DATE=$(date --utc +'%FT%TZ')
mkdir -p ~letsencrypt/{bin,certs/archive/$DATE,private,challenges}

à la place de

mkdir -p ~letsencrypt/{bin,certs/archive/$(date --utc +'%FT%TZ'),private,challenges}

et plus loin

ln -s archive/$DATE ~letsencrypt/certs/live

à la place de

ln -s archive/$(date --utc +'%FT%TZ') ~letsencrypt/certs/live

En effet, entre la création du dossier et celle du lien symbolique, l'heure change et le lien pointe sur un dossier qui n'existe pas. D'ailleurs cette "erreur" est corrigée dans le script de renouvellement.

wget -O ~letsencrypt/bin/acme_tiny.py https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py

Il ne se télécharge pas, dans le terminal, j'ai:

--2017-08-16 20:16:54-- (essai : 3) https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py
Connexion à raw.githubusercontent.com (raw.githubusercontent.com)|151.101.120.133|:443…

Savez-vous pourquoi ? Cela semble étrange que Github ne me laisse pas le télécharger !


Parsing account key...
Parsing CSR...
Registering account...
Already registered!
[...]
Verifying domain.fr...
Traceback (most recent call last):
File "/etc/letsencrypt/bin/acme_tiny.py", line 198, in
main(sys.argv[1:])
File "/etc/letsencrypt/bin/acme_tiny.py", line 194, in main
signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
File "/etc/letsencrypt/bin/acme_tiny.py", line 123, in get_crt
wellknown_path, wellknown_url))
ValueError: Wrote file to /etc/letsencrypt/challenges/zMEgccOddwbxBgMiP6qWOc9iYcoJPrN8-dVTaGkiCrI, but couldn't download http://tondomaine.fr/.well-known/acme-challenge/zMEgccOddwbxBgMiP6qWOc9iYcoJPrN8-dVTaGkiCrI

Me reste plus qu'à trouver une autre autorité de certification... :/

En revanche je ne vois pas la raison pour laquelle tu devrais revoir le format de date, tout devrais fonctionner avec le format initial...

Quand à la commande sudo, effectivement, il semblerait qu'elle ne soit pas installé par défaut sur Jessie.

Merci de tes réponses

V.

Le lien symbolique "live" doit en général pointer sur le dernier sous-dossier créé dans archive (dont le nom est la date la plus récente). Pour corriger tu peux donc simplement supprimer le lien cassé puis le recréer en pointant sur le bon dossier. Je t'invite à relire mes précédentes réponses en complément.

Je n'ai en effet rien intégré pour supprimer automatiquement les anciens dossiers. Je ne suis pas vraiment fan des scripts de suppression automatique : il y a toujours le risque qu'un de ces scripts ne supprime plus qu'il ne devrait ! Et puis ici, avec un renouvellement tous les 2 mois, cela fait au final seulement six dossiers par an. Du coup j'ai préféré dans mon cas faire le nettoyage manuellement une fois par an. Après libre à chacun d'adapter ce qui est proposé selon ses préférences et d'ajouter si nécessaire un petit script auxiliaire pour faire le ménage .

J'ai tenté de lancer le script de renouvellement mais je n'ai eu qu'une réponse "négative" dans le sens où le certif conservant encore 89 jours de validité il n'est pas renouvelé... En soi ce n'est pas si négatif que ça, au moins cela montre qu'une partie du script semble s'exécuter comme attendu !
J'imagine que je n'aurai de réponse définitive qu'au moment où le critère de renouvellement sera atteint.

Encore merci pour la réponse et le tuto

PS : je viens de réaliser, il y a du coup au fur et à mesure des renouvellements une accumulation des dossiers de stockage des certifs, j'imagine que rien n'empêche de supprimer les anciens (par exemple sur la base de leur date justement : inutile de garder les dossiers de plus de 90 jours car les certifs qu'ils contiennent sont forcément périmés) ? Auquel cas j'essaierai de voir si je peux inclure ça dans le script de renouvellement automatique : je n'aime pas l'accumulation de fichiers/dossiers inutiles .

Effectivement le lien symbolique doit toujours pointer vers le dernier dossier créé, de sorte à ce que le dernier certificat généré en date soit utilisé (à moins que la dernière exécution ait planté, et dans ce cas tout l'intérêt de ce lien est justement de pouvoir switcher rapidement vers une précédente "version").

J'ai parcouru rapidement, et j'ai juste quelques détails que je ne comprends pas ou peu : dans l'étape préparatoire (création de l'utilisateur dédié + dossiers), il y a ce morceau de code :
mkdir -p ~letsencrypt/{bin,certs/archive/$(date --utc +'%FT%TZ'),private,challenges}
suivi plus loin de :
ln -s archive/$(date --utc +'%FT%TZ') ~letsencrypt/certs/live

Dans le premier cas il s'agit de créer un dossier à la date/heure UTC actuelle ? Le '%TZ' final ne devrait-il pas être '%T%Z' ? (car sinon chez moi ça me retourne par exemple '08:14:49Z' au lieu de '08:14:49UTC')
Le cas échéant on retrouve cette 'coquille' (si c'en est une ! ^^) dans le script de renouvellement (ainsi que celui proposé sur Github).
Pour le lien symbolique, j'imagine qu'il faut en fait le faire sur le dossier précédemment créé et non retaper avec la commande date ?

Merci en tout cas pour ce superbe tuto que je cherche depuis quelques jours, les précédents ne m'ayant pas toujours satisfait !