Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 19/01/2024, à 20:19

gilles deloustal

[Résolu] certbot Error getting validation data

Bonsoir
Je suis sous ubuntu 22.04, je viens d'installer lamp, mon domaine decidim.ovh pointe sur mon ip, cet ordinateur a l'ip statique 192.168.1.13, j'ai ouvert le port 443 sur ma livebox ouverture du port 443
J'ai rédigé le virtualhost

<VirtualHost *:80>
	ServerName decidim.ovh
	ServerAlias www.decidim.ovh
	# Redirection 301  vers le site en HTTPS
	# Redirect permanent / https://decidim.ovh/
	DocumentRoot "/var/www/nextcloud/"
	<Directory "/var/www/nextcloud/">
		Options -Indexes +FollowSymLinks 
		AllowOverride All
		Require all granted
	</Directory>
</VirtualHost>
<VirtualHost *:443>
	ServerName decidim.ovh
	ServerAlias www.decidim.ovh
	DocumentRoot "/var/www/nextcloud/"
	<Directory "/var/www/nextcloud/">
		Options -Indexes +FollowSymLinks 
		AllowOverride All
		Require all granted
	</Directory>

	
	ErrorLog /var/log/apache2/error.decidim.ovh.log
	CustomLog /var/log/apache2/access.decidim.ovh.log combined
</VirtualHost>

J'ai testé ma configuration

sudo apache2ctl -t -D DUMP_VHOSTS
AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message
VirtualHost configuration:
*:443                  decidim.ovh (/etc/apache2/sites-enabled/decidim.ovh.conf:13)
*:80                   is a NameVirtualHost
         default server 127.0.1.1 (/etc/apache2/sites-enabled/000-default.conf:1)
         port 80 namevhost 127.0.1.1 (/etc/apache2/sites-enabled/000-default.conf:1)
         port 80 namevhost decidim.ovh (/etc/apache2/sites-enabled/decidim.ovh.conf:1)
                 alias www.decidim.ovh
         port 80 namevhost example.com (/etc/apache2/sites-enabled/example.com.conf:1)
                 alias www.example.com
         port 80 namevhost sergeetseve.fr (/etc/apache2/sites-enabled/sergeetseve.fr.conf:1)
                 alias www.sergeetseve.fr

J'accède à tous les fichiers présents sur /var/www/nextcloud/index.html y compris l'image de ma livebox que j'ai montrée ci-dessus.
Voici le résultat du certbot.

gilles@gilles:/etc/apache2/sites-available$ systemctl stop apache2
gilles@gilles:/etc/apache2/sites-available$ sudo certbot certonly --webroot -w /var/www/nextcloud -d decidim.ovh -d www.decidim.ovh
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Requesting a certificate for decidim.ovh and www.decidim.ovh

Certbot failed to authenticate some domains (authenticator: webroot). The Certificate Authority reported these problems:
  Domain: decidim.ovh
  Type:   connection
  Detail: 90.9.0.72: Fetching http://decidim.ovh/.well-known/acme-challenge/I_mqPDzUoKRjhqDJ0hxX1mTBGQdt6dXPlPub5xhDabM: Error getting validation data

  Domain: www.decidim.ovh
  Type:   connection
  Detail: 90.9.0.72: Fetching http://www.decidim.ovh/.well-known/acme-challenge/u2-aWzvBJTUKxKFrJy3lsQeBbGhNt2oq65PQIr1NtAU: Error getting validation data

Hint: The Certificate Authority failed to download the temporary challenge files created by Certbot. Ensure that the listed domains serve their content from the provided --webroot-path/-w and that files created there can be downloaded from the internet.

Some challenges have failed.
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.

Voici mes droits d'accès

ls -l
total 12
drwxrwxr-x 2 www-data www-data 4096 janv. 19 19:10 example
drwxrwxr-x 2 www-data www-data 4096 janv. 17 14:49 html
drwxrwxr-x 2 www-data www-data 4096 janv. 19 19:04 nextcloud
sudo apache2ctl -S
[sudo] Mot de passe de gilles : 
AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message
VirtualHost configuration:
*:443                  decidim.ovh (/etc/apache2/sites-enabled/decidim.ovh.conf:13)
*:80                   is a NameVirtualHost
         default server 127.0.1.1 (/etc/apache2/sites-enabled/000-default.conf:1)
         port 80 namevhost 127.0.1.1 (/etc/apache2/sites-enabled/000-default.conf:1)
         port 80 namevhost decidim.ovh (/etc/apache2/sites-enabled/decidim.ovh.conf:1)
                 alias www.decidim.ovh
         port 80 namevhost example.com (/etc/apache2/sites-enabled/example.com.conf:1)
                 alias www.example.com
         port 80 namevhost sergeetseve.fr (/etc/apache2/sites-enabled/sergeetseve.fr.conf:1)
                 alias www.sergeetseve.fr
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default 
Mutex mpm-accept: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

