

Bonjour @Sventovit
J’ai lu rapide mais tu es chez quel fournisseur internet, as-tu une IP fixe pour ta box ?
J’ai aussi un domaine OVH pour HA et une IP fixe chez free, donc c’était simple, je préfère payer et avoir un truc simple

Bob

Hello Bob
j’ai 1 domaine chez OVH et une IP Full Stack chez Bouygues, donc fixe.

PS: je vais m’absenter. Réponse de ma part plus tardive. À plus.

De souvenir, chez OVH j’ai juste fait ça :

image981×437 16.4 KB

Plus le paramétrage de la Box.

PS : j’utilise « NGINX Home Assistant SSL proxy » pour pouvoir utiliser un média player sur ESP32

Bob

C’est OK pour moi avec cette redirection. Que mes ports soient ouverts ou fermés , rien ne change :

Error determining zone identifier for ha.ndd.ovh: 403 Client Error: Forbidden for url: https://eu.api.ovh.com/1.0/domain/zone/. (Are your Application Key and Consumer Key values correct?)
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.
s6-rc: info: service legacy-services: stopping
s6-rc: info: service legacy-services successfully stopped
s6-rc: info: service legacy-cont-init: stopping
s6-rc: info: service legacy-cont-init successfully stopped
s6-rc: info: service fix-attrs: stopping
s6-rc: info: service fix-attrs successfully stopped
s6-rc: info: service s6rc-oneshot-runner: stopping
s6-rc: info: service s6rc-oneshot-runner successfully stopped

Pourquoi cette erreur 403 ?
J’ai vérifier et revérifier les paramètres DNS. Tout est bon, j’en suis certain.
J’accède à l’API sans souci :

Espace client - OVHcloud - Google Chrome604×577 37 KB

Error determining zone identifier for ha.ndd.ovh: 403 Client Error: Forbidden

Ah j’ai aussi cette image de chez OVH qui provient de la section Sunrise :

OVH - Sunrise - Google Chrome1155×795 61.3 KB

Là on dirait bien que ton dns est ko en ip v4 et v6

Vi…
C’est cette erreur dont je n’arrive pas à me défaire :

[09:09:44] INFO: Detecting existing certificate type for xxxxxxxxxxxxxx.ovh
Saving debug log to /var/log/letsencrypt/letsencrypt.log
[09:09:48] INFO: No certificate found - using ‹ ecdsa › key type.
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Account registered.
Requesting a certificate for ha.ndd.ovh
Error determining zone identifier for ha.ndd.ovh: 403 Client Error: Forbidden for url: https://eu.api.ovh.com/1.0/domain/zone/.

(Are your Application Key and Consumer Key values correct?)

Je les ai fait, refait et refait encore. J’ai tout vérifié, mais rien ni fait…

Saving debug log to /var/log/letsencrypt/letsencrypt.log

Je suis passé en root et je ne l’ai même pas trouvé.
Y a t-il quelqu’un qui puisse m’aider ?

Attention les notions de DNS et de génération de certificats sont pas tout à fait pareils :

Pour le DNS:
0. Le DNS est indispensable avant toutes les manips (pas de résolution = pas de tests possible par le moteur let’s encrypt. Donc pas d’ip v4 ou v6 … c’est déjà pas bon.

Pour la génération des certificats en mode DNS :

1. il faut générer les clés api : Application et Consumer (ça on va dire que c’est OK)
2. mettre dans le DNS une record spécifique (j’ai plus l’info exacte en tête, mais il faut vérifier la doc)
3. configurer correctement let’s encrypt avec le bon type de challenge et les clés API (là il faut partager la conf)

Avec juste le message d’erreur, on ne sait pas grand chose, n’importe quelle étape 0/1/2 engendre des soucis en 3

Et en plus il faut quand même ouvrir au moins 1 port

container, vm etc … c’est normal de ne pas tout voir si tu ne regardes pas au bon endroit

Hello Mr Pulpy-Luke
Le point 1, ça c’est bon
Le point 2

Là je me gratte la tête et je n’arrive pas à comprendre ce que tu dis…
3. Ma conf :

domains:
  - ha.ndd.ovh
email: ndd@gmail.com
keyfile: privkey.pem
certfile: fullchain.pem
challenge: dns
dns:
provider: dns-ovh
ovh_endpoint: ovh-eu
ovh-application_key: 70d38c64xxxxxx
ovh_application_secret: 1d8f8dda28584669136xxxxxxxxxxxx
ovh_consumer_key: a706fef1a1b0exxxxx

Et je n’ai pas d’erreur liée à la conf…