Salut, j’ai eu un petit problème bien casse tête lorsque j’ai voulu installer Swag sur mon NAS OMV et j’ai vu aucun site qui parlait de ce « problème », ça aidera peut-être quelqu’un…
Si vous voulez installer Swag, le site forum-nas.fr en parle déjà très bien.
Swag c'est quoi ?
SWAG – Secure Web Application Gateway (anciennement connu sous le nom de letsencrypt, aucun rapport avec Let’s Encrypt) configure un serveur Web Nginx et un proxy inverse avec support php et un client certbot intégré qui automatise les processus de génération et de renouvellement de certificats de serveur SSL gratuits (Let’s Encrypt™ et ZeroSSL). Il contient également fail2ban pour la prévention des intrusions.
Il existe aussi des mods pour l’améliorer, pour avoir un tableau de bord ou bien pour voir la localisation des gens qui se connectent à votre serveur par exemple…
Liste des mods
Contexte
Pour le moment, pour héberger mes sites je suis chez Hostinger et mon nom de domaine est chez OVH.
Oui, mon nom de domaine est chez OVH car Hostinger ne propose pas de clé API pour les domaines, bref on s’en fiche…
J’ai un NAS sous OpenMediaVault avec Docker et Portainer et j’ai voulu installer Swag et ai eu cette erreur :
Certbot failed to authenticate some domains (authenticator: dns-ovh). The Certificate Authority reported these problems: Domain: test.remipetit.fr Type: unauthorized Detail: Incorrect TXT record "TXT" found at _acme-challenge.test.remipetit.fr Hint: The Certificate Authority failed to verify the DNS TXT records created by --dns-ovh. Ensure the above domains are hosted by this DNS provider, or try increasing --dns-ovh-propagation-seconds (currently 30 seconds). Some challenges have failed. Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details. ERROR: Cert does not exist! Please see the validation error above. Make sure you entered correct credentials into the /config/dns-conf/ovh.ini file.
En effet, j’ai fait une clé API chez OVH, j’ai bien donner l’accès au conteneur Swag mais… il me demandait d’ajouter un TXT pour ma zone de DNS pour faire le challenge DNS.
Jusque là je ne me pose pas trop de questions mais… quelle valeur il faut ajouter à
mon_acme-challenge.test.remipetit.fr pour prouver que le domaine m’appartient???
Après pas mal de galère et de recherches, sachant que ça ne fait pas ça aux gens sur les différents tuto d’internet j’ai finit par comprendre.
Résolution du problème
Je me suis dit que c’était pas logique de devoir créer moi même le TXT dans ma zone DNS, alors que tout l’intérêt d’avoir choisis mon nom de domaine chez OVH c’était de pouvoir faire des clés API.
Ces clés API donnent certains droits à ceux qui la possèdent, dans mon cas c’était tous les droits (GET, POST, DELETE, PUT) ce qui permet à LetsEncrypt via Certbot d’automatiser les challenges de mon nom de domaine et donc avoir un certificat SSL sans rien avoir à faire.
Ensure the above domains are hosted by this DNS provider
… Eh oui, il avait bien l’accès à ma clé API mais… j’avais modifier ma zone DNS en le pointant sur Hostinger pour mes sites web..
Donc en fait Hostinger passait avant OVH, ce qui ne lui permettait pas de modifier lui même la zone DNS et donc me bloquait.