matth-moz

Probleme certificat letsencrypt

Recommended Posts

Bonsoir à tous.

 

J'ai enfin démarré mon serveur. Je suis pourtant bloqué sur les certificats.

 

2020-06-19_21h28_53.thumb.png.5e25798da65d2e461f1e9e7800b97725.png

 

Je suis en installation bare metal DS3615xs - DSM 6.1.7-15284 Update 3.

 

LAN controller:    Intel® I219-V Gigabit LAN controller
PSU:                      MT/500W ATX
Motherboard:      MSI B250 PC MATE

CPU:                     Intel Pentium G4520 - 3.5GHz/3Mo/LGA1151
RAM:                    4 GB

 

2020-06-19_21h26_12.thumb.png.5544cef86a626b3d4d077305271fde6f.png

 

J'ai bien ouvert les ports 80 et 443 sur ma Freebox dirigés vers mon NAS mais j'ai systématiquement un échec lors de la création du certificat.

 

2020-06-19_21h14_50.png.43b60e894f1491f7c6a72a1c4b736de9.png

 

J’avais créé un nom de domaine sur la Freebox V6 qui me permet jusque là de pouvoir accéder à mon jeedom de manière sécurisée (HTTPS).

Je pensai pouvoir créer un nouveau certificat pour mon nas avec le même nom de domaine mais là je sèche.

J'ai rebooté la box et le nas à plusieurs reprise. J'ai installé le paquet web station sans plus de paramétrage que ça. Peut-être est ce que j'oublie quelque chose !!!

 

Auriez vous des pistes pour m'aider

 

Dans l'attente de votre retour. Bonne soirée

Share this post


Link to post
Share on other sites

je suppose que les xxxxx pour la capture son juste là pour la capture?^^

apres ce domaine appartient à Free, je ne suis pas sur que tu puisses le faire depuis DSM sans le demander autrement que par la freebox.

Share this post


Link to post
Share on other sites

Oui c'est bien pour la capture que j'ai mis les xxx. Pour mon raspberry avec Jeedom ça a très bien fonctionné. Je pensais donc que ça marcherait. 

Vous pensez donc qu'il faut que je prenne un nom de domaine ailleurs ? 

Share this post


Link to post
Share on other sites

oui il ouvre la page de web station en 4G avec un avertissement de certificat.

 

Screenshot_20200621-153949.thumb.jpg.8dc492dfde02daac552879ec5a781532.jpg

Share this post


Link to post
Share on other sites

Pensez vous que cela puisse venir du fait que mon nom de domaine soit à FREE ou plutôt un problème de mon installation. Ce que j'ai peur, c'est de prendre un nom de domaine chez OVH par exemple et de ne pas pouvoir m'en servir après. 

Merci d'avance pour vos retours

Share this post


Link to post
Share on other sites

Sur ton dsm il faut que tu ailles dans configuration > sécurité > certificat

 

il faut vérifier que le certificat pour ton domaine est bien installé et configuré.

 

Bien à toi

Share this post


Link to post
Share on other sites
Posted (edited)
Il y a 7 heures, matth-moz a dit :

Pensez vous que cela puisse venir du fait que mon nom de domaine soit à FREE

 

Oui, je pense. Je ne sait pas comment ( et si il le fait ) Lets Encrypt vérifie que le domaine t'appartienne vraiment mais cela pourrai expliquer le soucis.

 

Je viens d'essayer avec trucmuche.google.fr et trucmuche.freeboxos.fr dans les deux cas, j'ai une erreur, différente de la tienne mais erreur tout de meme !  Alors que mes autres certificats ne posent pas de soucis.

 

FJ3nGcl.png

Edited by EVOTk

Share this post


Link to post
Share on other sites
Posted (edited)

let's encrypt ne verifie pas que le domaine t'appartient ou pas il regarde juste si sur le port 80 il debarque bien sur la meme IP que la demande

https://letsencrypt.org/fr/docs/allow-port-80/

 

j'ai un certificat sur mon xpenology a la maison avec un ip dynamique sur no-ip du genre    xxxxxxx.ddns.net tu peux tester ça sans avoir a acheter un nom meme si ton ip est fixe le ddns fonctionera 15 jours

 

 

mais bon un nom de domaine en .ovh c'est 1.99 HT / an

 

et.. trucmuche.ovh est dispo 😄

 

certddns.jpg

d936f7fd072cce45d4abecb1466030b5.png

Edited by calvinux
  • Like 1

Share this post


Link to post
Share on other sites

Bonjour,

 

Je reviens vous donner des nouvelles. Je suis toujours coincé au même endroit.

J'ai pris un nom de domaine chez OVH que j'ai configuré vers mon adresse ip publique. J'ai configuré le DYNHost sur OVH.

Lors de la demande de certificat j'ai toujours le même message.

 

2020-06-23_12h52_26.thumb.png.463da96140bf3b76824defc05a6848cb.png

J'ai bien retesté la connexion en 4G et je tombe sur web station de synology.

