Jump to content
XPEnology Community

Probleme certificat letsencrypt


Recommended Posts

Bonsoir à tous.

 

J'ai enfin démarré mon serveur. Je suis pourtant bloqué sur les certificats.

 

2020-06-19_21h28_53.thumb.png.5e25798da65d2e461f1e9e7800b97725.png

 

Je suis en installation bare metal DS3615xs - DSM 6.1.7-15284 Update 3.

 

LAN controller:    Intel® I219-V Gigabit LAN controller
PSU:                      MT/500W ATX
Motherboard:      MSI B250 PC MATE

CPU:                     Intel Pentium G4520 - 3.5GHz/3Mo/LGA1151
RAM:                    4 GB

 

2020-06-19_21h26_12.thumb.png.5544cef86a626b3d4d077305271fde6f.png

 

J'ai bien ouvert les ports 80 et 443 sur ma Freebox dirigés vers mon NAS mais j'ai systématiquement un échec lors de la création du certificat.

 

2020-06-19_21h14_50.png.43b60e894f1491f7c6a72a1c4b736de9.png

 

J’avais créé un nom de domaine sur la Freebox V6 qui me permet jusque là de pouvoir accéder à mon jeedom de manière sécurisée (HTTPS).

Je pensai pouvoir créer un nouveau certificat pour mon nas avec le même nom de domaine mais là je sèche.

J'ai rebooté la box et le nas à plusieurs reprise. J'ai installé le paquet web station sans plus de paramétrage que ça. Peut-être est ce que j'oublie quelque chose !!!

 

Auriez vous des pistes pour m'aider

 

Dans l'attente de votre retour. Bonne soirée

Link to comment
Share on other sites

Pensez vous que cela puisse venir du fait que mon nom de domaine soit à FREE ou plutôt un problème de mon installation. Ce que j'ai peur, c'est de prendre un nom de domaine chez OVH par exemple et de ne pas pouvoir m'en servir après. 

Merci d'avance pour vos retours

Link to comment
Share on other sites

Il y a 7 heures, matth-moz a dit :

Pensez vous que cela puisse venir du fait que mon nom de domaine soit à FREE

 

Oui, je pense. Je ne sait pas comment ( et si il le fait ) Lets Encrypt vérifie que le domaine t'appartienne vraiment mais cela pourrai expliquer le soucis.

 

Je viens d'essayer avec trucmuche.google.fr et trucmuche.freeboxos.fr dans les deux cas, j'ai une erreur, différente de la tienne mais erreur tout de meme !  Alors que mes autres certificats ne posent pas de soucis.

 

FJ3nGcl.png

Edited by EVOTk
Link to comment
Share on other sites

let's encrypt ne verifie pas que le domaine t'appartient ou pas il regarde juste si sur le port 80 il debarque bien sur la meme IP que la demande

https://letsencrypt.org/fr/docs/allow-port-80/

 

j'ai un certificat sur mon xpenology a la maison avec un ip dynamique sur no-ip du genre    xxxxxxx.ddns.net tu peux tester ça sans avoir a acheter un nom meme si ton ip est fixe le ddns fonctionera 15 jours

 

 

mais bon un nom de domaine en .ovh c'est 1.99 HT / an

 

et.. trucmuche.ovh est dispo 😄

 

certddns.jpg

d936f7fd072cce45d4abecb1466030b5.png

Edited by calvinux
Link to comment
Share on other sites

Bonjour,

 

Je reviens vous donner des nouvelles. Je suis toujours coincé au même endroit.

J'ai pris un nom de domaine chez OVH que j'ai configuré vers mon adresse ip publique. J'ai configuré le DYNHost sur OVH.

Lors de la demande de certificat j'ai toujours le même message.

 

2020-06-23_12h52_26.thumb.png.463da96140bf3b76824defc05a6848cb.png

J'ai bien retesté la connexion en 4G et je tombe sur web station de synology.

En reverse proxy, j'accède à tous les services avec l'avertissement de sécurité car je ne peut pas créer ce certificat.

C'est pas possible je doit avoir un problème avec mon dsm ou une config.

J'ai toujours ce message sans avoir jamais eu de messages sur les ports.

 

Une autre idée ?

Link to comment
Share on other sites

il y a 17 minutes, calvinux a dit :

- les dns sont bien propagés ,

 

chez -->  https://www.whatsmydns.net/

 

 tous les serveurs tombent sur ton IP ?

 

 

 

 - juste pour etre sur tu as bien un ip full stack chez free et pas leur merde de partage d'ip a plusieurs

 

802008FireShotCapture69EspaceabonnFreebo

Les serveurs DNS répondent tous sauf Los Angeles. Pour l'adresse ipv4 je suis bien en full stack avec tous les ports accessibles

Link to comment
Share on other sites

il y a 49 minutes, matth-moz a dit :

Oui j'ai bien ouvert le port 80 et le 443 sur la Freebox vers l'IP du nas et j'ai essayé de rajouter une règle de pare-feu sur le syno pour ces 2 ports également

Essayé ? Peut tu nous fournir un imprim ecran de tes regles de parefeu ?

Link to comment
Share on other sites

Effectivement, ici il n'est pas en cause, car reglé comme ceci, il ne bloque rien ! Je te conseil de lire quelques tuto sur le reglage des parefeu sur un synology.

Dans tout les cas, sa avance pas notre soucis :( Tres étrange ton erreur !

 

Le sous domaine contient quel mot ? Je sait que certains mot semble poser soucis a lets encrypt par exemple, pour mon nom de domaine, javais un echec si je voulais faire un certificat pour le sous domaine hack.ndd.fr

Link to comment
Share on other sites

Y a t il moyen d'installer le certificat sur mon nas en ligne de commande ? Via putty par exemple comme je l'avais fait pour mon raspberry avec Jeedom ?

J'ai déjà suivi un tuto pour activer le ssh. C'est peut-être la solution. Quand pensez-vous ? Quelqu'un a t il déjà fait ça ?

Est ce que le certificat, s'il est généré de cette façon remontera dans la partie sécurité du dsl ?

Link to comment
Share on other sites

Le 23/06/2020 à 14:51, calvinux a dit :

bon je pense avoir une piste

j'explique :

 

let's encrypt a supprimé certaine methode de validation et je pense que ton proble viens que ta version DSM 6.1.7-15284 Update 3 ne supporte pas le challenge http-01

 

un peu de lecture :

 

 

https://community.synology.com/enu/forum/1/post/122673

 

 

 

 

Ca y est !!!

C'était bien un problème de version de certificat et pas de configuration ou de ports.

J'ai suivi le tuto de NiGGaZ pour modifier la version du certificat en SSH via putty (Synology DSM 6.1 (xpenology) Lets Encrypt ACMEv1 to ACMEv2).

J'ai pu ensuite générer un nouveau certificat valide pour mon nom de domaine. Ça aurait peut être marché avec mon nom de domaine free !!

Ça servira peut-être à d'autres personnes.

Merci pour votre aide.

 

Comment passe t on le sujet en Résolu ?

 

 

Link to comment
Share on other sites

Je n'utilise pas cela sous dsm
Je préfère une VM debian avec haproxy
C'est un peu hard pour configurer haproxy mais après c'est top est plus besoin d'ouvrir des ports. J'ai cerbot avec un cron pour renouveler automatiquement m'est certificat tout les 3 mois. Une fois installé plus rien a faire cela fonctionne depuis plusieurs années

Envoyé de mon BLA-L29 en utilisant Tapatalk

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...