Admin/Dev

16
Févr.
2022

Certbot et l'erreur The key authorization file from the server did not match this challenge

Publié par sky

Aujourd'hui, je souhaite activer du SSL sur un site internet via Certbot et Let's Encrypt. Comme d'habitude, je lance ma petite commande, sauf que le résultat obtenu n'est pas celui espéré.

Failed authorization procedure. xxxxxxxxxx.xxx (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: The key authorization file from the server did not match this challenge 

En général, cette erreur survient lors d'un changement de serveur pour un domaine, et que la propagation des DNS n'est pas encore active. D'ailleurs, la fin du message le dit bien

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.

J'attends donc la fin du TTL défini à une heure pour ce domaine, et je relance la commande. Surprise, le résultat est strictement le même. J'attends donc une heure de plus, afin de m'assurer que la propagation est bien effective, malheureusement toujours avec le même soucis. A force d'essayer, je finis même par être rejeté par Let's Encrypt avec l'erreur

Too many failed authorizations recently

Je me lance donc dans la décortication des logs ... Tout à la fin du json correspondant à la demande, je vois une valeur addressesResolved qui est une liste qui contient une adresse IPv4 correspondant bien à l'adresse du serveur et une adresse IPv6. Mais plus important, je vois dessous que la valeur addressUsed correspond à l'adresse IPv6 et pas du tout à l'adresse IPv4 du serveur.

Et en effet, dans la configuration DNS du domaine traînait un champs AAAA avec cette adresse IPv6, qui, une fois supprimée (ou mise à jour) a permis d'activer le SSL sur le domaine.

Avec ce délai de propagation des DNS, nous avons toujours tendance à attendre, mais parfois, quand il s'agit d'une mauvaise configuration, nous pouvons attendre pour rien. Il est donc recommandé de re-vérifier les réglages afin d'éviter de perdre du temps pour rien.

 
 
Commentaires
Commentaire de Quentin le 6 Juin 2022 à 23:37

Merci beaucoup! C'était un problème d'IPv6 !! Maintenant Caddy marche out of the box ;)
Encore merci.

 
Commentaire de sky le 7 Juin 2022 à 12:19

Salut Quentin, ravi d'avoir pu t'aider.

 

 

Poster un commentaire
En postant sur skymac.org, je m'engage à être courtois et à ce que mon message soit pertinent avec le sujet de l'article.
En outre, j'accepte, sans condition, que mon message soit refusé et supprimé si ces règles ne sont pas appliquées.
Ouvrir le panneau de gestion des cookies
Fermer le panneau
Ce site utilise des cookies pour assurer son bon fonctionnement. Il utilise aussi des cookies issues de services tiers permettant de proposer des fonctionnalités avancées. À tout moment, vous pouvez choisir quels services vous souhaitez activer ou refuser, afin de retirer votre consentement quant à l'utilisation des cookies.
 
Personnalisation des services
Vous êtes libre de choisir quels services vous souhaitez activer. En autorisant ces services tiers, vous acceptez le dépôt et la lecture de cookies et l'utilisation de technologies de suivi nécessaires à leur bon fonctionnement. En retirant votre consentement pour certains de ces services, certaines fonctionnalités du site peuvent ne plus fonctionner.
Navigation du site  En savoir plus
Le site écrit un cookie de session permettant son bon fonctionnement et aidant à la navigation. Il ne peut être désactivé.
Utilisation : 1 cookie, enregistre l'identifiant de la session.
Durée de vie : Le cookie est présent pendant toute la session sur le site. Il devient obsolète après 24 minutes d'inactivité.
Obligatoire
Popup Média
Afficher des vidéos depuis Yoube ou Dailymotion.
 
Tout accepter Tout refuser Gérer