Cordialement

Dernière modification par bruno (Le 28/01/2024, à 20:23)

Hors ligne

#2 Le 19/01/2024, à 20:25

jplemoine

Re : [Résolu] certbot Error getting validation data

En fait, la validation se fait en 2 temps.
- il y a un cron qui va écrire un fichier /var/www/nextcloud/.well-known/acme-challenge. Il faut donc que le répertoire existe et que le bot puisse écrire dedans.
- Le site distant va contrôler que le fichier existe via  l'adresse "publique"  (http://www.decidim.ovh/.well-known/acme-challenge)
Il faut donc que tu regardes dans le fichier log (/var/log/letsencrypt/letsencrypt.log) à quelle étape le contrôle échoue.


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#3 Le 19/01/2024, à 20:55

bruno

Re : [Résolu] certbot Error getting validation data

Bonsoir,

Il faut surtout que le serveur soit accessible sur les ports 80 et 443. Ce qui pour l'instant n'est pas le cas. Peut-être à cause d'un pare-feu qui bloque tout ?

Hors ligne

#4 Le 26/01/2024, à 20:23

gilles deloustal

Re : [Résolu] certbot Error getting validation data

Bonsoir
Je n'ai pas de firewall
Je m'aperçois que les ports 80 et 443 sont fermés et je ne sais pas comment les ouvrir

ssh gilles@192.168.1.13 -p 80
kex_exchange_identification: Connection closed by remote host
Connection closed by 192.168.1.13 port 80
sudo ufw enable
Le pare-feu est actif et lancé au démarrage du système
sudo ufw allow 80
La règle a été ajoutée
La règle a été ajoutée (v6)
sudo ufw enable
Le pare-feu est actif et lancé au démarrage du système
sudo ufw status verbose
État : actif
Journalisation : on (low)
Par défaut : deny (incoming), allow (outgoing), disabled (routed)
Nouveaux profils : skip

Vers                       Action      De
----                       ------      --
80/tcp                     DENY IN     Anywhere                  
443/tcp                    DENY IN     Anywhere                  
80                         ALLOW IN    Anywhere                  
80/tcp (v6)                DENY IN     Anywhere (v6)             
443/tcp (v6)               DENY IN     Anywhere (v6)             
80 (v6)                    ALLOW IN    Anywhere (v6)             

gilles@gilles:~$ ssh gilles@192.168.1.13 -p 80
kex_exchange_identification: Connection closed by remote host
Connection closed by 192.168.1.13 port 80

Hors ligne

#5 Le 26/01/2024, à 20:47

bruno

Re : [Résolu] certbot Error getting validation data

N'active pas le pare-feu sur ton serveur cela ne sert à rien, surtout si tu ne sais pas le configurer ufw. Pour revenir en arrière :

sudo ufw disable

Les choses à vérifier :
- ton nom de domaine doit pointer vers ton IP publique. Cela se règle dans la configuration DNS chez OVH. Si tu n'a pas une IP fixe il faudra utiliser un DNS dynamique
- ta box doit être configurée pour rediriger les requêtes entrantes sur les ports 80 et 443 vers les mêmes ports de ton serveur (voir la doc de la box pour le NAT/DNAT)
- ta box ne doit pas bloquer les requêtes vers ces mêmes ports (pare-feu de la box, voir sa doc)

