Je ne peux pas enregistrer ou renouveler le certificat Let's Encrypt. Que puis-je faire?

Symptômes

Vous ne pouvez pas créer ou renouveler le certificat Let's Encrypt sur un périphérique Synology.

Diagnostic

L'enregistrement ou le renouvellement du certificat Let's Encrypt peut ne pas avoir lieu pour les raisons suivantes:

Le certificat Let's Encrypt est transféré depuis un autre périphérique. ¹
Vous avez configuré un nom de domaine principal et plusieurs autres noms de sujet pour un certificat (par exemple, example.com et mail.example.com), mais tous les noms de domaine ne pointent pas vers l'adresse IP publique de votre périphérique Synology. ²
Vous avez utilisé Synology DDNS pour enregistrer ou renouveler un certificat Let's Encrypt lorsque l'état de Synology DDNS n'est pas activé.
Vous avez utilisé Synology DDNS pour enregistrer ou renouveler un certificat Let's Encrypt lorsque le nom d'hôte Synology DDNS a été modifié.

Remarques:

Les certificats exportés à partir d'autres périphériques ne peuvent pas être renouvelés après l'importation vers un périphérique Synology. Pour activer le renouvellement automatique, procurez-vous un certificat Let's Encrypt à partir de votre périphérique Synology d'origine.
Vous pouvez utiliser la commande nslookup pour vérifier si tous les noms de domaine pointent vers la même adresse IP publique.

Environnement

DSM 6.2.4 Update 2 et versions ultérieures ¹
SRM 1.2.3 et versions ultérieures

Remarques:

Le certificat Let's Encrypt DST Root CA X3 a expiré depuis le 30 septembre 2021 (détails). Pour DSM 6.2.3 et les versions antérieures, vous devez effectuer une mise à jour vers DSM 6.2.4 Mise à jour 2 au moins pour obtenir un certificat Let's Encrypt.

Solution

Faites pointer les noms de domaine vers la bonne adresse IP

Pour chiffrer en toute sécurité une communication réseau via Let's Encrypt, l'enregistrement A (IPv4) de votre périphérique Synology doit pointer correctement le FQDN (nom de domaine complet) vers l'adresse IP sur le serveur DNS. Pour un environnement réseau IPv6, la configuration susmentionnée doit être appliquée à l'enregistrement AAAA.

Exécutez la commande «nslookup» avec le FQDN de votre périphérique Synology, comme indiqué ci-dessous (étapes détaillées). Vous obtiendrez l'adresse IP vers laquelle pointe le FQDN dans l'enregistrement A.¹
Connectez-vous à votre périphérique Synology via SSH (étapes détaillées).
Saisissez curl checkip.synology.com ou curl checkipv6.synology.com pour obtenir l'adresse IPv4 ou IPv6 publique de votre périphérique Synology.
Assurez-vous que l'adresse IP enregistrée à l'étape 1 correspond à celle enregistrée à l'étape 3. Sinon, contactez vos hôtes DNS ou fournisseurs de domaine pour corriger les paramètres d'enregistrement A ou AAAA de votre périphérique.

Si vous avez appliqué des noms de sous-réseau à l'un de vos services DSM (par exemple, Synology Chat), vous devez également vérifier les paramètres d'enregistrement A ou AAAA de ces sous-réseaux en suivant les étapes ci-dessus.

Transférer le port 80 vers votre périphérique Synology

Les paquets réseau doivent être redirigés du port 80 de votre routeur / commutateur parent vers le port 80 de votre périphérique Synology.² Avant de vérifier les configurations de transmission des ports, veuillez vérifier si le port 80 de votre périphérique Synology est ouvert (étapes détaillées).

Une fois que vous avez vérifié l'accessibilité du port 80 de votre périphérique Synology, vous pouvez vérifier la transmission des ports de votre routeur vers votre périphérique Synology en effectuant les tests suivants:

Test 1 : Ouvrez un navigateur Web sur votre réseau local (c'est-à-dire, celui où se trouve votre périphérique Synology), et accédez à la page Web «http: // adresse IP privée de votre périphérique Synology».
Test 2 : Ouvrez un navigateur Web sur votre réseau local et accédez à la page Web «http://FQDN de votre périphérique Synology».
Test 3 : Ouvrez un navigateur Web en dehors de votre réseau local et accédez à la page Web «http://FQDN de votre périphérique Synology».

Si vous voyez la même page Web à partir des résultats des tests ci-dessus, vous avez correctement dirigé le port 80 de votre routeur vers le port 80 de votre périphérique Synology.

Remarques:

Si votre périphérique Synology utilise une adresse IPv6, exécutez la commande nslookup -type=AAAA FQDN.
Si vous utilisez Synology DDNS pour enregistrer le certificat Let's Encrypt, vous pouvez ignorer cette étape.

Lectures complémentaires

Est-ce que cet article a été utile ?

Oui ／ Non