Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

lets encrypt SSL wildcard renew sur ubuntu 16.04

xpertiz

Bonjour, j'ai un petit problème pour le renouvellement d'une wildcard let's encrypt
De ce que j'ai compris pour cette version d'ubuntu 16.04 + apache2 je ne peux que faire une validation en DNS-01 en manuel avec cette commande :

sudo certbot certonly --debug-challenges --authenticator manual --preferred-challenges=dns -i apache -d '*.ndd' -d ndd

donc il me demande de rajouter en dns
_acme-challenge.ndd. IN TXT "xxxxx"

une ou 2 cela dépend.

Sauf que je galère un peu, je dois tous les 3 mois le refaire (validité de la clef SSL), mais cela passe de façon aléatoire... Je change bien le challenge, mais il me donne une erreur la plupart du temps

Failed authorization procedure. ndd (dns-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect TXT record "xxxxxx" (and 1 more) found at _acme-challenge.ndd

A priori, il teste la présence de ce TXT de leur serveur à mon serveur, pour savoir si j'ai les droits sur le domaine. Mais cela marche de façon aléatoire. J'ai faire un reload / restart de BIND9 + apache2, je lui laisse le temps de la propagation.

Des fois cela passe, mais la plupart du temps je suis obligé de le refaire 5-6 fois avant que cela passe, mais j'ai l'impression que je n'ai pas compris le process... Il arrive que cela passe la seconde fois, mais la plupart du temps cela ne passe pas, et maintenant qu'ils ont ajouté des limitations sur le nombre de test, je me retrouve bloqué.

Quelqu'un connaît une astuce ? (à part passer en 18.04)

Merci

bruno

Bonjour,

Est-ce que tu utilises ton propre serveur DNS faisant autorité pour le domaine concerné sur cette machine ou est-ce que tu utilises les serveurs DNS d'un prestataire ?

Dans un cas comme dans l'autre pour que cela fonctionne il faut utiliser un des plugins DNS de Certbot ou https://github.com/siilike/certbot-dns-standalone

La création/modification des enregistrement DNS TXT à la main risque fort de ne pas fonctionner et ce sera ingérable pour le renouvellement automatique des certificats.

N.B. : ceci ne dépend pas de la version d'Ubuntu utilisée, ni me de la distribution…
Pour les tests et éviter de se faire bloquer par Let'sEncrypt il faut utiliser l'option --dry-run (ou aussi leur serveur « staging »)