installer redirection https certificat sur nom de domaine 1&1

[fred41]

Bonjour à tous

 

Je voudrais rediriger mon nom de domaine que j ai d'enregistré chez ionos (ex 1&1) vers mon nas en ip fixe, pour ne plus avoir cet avertissement de connexion non sécurisé à chaque fois que je me connecte a l'interface dsm.

 

Mais je me perd avec les réglages à effectuer.

 

Quelqu'un a  t il déjà fais ça chez ionos, si vous avez un lien vers un tuto spécifique a ionos, je suis intéressé.

 

D’avance, merci.

[nicoueron]

Salut,

 

Je ne connais pas ionos mais cela reste le même principe quelque soit le provider surtout si tu as une ip fixe. Je te fais un tuto pour OVH (j'ai pas mieux sous la main!) :

 

Il faut créer entrée DNS de type A matchant le nom DNS souscrit avec ton IP fixe :

Je conseille aussi de créer autant d'entrée DNS de type CNAME pour chacun des sous-domaine dont tu auras besoin - ici j'en créerai un nommé dsm.mondomaine.fr par exemple qui pointe vers l'entrée de type A :

 

Ensuite il faut aller dans ton routeur ouvrir le port (par défaut c'est le 5001) et rediriger le traffic vers l'IP interne de ton NAS :

Sur ma Freebox Revolution, cela donnerai ça :

[fred41]

Bonjour nicoueron, merci beaucoup pour ta réponse détaillée, mais je galère quand même.

 

Je pense avoir bien rempli, j'ai essayé de mettre les points avant et après, mais il ne le prend pas en compte, et j ai bien fais la redirection sur ma box.

 

http://109.666.666.666 ou http://machin.fr ou http://dsm.machin.fr je tombe sur la page de configuration de ma box.

https://109.666.666.666:5501 ou https://machin.fr:5501 ou https://dsm.machin.fr:5501 j'ai l' erreur de certificat.

 

Donc si j ai bien tout réglé, je ne comprend pas l’intérêt du "dsm." et j ai toujours l alerte de certificat que je voudrais ne plus avoir.

ma configuration :

 

 

Edited March 14, 2021 by fred41

[nicoueron]

OK. je comprend que ta configuration de redirection et de DNS est correcte.

 

En fait ton pb semble être plus lié à ton certificat. Celui-ci a été émis par qui et pour quel domaine / sous-domaine ? Si tu veux par MP tu peux m'envoyer ton nom de domaine que je teste.

 

Pour info, sur cette remarque :

Il y a 8 heures, fred41 a dit :

http://109.666.666.666 ou http://machin.fr ou http://dsm.machin.fr je tombe sur la page de configuration de ma box.

c'est normal, car implicitement tu demande le port 80, qui est redirigé via ton routeur sur justement la page d'administration du routeur.

 

Il y a 8 heures, fred41 a dit :

je ne comprend pas l’intérêt du "dsm."

ici le dsm correspond à un sous domaine de ton domaine.c'est très pratique pour distinguer différent services hébergé sur ton NAS. Pour que ton NAS fasse la distinction entre le domaine général et juste ce service il faut aller au niveau de la config de DSM via le portail d'applications dans le panneau de configuration. D'ailleurs tu pourras justement t'amuser à positionner et générer de VRAI certificats pour ce(s) sous domaine via Let's Encrypt.

[fred41]

Ok, ce qui m'interresse surtout c'est de ne pas avoir l'avertissement de certificat, et ce qu'en j y accède en local.

Je ne me sert pas vraiment de l’accès a distance, et d'ailleurs si il n'y a pas besoin de passer par mon nom de domaine perso, mais juste de de let's encrypt, je préfèrerais fermer l’accès extérieur pour la sécurité.

Je vais regarder ce certificat let's encrypt.

Je reviens te dire si j'y arrive.

