Impossible de renouveler/créer un certificat

Help Aide (en français)
1

Bonjour,

Mon certificat arrive bientôt à expiration, mais impossible de le renouveler. Le remplacement du certificat auto-signé d’un sous-domaine donne un résultat similaire. Précision: il s’écoule une bonne dizaine de minutes entre «register account» et le message d’erreur.

Je peux lire des réponses en Anglais : Oui

Mon nom de domaine est : stemy.me

J’ai exécuté cette commande : yunohost domain cert-install stemy.me --force

Elle a produit cette sortie :

Info : Now attempting install of certificate for domain stemy.me!
Info : Parsing account key...
Info : Parsing CSR...
Info : Registering account...
Erreur : Error registering: 400 {
  "type": "urn:acme:error:badNonce",
  "detail": "JWS has invalid anti-replay nonce Ax5VWzh_nZby7nFafttRAgeQbEvulBsfdwBO9gBnqrw",
  "status": 400
}
Attention : Debug information:
 - domain ip from DNS        80.67.181.213
 - domain ip from local DNS  127.0.0.1
 - public ip of the server   80.67.181.213

Attention : Debug information:
 - domain ip from DNS        80.67.181.213
 - domain ip from local DNS  127.0.0.1
 - public ip of the server   80.67.181.213

Erreur : Certificate installation for stemy.me failed !
Exception: La signature du nouveau certificat a échoué

Mon serveur Web est (inclure la version) : Nginx 1.17

Le système d’exploitation sur lequel mon serveur Web s’exécute est (version incluse) : Yunohost 3.5.2.2

Mon hébergeur, le cas échéant, est : Moi-même (auto-hébergement)

Je peux me connecter à un shell root sur ma machine (oui ou non, ou je ne sais pas) : Oui

J’utilise un panneau de configuration pour gérer mon site (non, ou fournit le nom et la version du panneau de configuration) : oui, version inconnue.

2

Le conseil habituel pour l'erreur

est de réessayer plusieurs fois (5-10 fois). Pouvez-vous le faire et nous dire le résultat ?

3

Ça fait plusieurs jours que j’essaye à plusieurs reprises et que ça donne ce résultat-là.

4

Effectivement, je vois sur ton post https://forum.yunohost.org/t/certificate-renewing-attempt-for-stemy-me-failed/8025 :

2019-05-24 06:26:08,839 INFO     yunohost.certmanager get_crt - [24852.1] Parsing account key...
2019-05-24 06:26:08,920 INFO     yunohost.certmanager get_crt - [24852.1] Parsing CSR...
2019-05-24 06:26:08,990 INFO     yunohost.certmanager get_crt - [24852.1] Registering account...
2019-05-24 06:39:27,947 ERROR    yunohost.certmanager _fetch_and_enable_new_certificate - [24852.1] Error registering: 400 {
  "type": "urn:acme:error:badNonce",
  "detail": "JWS has invalid anti-replay nonce kkUg0MmIZ_AVCowuBS6HXKSXHAl7FJEkfEZLAZ6oA0U",
  "status": 400
}

Soit il y a un bug dans le client ACME de Yunohost, soit il y a un autre soucis, peut-être du coté de Let’s Encrypt.

Ping @_az @juergenauer any idea about this particular problem?

5

Normally, a client should never stop with that error. Instead, the client should fetch a new nonce and repeat the command.

But:

2019-05-24 06:26:08,990 INFO     yunohost.certmanager get_crt - [24852.1] Registering account...
2019-05-24 06:39:27,947 ERROR

Why there are 13 minutes?

If that client uses http-01 validation, there is no need to wait 13 minutes.