Renouveler certbot letsencrypt

waca · Le 31/01/2023, à 12:41

Bonjour à tous,

Mon certificat est arrivé à expiration (bizarre, le renouvelle automatique par cron
ne s'est pas fait 'tout seul!') mais, bon, j'ai plus urgent....
Si je comprend, tout ça me dit que c'est ok... mon soucis c'est pour forum.maxitag.net
Du coup, je
sudo systemctl reload apache2

ubuntu@141:~$ sudo certbot renew --dry-run
Saving debug log to /var/log/letsencrypt/letsencrypt.log
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/cloud.maxitag.net.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Simulating renewal of an existing certificate for cloud.maxitag.net
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/forum.maxitag.net-0001.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Simulating renewal of an existing certificate for forum.maxitag.net
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations, all simulated renewals succeeded:
  /etc/letsencrypt/live/cloud.maxitag.net/fullchain.pem (success)
  /etc/letsencrypt/live/forum.maxitag.net-0001/fullchain.pem (success)
- - - - - - - - - - -

Mais quand j'accède à forum.maxitag.net ça me dit "ne fait pas partie du certificat"

Je ne voudrais pas "casser" mon nextcloud qui fonctionne correctement, en saisissant une
commande inadaptée.
Comment renouveler le certificat de forum.maxitag.net si c'est ça le soucis ?

Merci.

jplemoine · Le 31/01/2023, à 12:51

Le paramètre --dry-run permet de simuler le renouvèlement.
Pour faire le renouvèlement "pour de vrai", faut le supprimer.

waca · Le 31/01/2023, à 12:54

Arf, merci... en effet....

Moyen de m'aider pour que le renouvellement se fasse automatiquement dans 60 jours ?
Apache2 / ubuntu22.04
Merci encore.

jplemoine · Le 31/01/2023, à 13:10

Normalement, il y a un cron / anacron / service ? (installé automatiuqement) qui fait ça tout seul...
Faudra que je vérifie une fois rentrer à la maison sur un de mes PC non modifiés.

Dernière modification par jplemoine (Le 31/01/2023, à 13:10)

waca · Le 21/02/2023, à 00:03

Salut, au risque de faire une erreur/bêtise....
pour le renouvellement automatique de let's encrypt je pense faire ceci en mode root....

crontab -e

ajouter ça
0 0 1 */2 * certbot renew

Tu en penses quoi ?
Merci d'avance.

jplemoine · Le 21/02/2023, à 05:20

En fait, normalement, tu as un fichier certbot dans /etc/crontab.d
---

root@LDLC:/etc/cron.d# ls -ld certbot 
-rw-r--r-- 1 root root 775 sept. 14  2018 certbot
root@LDLC:/etc/cron.d#

----
Son contenu est :

# /etc/cron.d/certbot: crontab entries for the certbot package
#
# Upstream recommends attempting renewal twice a day
#
# Eventually, this will be an opportunity to validate certificates
# haven't been revoked, etc.  Renewal will only occur if expiration
# is within 30 days.
#
# Important Note!  This cronjob will NOT be executed if you are
# running systemd as your init system.  If you are running systemd,
# the cronjob.timer function takes precedence over this cronjob.  For
# more details, see the systemd.timer manpage, or use systemctl show
# certbot.timer.
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew
root@LDLC:/etc/cron.d#

---
Le processus génère un fichier log dans /var/log/letsencrypt
----
Pour info : on ne fait plus de crontab -e mais on créée des fichiers dans /etc/crontab.d.
Cela permet de séparer les entrées systèmes (gérées par le système) des entrées utilisateur (gérées oar l'utilisateur) : comme ça, en cas de mise à jour, le système ne touche pas aux entrées utilisateur
De manière générale, quand il y a un répertoire .d de même nom qu'un fichier, on ne touche pas au fichier, on crée un fichier dans le répertoire (quelquefois, il faut une extension particulière).

Dernière modification par jplemoine (Le 21/02/2023, à 14:30)

waca · Le 21/02/2023, à 06:11

Ahouuuu super, merci, géniales ces précisions et explications....
Je m'y colle ce soir.

bruno · Le 21/02/2023, à 07:05

Les balises [ code ] SVP !
Si certbot a été installé correctement il y a une tâche cron comme indiqué par jplemoine et un timer systemd /lib/systemd/system/certbot.timer. En fait la tâche cron n'est exécutée que si systemd n'est pas installé.

jplemoine · Le 21/02/2023, à 14:32

@bruno : oui. Pardon. Elles sont maintenant ajoutées.
Et mon pseudo est jplemoine pas jplemeoine...

waca · Le 21/02/2023, à 15:18

systemd est bien installé, je retrouve ceci dans le fichier /lib/systemd/system/certbot.timer

[Unit]
Description=Run certbot twice daily

[Timer]
OnCalendar=*-*-* 00,12:00:00
RandomizeDelaySec=43200
Persistent=true

[Install]
WantedBy=timers.target

Je ne sais pas si c'est suffisant pour un renouvellement automatique au bout de 2 mois... enfin, AVANT les 3 mois quoi!

J'ai quand mm rajouté ça à mon
sudo crontab -e

0 0 1 */2 * certbot renew

Est-ce que ça pourrait le faire comme ça ?

Merci

bruno · Le 21/02/2023, à 16:46

Oui c'est suffisant et non il ne fallait pas rajouter une entrée dans le crontab de root. Cela va faire doublon et peut avoir des effets inattendus.

--
@jplemoine, désolé c'est corrigé.

waca · Le 24/02/2023, à 07:53

Merci à vous, je verrai bien dans 2 mois
Ceci dit; ce n'est pas moi qui ai modifié le
certbotimer , et la modif du cron, je l'ai faite récemment parce que justement, j'ai eu
un soucis de certificat qu'il m'a fallut renouveler à la mano
Alors je me demande si autre chose pourrait 'empêcher' l'exécution de certbotimer ?

bruno · Le 24/02/2023, à 08:23

Pour vérifier les timers actifs :

systemctl list-timers

S'il est actif et que certbot ne renvoie pas d'erreur avec --dry-run (ce qui est bien le cas en #1), il n'y a aucune raison que cela ne fonctionne pas.

waca · Le 24/02/2023, à 23:46

Ok, il y est, merci pour votre aide, bon weekend.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 31/01/2023, à 12:41

Renouveler certbot letsencrypt

#2 Le 31/01/2023, à 12:51

Re : Renouveler certbot letsencrypt

#3 Le 31/01/2023, à 12:54

Re : Renouveler certbot letsencrypt

#4 Le 31/01/2023, à 13:10

Re : Renouveler certbot letsencrypt

#5 Le 21/02/2023, à 00:03

Re : Renouveler certbot letsencrypt

#6 Le 21/02/2023, à 05:20

Re : Renouveler certbot letsencrypt

#7 Le 21/02/2023, à 06:11

Re : Renouveler certbot letsencrypt

#8 Le 21/02/2023, à 07:05

Re : Renouveler certbot letsencrypt

#9 Le 21/02/2023, à 14:32

Re : Renouveler certbot letsencrypt

#10 Le 21/02/2023, à 15:18

Re : Renouveler certbot letsencrypt

#11 Le 21/02/2023, à 16:46

Re : Renouveler certbot letsencrypt

#12 Le 24/02/2023, à 07:53

Re : Renouveler certbot letsencrypt

#13 Le 24/02/2023, à 08:23

Re : Renouveler certbot letsencrypt

#14 Le 24/02/2023, à 23:46

Re : Renouveler certbot letsencrypt

Pied de page des forums