Merci

[fred41]

Alors, j ai pu créer un certificat let's encrypt, mais quand je rentre https://dsm.machin.fr:5501, j'ai toujours l 'erreur de certificat.

J'avais déjà un certificat de synology, je ne sais pas si ça crée un conflit, et si il est nécessaire.

Il y a peut être un délais pour que le certificat let's encrypt soit valide, non?

[nicoueron]

effectivement ton certificat est émis pour synology.com ! et non mondomaine.fr 

D'ailleurs ton certificat est invalide car autosigné, donc l'autorité qui a émise ce certificat est inconnue des navigateurs : d'où ton erreur.

 

Si tu veux un certificat valide et donc plus d'avertissement dans ton navigateur deux solutions : 

soit tu ajoutes manuellement le dit certificat dans le magasin de certificats de Windows, mais si tu changes de PC tu auras à le refaire

soit tu ouvres temporairement le port 80 et 443 pour que Let's encrypt puisse te générer un certificat pour mondomaine.fr. une fois que la génération est faite tu pourras refermer les ports 80 et 443 car le renouvellement n'utilisera pas le même mécanisme. C'est juste une fois afin de s'assurer que tu es bien le propriétaire de ce domaine.

[nicoueron]

il y a 35 minutes, fred41 a dit :

Alors, j ai pu créer un certificat let's encrypt, mais quand je rentre https://dsm.machin.fr:5501, j'ai toujours l 'erreur de certificat.

J'avais déjà un certificat de synology, je ne sais pas si ça crée un conflit, et si il est nécessaire.

Il y a peut être un délais pour que le certificat let's encrypt soit valide, non?

OK, une fois que ça c'est fait, il faut maintenant l'affecter au bon service dans le reverse proxy (cf. portail des applications)

[fred41]

il y a 51 minutes, nicoueron a dit :

OK, une fois que ça c'est fait, il faut maintenant l'affecter au bon service dans le reverse proxy (cf. portail des applications)

oula... je vais me renseigner...

[fbittoun]

Bonjour Fred41,

 

Je vois que tu as ton domaine chez ionos, comme moi.

 

Il faut que tu aille sur ton compte ionos dans la partie certificat ssl puis dans la partie certificat ssl géré par vous-même.

Là tu aura la possibilité de générer un certificat SSL puis de télécharger les 3 fichiers :

_.todomaine.org_private_key.key > ça c'est la clé privée

tondomaine.org_ssl_certificate_INTERMEDIATE.cer

tondomaine.org_ssl_certificate.cer

 

avec ces 3 fichiers tu va sur ton DSM dans la partie sécurité / certificat / ajouter / importer le nouveau certificat et là il te demandera de charger les 3 fichiers récupérés chez ionos

 

il faut que ton certificat ssl soit celui par défaut pour que ta console DSM l'utilise (petit conseil ton certificat tu le génère et tu l'installe pour tous les sous-domaines : *.mondomaine.org

 

ensuite tout se passe dans le même menu sur configurer > la tu va affecter le certificat à tous tes sous-domaines, si tu en as (les sous domaines sur ton DSM se configure dans la console webstation / virtual host et bien sûr chez ionos en configurant le DNS du sous-domaine sur ton adresse public.

 

Perso j'héberge plusieurs domaines et sous-domaines et tout se passe bien une fois que tu as compris la logique.

 

Bien à toi.

Fred

 

[fbittoun]

j'oubliais : "ensuite tout se passe dans le même menu sur configurer > la tu va affecter le certificat à tous tes sous-domaines" et surtout à tous les services et applications de ton DSM pour lesquels tu veux utiliser ton domaine.

 

Bien à toi.

Fred

 

[nicoueron]

Il y a 4 heures, fbittoun a dit :

Ensuite tout se passe dans le même menu sur configurer > la tu va affecter le certificat à tous tes sous-domaines, si tu en as (les sous domaines sur ton DSM se configure dans la console webstation / virtual host et bien sûr chez ionos en configurant le DNS du sous-domaine sur ton adresse public.