En reverse proxy, j'accède à tous les services avec l'avertissement de sécurité car je ne peut pas créer ce certificat.

C'est pas possible je doit avoir un problème avec mon dsm ou une config.

J'ai toujours ce message sans avoir jamais eu de messages sur les ports.

 

Une autre idée ?

Share this post


Link to post
Share on other sites

- les dns sont bien propagés ,

 

chez -->  https://www.whatsmydns.net/

 

 tous les serveurs tombent sur ton IP ?

 

 

 

 - juste pour etre sur tu as bien un ip full stack chez free et pas leur merde de partage d'ip a plusieurs

 

802008FireShotCapture69EspaceabonnFreebo

Share this post


Link to post
Share on other sites
il y a 12 minutes, EVOTk a dit :

le port 80 est t'il bien ouvert ?

Oui j'ai bien ouvert le port 80 et le 443 sur la Freebox vers l'IP du nas et j'ai essayé de rajouter une règle de pare-feu sur le syno pour ces 2 ports également

Share this post


Link to post
Share on other sites
il y a 17 minutes, calvinux a dit :

- les dns sont bien propagés ,

 

chez -->  https://www.whatsmydns.net/

 

 tous les serveurs tombent sur ton IP ?

 

 

 

 - juste pour etre sur tu as bien un ip full stack chez free et pas leur merde de partage d'ip a plusieurs

 

802008FireShotCapture69EspaceabonnFreebo

Les serveurs DNS répondent tous sauf Los Angeles. Pour l'adresse ipv4 je suis bien en full stack avec tous les ports accessibles

Share this post


Link to post
Share on other sites
Posted (edited)

Si tu as fait un champ de type A vers ton ip fixe dans la zone dns tu n'as plus besoin de dyndns

ac898d54ee7e06a9b7dac56a7825dfc3.png

Edited by calvinux

Share this post


Link to post
Share on other sites
il y a 49 minutes, matth-moz a dit :

Oui j'ai bien ouvert le port 80 et le 443 sur la Freebox vers l'IP du nas et j'ai essayé de rajouter une règle de pare-feu sur le syno pour ces 2 ports également

Essayé ? Peut tu nous fournir un imprim ecran de tes regles de parefeu ?

Share this post


Link to post
Share on other sites

Effectivement, ici il n'est pas en cause, car reglé comme ceci, il ne bloque rien ! Je te conseil de lire quelques tuto sur le reglage des parefeu sur un synology.

Dans tout les cas, sa avance pas notre soucis :( Tres étrange ton erreur !

 

Le sous domaine contient quel mot ? Je sait que certains mot semble poser soucis a lets encrypt par exemple, pour mon nom de domaine, javais un echec si je voulais faire un certificat pour le sous domaine hack.ndd.fr

Share this post


Link to post
Share on other sites

Rien de particulier dans les sous domaines

dsm.ddn.ovh

cam01.ddn.ovh

file.ddn.ovh

jeedom.ddn.ovh

Etc..

 

 

Share this post


Link to post
Share on other sites

Y a t il moyen d'installer le certificat sur mon nas en ligne de commande ? Via putty par exemple comme je l'avais fait pour mon raspberry avec Jeedom ?

J'ai déjà suivi un tuto pour activer le ssh. C'est peut-être la solution. Quand pensez-vous ? Quelqu'un a t il déjà fait ça ?

Est ce que le certificat, s'il est généré de cette façon remontera dans la partie sécurité du dsl ?

Share this post


Link to post
Share on other sites
Le 23/06/2020 à 14:51, calvinux a dit :

bon je pense avoir une piste

j'explique :

 

let's encrypt a supprimé certaine methode de validation et je pense que ton proble viens que ta version DSM 6.1.7-15284 Update 3 ne supporte pas le challenge http-01

 

un peu de lecture :

 

 

https://community.synology.com/enu/forum/1/post/122673

 

 

 

 

Ca y est !!!

C'était bien un problème de version de certificat et pas de configuration ou de ports.

J'ai suivi le tuto de NiGGaZ pour modifier la version du certificat en SSH via putty (Synology DSM 6.1 (xpenology) Lets Encrypt ACMEv1 to ACMEv2).

J'ai pu ensuite générer un nouveau certificat valide pour mon nom de domaine. Ça aurait peut être marché avec mon nom de domaine free !!

Ça servira peut-être à d'autres personnes.

Merci pour votre aide.

 

Comment passe t on le sujet en Résolu ?

 

 

Share this post


Link to post
Share on other sites

Je n'utilise pas cela sous dsm
Je préfère une VM debian avec haproxy
C'est un peu hard pour configurer haproxy mais après c'est top est plus besoin d'ouvrir des ports. J'ai cerbot avec un cron pour renouveler automatiquement m'est certificat tout les 3 mois. Une fois installé plus rien a faire cela fonctionne depuis plusieurs années

Envoyé de mon BLA-L29 en utilisant Tapatalk

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.