P.S. : une commande ssh sur le port 80 cela ne risque pas de fonctionner…

Hors ligne

#6 Le 27/01/2024, à 21:32

gilles deloustal

Re : [Résolu] certbot Error getting validation data

Bonsoir
J'accède à mon site en tapant http://www.decidim.ovh sur mon ordinateur également serveur. En revanche, j'obtiens un timeout sur mon téléphone en tapant http://decidim.ovh
Apparemment le port 80 était ouvert et est toujours ouvert

curl -I http://www.decidim.ovh
HTTP/1.1 302 Found
Date: Sat, 27 Jan 2024 18:44:12 GMT
Server: Apache/2.4.52 (Ubuntu)
Set-Cookie: och9586uylqf=09tu246omqep0l17ftl6kthndl; path=/; HttpOnly; SameSite=Lax
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Set-Cookie: oc_sessionPassphrase=XAQnUw5rjanosDFdIUYBtwtFfteDyjpMJTuRv9PIqGWLXbpmb9f2pCcBfpcagspbXAWfVPNsrC2BkmU4uggxYm0JylO%2BSFaqaSS0KB8lEcdAO%2BHkgj5YUSNm6UXHT9mw; path=/; HttpOnly; SameSite=Lax
Set-Cookie: och9586uylqf=09tu246omqep0l17ftl6kthndl; path=/; HttpOnly; SameSite=Lax
Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-YllmbzRxRitrYnJMVkZkUEhqUzkzWldSbVZROE8wdmExSlpPYnoxSjRJOD06SXZLUHV2RTMxZkNTRGhNN1JIL2FydmJBeUg5RlZ5WGlqZHNrRGdSNWtkaz0='; style-src 'self' 'unsafe-inline'; frame-src *; img-src * data: blob:; font-src 'self' data:; media-src *; connect-src *; object-src 'none'; base-uri 'self';
Referrer-Policy: no-referrer
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-Permitted-Cross-Domain-Policies: none
X-Robots-Tag: noindex, nofollow
X-XSS-Protection: 1; mode=block
Set-Cookie: nc_sameSiteCookielax=true; path=/; httponly;expires=Fri, 31-Dec-2100 23:59:59 GMT; SameSite=lax
Set-Cookie: nc_sameSiteCookiestrict=true; path=/; httponly;expires=Fri, 31-Dec-2100 23:59:59 GMT; SameSite=strict
Set-Cookie: och9586uylqf=09tu246omqep0l17ftl6kthndl; path=/; HttpOnly; SameSite=Lax
Location: http://www.decidim.ovh/index.php/login
Content-Type: text/html; charset=UTF-8

Voici mon ip statique
https://infoadrets.info/Capture%20d%E2% … -57-33.pngVoici l'ouverture dans le parefeu de ma livebox
https://infoadrets.info/Capture%20d%E2% … -58-07.pngVoici l'ip où sont redirigées les requêtes entrantes
https://infoadrets.info/Capture%20d%E2% … -57-05.png
J'ai un enregistrement de type A pour decidim.ovh et www.decidim.ovh. Ils pointent bien sur mon ip publique 90.xxxxxx
J'ai les enregistrements de type AAA  avec les adresses ipv6
Pour info voici ma virtualbox
Sites-available

<VirtualHost *:80>
	ServerName decidim.ovh
	ServerAlias www.decidim.ovh
	# Redirection 301  vers le site en HTTPS
	# Redirect permanent / https://decidim.ovh/
	DocumentRoot "/var/www/nextcloud/"
	<Directory "/var/www/nextcloud/">
		Options -Indexes +FollowSymLinks 
		AllowOverride All
		Require all granted
	</Directory>
</VirtualHost>
<VirtualHost *:443>
	ServerName decidim.ovh
	ServerAlias www.decidim.ovh
	DocumentRoot "/var/www/nextcloud/"
	<Directory "/var/www/nextcloud/">
		Options -Indexes +FollowSymLinks 
		AllowOverride All
		Require all granted
	</Directory>

	
	ErrorLog /var/log/apache2/error.decidim.ovh.log
	CustomLog /var/log/apache2/access.decidim.ovh.log combined
</VirtualHost>

Sites-enabled

<VirtualHost *:80>
	ServerName decidim.ovh
	ServerAlias www.decidim.ovh
	# Redirection 301  vers le site en HTTPS
	# Redirect permanent / https://decidim.ovh/
	DocumentRoot "/var/www/nextcloud/"
	<Directory "/var/www/nextcloud/">
		Options -Indexes +FollowSymLinks 
		AllowOverride All
		Require all granted
	</Directory>
</VirtualHost>
<VirtualHost *:443>
	ServerName decidim.ovh
	ServerAlias www.decidim.ovh
	DocumentRoot "/var/www/nextcloud/"
	<Directory "/var/www/nextcloud/">
		Options -Indexes +FollowSymLinks 
		AllowOverride All
		Require all granted
	</Directory>

	
	ErrorLog /var/log/apache2/error.decidim.ovh.log
	CustomLog /var/log/apache2/access.decidim.ovh.log combined
</VirtualHost>

ports.conf

# If you just change the port or add more ports here, you will likely also
# have to change the VirtualHost statement in
# /etc/apache2/sites-enabled/000-default.conf

Listen 80

<IfModule ssl_module>
	Listen 443
</IfModule>

<IfModule mod_gnutls.c>
	Listen 443
</IfModule>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

Modération : merci d'utiliser des images de petite taille (300x300) ou des miniatures pointant sur ces images.