Le certificat mis à dispo par ionos est valable combien de temps ? =>comment se passe le renouvellement du certificat lorsqu'il arrive à expiration ?

[fbittoun]

Le certificat est sans surcoût lorsque tu a un domaine chez eux. (100 ou 150 sous domaines)

Il est valable 1 an et renouvelé à la demande sur ton interface de gestion des certificats SSL. (tu reçois un avis pour te dire quand renouveler ton certificat)

De plus tu peux router via le paramétrage des DNS des sous-domaines sur d'autres adresses IP publiques.

et tu dispose également de ressources chez ionos pour installer un ou plusieurs CMS et 5 instances de database Mysql

Le certificat est bien sûr disponible sur ton domaine et tous tes sous-domaines quelque soit l'endroit où tu l'installes (chez ionos ou ailleurs)

 

J'utilises toutes ces fonctionnalités depuis plusieurs années sans problème chez ionos (anciennement oneandone) pour 20 € par an (un peu plus chez car je voulais un domaine en .org, en.fr ou .com c'est moins cher)

 

Petit conseil lorsque vous ouvrez vos DSM sur internet mettez bien en place l'anti DDOS et surtout le bannissement définitif des adresse ip après 3 tentatives en moins de 5 secondes. (cf. la gestion de la sécurité dans le DSM)

 

Le changement de port SSL (5001 ou n'importe quoi d'autre) n'a aucun effet. Mon système enregistre une vingtaine de tentatives d'intrusion par jour.

 

la console ESXi du serveur qui héberge mes DSM dont 2 ouverts sur internet n'est pas accessible depuis internet.

 

Bien à toi

[fred41]

Il y a 13 heures, fbittoun a dit :

Bonjour Fred41,

 

Je vois que tu as ton domaine chez ionos, comme moi.

 

Il faut que tu aille sur ton compte ionos dans la partie certificat ssl puis dans la partie certificat ssl géré par vous-même.

Là tu aura la possibilité de générer un certificat SSL puis de télécharger les 3 fichiers :

_.todomaine.org_private_key.key > ça c'est la clé privée

tondomaine.org_ssl_certificate_INTERMEDIATE.cer

tondomaine.org_ssl_certificate.cer

 

avec ces 3 fichiers tu va sur ton DSM dans la partie sécurité / certificat / ajouter / importer le nouveau certificat et là il te demandera de charger les 3 fichiers récupérés chez ionos

 

il faut que ton certificat ssl soit celui par défaut pour que ta console DSM l'utilise (petit conseil ton certificat tu le génère et tu l'installe pour tous les sous-domaines : *.mondomaine.org

 

ensuite tout se passe dans le même menu sur configurer > la tu va affecter le certificat à tous tes sous-domaines, si tu en as (les sous domaines sur ton DSM se configure dans la console webstation / virtual host et bien sûr chez ionos en configurant le DNS du sous-domaine sur ton adresse public.

 

Perso j'héberge plusieurs domaines et sous-domaines et tout se passe bien une fois que tu as compris la logique.

 

Bien à toi.

Fred

 

 

 

Merci beaucoup, je pense avoir bien suivi la procédure, que je n aurai jamais trouvé tout seul...

 

 

Mais quand je me connecte sur https://dsm.machin.fr:5501 je tombe sur cette page :

 

 

Par ailleurs, est ce que je dois/peut supprimer le certificat synology, a quoi sert il?

 

 

[fbittoun]

et tu peux cliquer sur le bouton configurer

 

Et là tu va pouvoir affecter ton certificat à tous les services et virtual host que tu souhaite

 

Petite question : et sur ta box/routeur il faut que tu aille dans la page NAT pour affecter tout ce qui arrive depuis internet sur le port 5501 vers l'adresse ip locale de ton serveur (du type 192.168.1.x) et le port ad hoc (5501 dans ton cas) pour le protocale choisi TCP

 

Bien à toi.

