Tâche #34918
Scénario #34741: Problèmes rencontrés lors de la qualification 2.9.0-rc1
Vérification SC-T14-015 - Tester 2 domaines au travers du reverse-proxy l'un géré par Let's Encrypt et l'autre non. (2.9.0-RC1)
100%
Description
Pas №11¶
Reconfigure en erreur :
run-parts: executing /usr/share/eole/postservice/00-letsencrypt reconfigure - Demande de certificat pour lab4-1.labs.eole.education [KO] Code retour 1 Erreur à la demande du certificat, des logs sont disponibles dans le fichier /var/log/eole-letsencrypt.log run-parts: /usr/share/eole/postservice/00-letsencrypt exited with return code 1 Erreur : postservice
Extrait du log
Certbot failed to authenticate some domains (authenticator: webroot). The Certificate Authority reported these problems: Domain: lab4-1.labs.eole.education Type: dns Detail: DNS problem: NXDOMAIN looking up A for lab4-1.labs.eole.education - check that a DNS record exists for this domain; DNS problem: NXDOMAIN looking up AAAA for lab4-1.labs.eole.education - check that a DNS record exists for this domain Hint: The Certificate Authority failed to download the temporary challenge files created by Certbot. Ensure that the listed domains serve their content from the provided --webroot-path/-w and that files created there can be downloaded from the internet. Some challenges have failed. Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.
Exécution Squash-TM¶
Demandes liées
Historique
#1 Mis à jour par Joël Cuissinat il y a plus d'un an
- Sujet changé de Correction SC-T14-015 - Tester 2 domaines au travers du reverse-proxy l'un géré par Let's Encrypt et l'autre non. (2.9.0-RC1) à Vérification SC-T14-015 - Tester 2 domaines au travers du reverse-proxy l'un géré par Let's Encrypt et l'autre non. (2.9.0-RC1)
#2 Mis à jour par Joël Cuissinat il y a plus d'un an
Réponse de Daniel :
Le DNS a été modifié récemment
on est passé sur des*.lab4.labs.eole.education
On pourrait donc passer le test avectest1.lab4.labs.eole.education
ettest2.lab4.labs.eole.education
#3 Mis à jour par Joël Cuissinat il y a plus d'un an
- Statut changé de Nouveau à En cours
- Assigné à mis à Joël Cuissinat
#4 Mis à jour par Joël Cuissinat il y a plus d'un an
C'est OK en utilisant test1.lab5.labs.eole.education et test2.lab5.labs.eole.education ;)
Par contre, le diagnose n'est pas content :
*** Validité des certificats Validité du certificat eole.crt . Certificat => Invalide . Chaîne => OK . Expiration => Fin de validité dans plus de 30 jours . DNS reconnus => lab5.labs.eole.education . DNS manquants => test1.lab5.labs.eole.education test2.lab5.labs.eole.education . Date de fin => lun. 27 févr. 2023 15:36:23 CET . CA => R3 Validité du certificat test1.lab5.labs.eole.education/cert.pem . Certificat => OK . Chaîne => OK . Expiration => Fin de validité dans plus de 30 jours . DNS reconnus => test1.lab5.labs.eole.education . Date de fin => lun. 27 févr. 2023 16:07:23 CET . CA => R3
Est-ce que supprimer le fichier /etc/ssl/certs/eole.crt avant le reconfigure est une solution acceptable => NON, l'erreur est toujours là !
root@lab5:~# CreoleGet --list | grep test1 revprox_domainname="test1.lab5.labs.eole.education test2.lab5.labs.eole.education" ssl_subjectaltname="test1.lab5.labs.eole.education test2.lab5.labs.eole.education lab5.labs.eole.education"
Dans le cadre du test, on peut supprimer cette erreur en écrasant le "fill" avec CreoleSet ssl_subjectaltname lab5.labs.eole.education
.
Dans un autre cadre ???
#5 Mis à jour par Joël Cuissinat il y a plus d'un an
<icephale> oui [...] : il faut dissocier les certificats identifiant les machines des certificats identifiant les services hébergés par ces machines
#6 Mis à jour par Joël Cuissinat il y a plus d'un an
- Statut changé de En cours à Fermé
- % réalisé changé de 0 à 100
Problème principal corrigé → création d'une demande dédiée pour le fill / test diagnose : #35179
#7 Mis à jour par Joël Cuissinat il y a plus d'un an
- Lié à Scénario #35179: Le test diagnose vérifiant les certificats est susceptible de chercher des noms de domaines non gérés localement ajouté