Certificat sur sous-domaine

Paschacroute · Septembre 15, 2022, 2:16

Bonjour,

J’ai finalement transféré mon HESK sur un sous-domaine qui pointe vers un hébergement chez Ouvaton et tout marche nickel ! Seul souci : pas de certificat SSL j’ai bien attendu les 24 heures prescrites mais toujours rien.
Il s’agit de ajuda.calandreta-gignac.org, le domaine est déposé chez OVH et pointe ainsi que ses sous-domaines vers les serveurs Ouvaton.

@MatthieuPatout ? tu peux quelque chose pour moi ?

--
Pascal

MatthieuPatout · Septembre 15, 2022, 2:22

Bonjour,

A priori l’espace a été créé un peu avant que les enregistrements DNS chez OVH soient créés ou répliqués sur l’ensemble d’internet, du coup la validation du certificat n’était pas possible.

Tout semble ok maintenant, le certificat devrait être en place vers 18h au plus tard.

Paschacroute · Septembre 15, 2022, 2:30

OK. Merci
Effectivement, j’ai commencé par créer l’espace et migrer le contenu dessus pour éviter l’interruption de service. Une fois que tout était en place, j’ai modifié les enregistrements DNS. C’est mon protocole habituel mais si ça pose problème au niveau des certificats, je vais peut-être devoir réfléchir à en changer

MatthieuPatout · Septembre 15, 2022, 2:37

Non, c’est une bonne façon de faire, mais du coup il faut nous avertir une fois les enregistrements DNS créés pour que nous relancions la création du certificat.

Dans les mois qui viennent, on devrait pouvoir mettre en place une deuxième et une troisième tentative automatique de création d’un certificat en cas d’erreur, pour gérer plus simplement ce genre de situation.

MacGyver · Septembre 16, 2022, 6:57

Bonjour,
Ou alors permettre à chacun de relancer la procédure manuellement depuis le futur Ouvadmin ?

MatthieuPatout · Septembre 17, 2022, 6:38

Bonjour,

Merci pour cette suggestion.
Son problème est qu’il nous faut remonter l’erreur rencontrée lors de la validation du certificat (et une explication sur comment la corriger), car si elle n’est pas corrigée, la validation restera impossible. On risque donc d’avoir de multiples tentatives qui ne peuvent pas aboutir si la personne clic beaucoup.

En ajoutant d’autres tentatives automatiques 12 et 48 heures après la première par exemple, on devrait réduire sensiblement les besoins d’assistance avec la génération des certificats, qui sont très souvent causé par une création de l’espace web avant la création du nom de domaine.

A priori on s’oriente plutôt vers l’ajout d’une vérification des enregistrements DNS avant de lancer la demande de création du certificat, ce qui va permettre de ne pas solliciter Let’s Encrypt si on est déjà sûr qu’il y a un problème.