[fred41]

Il y a 10 heures, fbittoun a dit :

et tu peux cliquer sur le bouton configurer

 

Et là tu va pouvoir affecter ton certificat à tous les services et virtual host que tu souhaite

 

Petite question : et sur ta box/routeur il faut que tu aille dans la page NAT pour affecter tout ce qui arrive depuis internet sur le port 5501 vers l'adresse ip locale de ton serveur (du type 192.168.1.x) et le port ad hoc (5501 dans ton cas) pour le protocale choisi TCP

 

Bien à toi.

 

J'ai affecté mon certificat a tous les services dispos.

 

Est ce que je peux/dois supprimer celui de synology?

 

j avais déjà fais les règles nat sur ma box internet et sur mon routeur.

 

Mais, je dis peut être une bêtise mais a partir du moment ou j’atteins le nas en rentrant https://dsm.machin.fr:5501/ , c'est que mes réglages nat sont bons, non?

 

 

 

 

 

[fbittoun]

Pour ta question : est-ce que je peux supprimer le certificat synology : oui mais ce n'est pas la peine. Il s'agit du certificat auto signé qui te permet d'accéder à ton DSM avec un avertissement dans ton navigateur.

 

je vois que tu utilises un sous-domaine : dsm.machin.fr:5501 : commence par supprimer le sous-domaine : https://machin.fr:5501

Après il faut que tu aille dans panneau de configuration / portail des applications pour régler les url, reverse proxi des applications que tu veux rendre dispo via internet.

 

Bien à toi

[mprinfo]

Moi j'utilise une vm debian avec haproxy et cerbot pour renouveler mes certificats lets enscript. Haproxy me sert à rédiger le flux vers mon lan.
Le plus chiant c'est la configuration de haproxy

Envoyé de mon BLA-L29 en utilisant Tapatalk

[fbittoun]

Oui j'ai un copain qui a installé une VM pfsense mais bravo pour la configuration de ton haproxy, j'avoue que je n'ai pas envie de m'y lancer mais en terme de sécurité c'est quand même beaucoup mieux.

 

Bien à toi

[fred41]

Il y a 16 heures, fbittoun a dit :

Pour ta question : est-ce que je peux supprimer le certificat synology : oui mais ce n'est pas la peine. Il s'agit du certificat auto signé qui te permet d'accéder à ton DSM avec un avertissement dans ton navigateur.

 

je vois que tu utilises un sous-domaine : dsm.machin.fr:5501 : commence par supprimer le sous-domaine : https://machin.fr:5501

Après il faut que tu aille dans panneau de configuration / portail des applications pour régler les url, reverse proxi des applications que tu veux rendre dispo via internet.

 

Bien à toi

 

YES ! Ça fonctionne, merci beaucoup @nicoueron et @fbittoun.

 

J'espère que ça servira à quelqu'un d'autre.

 

Petite question subsidiaire, aurait il été possible de ne plus avoir l avertissement de certificat, juste avec une consultation direct par l' ip locale?

Sans ouvrir d’accès vers l’extérieur?

 

Encore Merci

[nicoueron]

Il y a 6 heures, fred41 a dit :

Petite question subsidiaire, aurait il été possible de ne plus avoir l avertissement de certificat, juste avec une consultation direct par l' ip locale?

Sans ouvrir d’accès vers l’extérieur?

C'est techniquement possible, cela passe par l'attribut SAN (Subject Alternative Name). dont le champ à la propriété d'être à la fois prévu pour une chaine de caractères ou une IP. MAintenant est-ce que ionos propose l'interface pour la saisir en plus du nom mondomaine.fr là j'en sais rien 😕

[fbittoun]

Merci Nicoueron pour cette précision et la réponse est non ionos ne propose pas la possibilité d'un nom alternatif.

 

Bien à vous.

Fred