Dernière modification par cqfd93 (Le 27/01/2024, à 23:45)

Hors ligne

#7 Le 28/01/2024, à 08:56

bruno

Re : [Résolu] certbot Error getting validation data

Si tu as bien désactivé le pare-feu sur ton serveur, alors ce n'est pas un problème Ubuntu mais un problème de configuration Livebox. Tu devrais aller poser la question sur les forum Orange.

Je peux juste te confirmer que le pare-feu bloque toutes les requêtes à destination de decidim.ovh. Une commande nmap sur ton nom de domaine montre que les ports 80 et 443
sont filtrés aussi bien en IPv4 qu'en Ipv6.


P.S. : attention aux services FTP accessibles publiquement, par défaut ce n'est pas du tout sécurisé.

Hors ligne

#8 Le 28/01/2024, à 12:31

jplemoine

Re : [Résolu] certbot Error getting validation data

bruno a écrit :

Je peux juste te confirmer que le pare-feu bloque toutes les requêtes à destination de decidim.ovh. Une commande nmap sur ton nom de domaine montre que les ports 80 et 443
sont filtrés aussi bien en IPv4 qu'en Ipv6.

NON ! Tu peux juste affirmer que les ports sont bloqués depuis l'extérieur.
S'il n'y a pas de process en écoute (par exemple), tu auras la même réponse au point de vue du nmap.

Etant donné que, si j'ai bien compris, ça fonctionne sur le LAN mais pas depuis l'extérieur (à confimer), je suis d'accord sur le fait que ce soit la livebox qui soit en cause.

@gilles deloustal : peux-tu faire le test :
- sur l'ordi en question
- sur le téléphone connecté au wifi
- sur le téléphone en 4G


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#9 Le 28/01/2024, à 15:30

bruno

Re : [Résolu] certbot Error getting validation data

[HS]https://nmap.org/man/fr/man-port-scanning-basics.html

Les ports apparaissent comme filtrés parce qu'il y a un pare-feu (sinon il apparaîtraient fermés). Soit parce que celui-ci bloque explicitement le trafic, soit parce qu'effectivement aucun service ne répond dessus (erreur de NAT/PAT ou serveur en rade).

Et les échanges précédents ont bien établi que :
- le serveur fonctionne et est accessible en local, y compris avec le nom de domaine ;
- qu'il est inaccesible depuis l’extérieur malgré une configuration correcte des entrées DNS et du NAT/PAT, si on en croit les copies d'écran en #6
- qu'un pare feu est bien actif sur la box mais on n'en voit pas la configuration (hormis 3 règles IPv6 qui semblent erronées)

[/HS]

Hors ligne

#10 Le 28/01/2024, à 16:17

jplemoine

Re : [Résolu] certbot Error getting validation data

OK. Ce serait le pare-feu de la box et non celui système.
Donc, ce serait un problème avec la livebox et non Ubuntu : post #7 cf ci-dessous

bruno a écrit :

Si tu as bien désactivé le pare-feu sur ton serveur, alors ce n'est pas un problème Ubuntu mais un problème de configuration Livebox. Tu devrais aller poser la question sur les forum Orange.


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#11 Le 28/01/2024, à 19:54

gilles deloustal

Re : [Résolu] certbot Error getting validation data

Bonsoir
Pour les éventuels lecteurs de ce fil, je précise que Orange m'a fait supprimer les directives du parefeu sur la livebox et laisser vide l'IP externe.
Capture%20d%e2%80%99%c3%a9cran%20du%202024-01-28%2018-39-49.png
Un grand merci à tous pour votre aide

Hors ligne

#12 Le 28/01/2024, à 20:24

bruno

Re : [Résolu] certbot Error getting validation data

Doc problème résolu après configuration correcte du pare-feu de la box wink

Hors ligne