Problème pour Installer certificat let's encrypt +dynDNS sur SFR

Informatique Réseau
1

Bonjour à tous
Je migre progressivement de domoticz à HAOS mais je n’arrive pas à installer le certificat lets encrypt… De plus j’ai quelques bugs bizarres sous firefox…

Mon installation :
Pi3 avec système sur SSD à jour ( * Core 2023.12.3 * Supervisor 2023.12.0 * Operating System 11.2 * Interface utilisateur 20231208.2 )
box SFR red en ipv4 full stack, NAT des ports entrant 80 et 8123 vers 8123 du Pi ; Upnp activé ; service DynDNS de changeip.com .

Pour l’instant je peux joindre http://XXXXX.changeip.com avec mon téléphone en 4G avec chrome mais pas firefox (msg : la connexion a été réinitialisée…). Si je passe par l’adresse IP c’est Ok.
En wifi local, pas de soucis.

Le service lets encrypt rencontre une erreur


[14:32:07] INFO: Selected http verification
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Requesting a certificate for XXXXXXXXXXXXX.changeip.com

Certbot failed to authenticate some domains (authenticator: standalone). The Certificate Authority reported these problems:
  Domain:XXXXXXXXXXXXX.changeip.com
  Type:   unauthorized
  Detail: 91.XX.XX.XX: Invalid response from http://XXXXXXXXXXX.changeip.com/.well-known/acme-challenge/Nmx_h842oPhFJa2pNHLV4-M3GjxwVys45IibsOynUR4: 404

Hint: The Certificate Authority failed to download the challenge files from the temporary standalone webserver started by Certbot on port 80. Ensure that the listed domains point to this machine and that it can accept inbound connections from the internet.

Some challenges have failed.

Une idée ???
Olivier

2

Salut

Oui, tu dois posséder un nom de domaine. ‹ http://XXXXX.changeip.com › est un SOUS-domaine

Tu dois utiliser duckdns si tu veux un sous-domaine sécurisé, ou sinon acheter un nom de domaine. Mais avec changeip.com, tu n’y arriveras pas.

3

Merci pour cette réponse.
Je viens donc d’acheter un nom de domaine chez ovh (et là , je sent la galère arriver…)

  • j’ai créé un identifiant dynhost ( userdynhost:passwd ) et je les ais entré dans la partie dyndns de ma box sfr —> erreur ( pas de log disponible)
    -j’ai installé OVH dynhost disponible dans HACS et je l’ai configuré en redémarrant la box et en ajoutant les paramètres proposés:
ovh:
  domain: monnomdedomaine.fr
  username: userdynhost
  password: YOUR_PASSWORD

maintenant j’ai un nom de domaine en .fr et je peux y accéder mais j’ai toujours le même soucis avec let’s encrypt

[20:47:08] INFO: Selected http verification
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Requesting a certificate for lXXXXXXXXXr.fr

Certbot failed to authenticate some domains (authenticator: standalone). The Certificate Authority reported these problems:
  Domain: lXXXXXXXXr.fr
  Type:   unauthorized
  Detail: 91.6X.XX.XX: Invalid response from http://lXXXXXXXXr.fr/.well-known/acme-challenge/X0wGPhi9BKK2-j0B2mTMoYzHnKSLYdw8VAyTtaNe8l8: 404

Hint: The Certificate Authority failed to download the challenge files from the temporary standalone webserver started by Certbot on port 80. Ensure that the listed domains point to this machine and that it can accept inbound connections from the internet.

Some challenges have failed.
Ask for help or search for solution

Que faire maintenant ?

4

Salut,

Effectivement si tu as acheté le nom de domaine sans un peu de background ça risque d’être le galère.

Donc tu dis que t’as une IP fixe full stack, c’est un bon début.
Sur OVH tu as ajouté ton IP dans la table DNS depuis le site d’admin?

Letsencrypt a besoin d’accéder à ton port 80 pour confirmer la certification, donc s’il vérifie ton domaine, tu dois tomber sur ta box, avec la bonne redirection de port.

5

c’est une ip v4 full stack mais elle n’est pas fixe ( même si elle n’a pas changée ces deux derniers mois)

Le port 80 est bien ouvert et redirige bien vers HA ( je peux accéder au site avec un smartphone en 4G)

J’ai ajouté mon IP dans le panel d’ovh , mais aussi joué avec dynDNS, du coup je ne sais pas ce qui a joué mais le site est bien en ligne apres 2heures d’attente.

6

je viens de voir ce posthttps://forum.hacf.fr/t/https-let-s-encrypt-avec-domaine-ovh-freebox-en-ip-fixe/6469

du coup je redirige le port 80 vers le 80 du serveur HA
je me connecte sur 192.68.X.X:8123 et j’ai les logs suivant

s6-rc: info: service legacy-services successfully started
[21:51:42] INFO: Selected http verification
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Certificate not yet due for renewal

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certificate not yet due for renewal; no action taken.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
s6-rc: info: service legacy-services: stopping
s6-rc: info: service legacy-services successfully stopped

ça « fonctionne » mais il n’a pas crée le certificat

7

Pourtant il a l’air de dire que le certificat est là et que sa date est correcte

8

effectivement, les fichiers sont présents dans le dossier ssl, (j’avais lancé deux fois le processus letsencrypt d’où le message)

mais firefox me renvoie :

Échec de la connexion sécurisée

Une erreur est survenue pendant une connexion à www.lXXXXXXXr.fr. SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée.

Code d’erreur : SSL_ERROR_RX_RECORD_TOO_LONG

La page que vous essayez de consulter ne peut pas être affichée car l’authenticité des données reçues ne peut être vérifiée.

j’ai pourtant une redirection de 443 vers 8123 dans les regles NAT

9

Essaye un autre navigateur
https://www.ssltrust.com/blog/ssl_error_rx_record_too_long

10

idem, même punition avec edge et chrome sur android, j’avais dejà vidé le cache de firefox…

11

Bonjour

Après un magnifique plantage de mon installation, ( plus d’accès réseau…) je me suis décidé à tout réinstaller.
j’ai pu me connecter grâce à mon nom de domaine en https. Mais je ne peux que me connecter en https depuis mon adresse web et plus du tout avec un accès en 168.192.1.X:8123 . du coup, impossible de faire fonctionner mes esphome.

le message d’erreur se trouve dans la partie paramètre , général , réseau . Il est dit en substance que le certificat n’est pas utilisable pour les adresses autre que mon nom de domaine.

puis nouveau plantage… plus de réseau et je crois que je vais chercher un nouveau serveur…

12

T’as pensé a voir cette solution alternative ?

13

Logique. Il faut mettre https partout. Y compris avec l’adresse ip (et contourner l’alerte dans les navigateurs)

Logique aussi. Ton adresse ip locale n’est rattachée à un nom de domaine contenu dans ton certificat

Pas de rapport direct