TuringFan

@oracle7, J'ai probablement dépassé la limite LE, je vais donc essayer de nouveau dans 7 jours ... car quand je lance le script python je n'ai plus de nouveau acmelog. Si je veux tous recommencer (sauf paramétrage PuTTY et API OVH) quels répértoires dois-je supprimer ? /usr/local/share/acme.sh /volume1/Certs /Volume1/Scripts D'autres ? Merci @bruno78, Je pense que le problème est clairement du côté de mes manipulations ... Je vais ressayer dans 7 jours un -f sinon tous recommencer.

PS : j'ai aussi remarqué que le script python -f ne s'executait avec une erreur il altérait le fichier account.conf : suppression partielle ou totale des lignes.

Merci @oracle7, J'ai bien ça avec les bon id / mdp qui contiennent un caractère spécial : le "@" mais je n'ai jamais eu de problème avec mes précédentes tentatives, dont au moins une qui a fonctionné. account.conf semble ok aussi ... A noter que quand je lance un python3 -l j'obtiens un log avec : -- Date de renouvellement autorisee (T0+60 jours par defaut) : Thu Nov 12 16:31:53 UTC 2020 -- La date de renouvellement du certificat ( Thu Nov 12 16:31:53 UTC 2020 ) n'est pas atteinte -- Inutile de renouveler le certificat -> fin du script Mais mon NAS indique lui une date de renouvellement au 23/09/2020 !

Bon, De pire en pire, j'ai fait un clean (-c) puis un force (-f) et j'obtiens un acmelog super bizarre : [Sun Sep 13 18:50:03 CEST 2020] Running cmd: cron [Sun Sep 13 18:50:03 CEST 2020] Using config home:/usr/local/share/acme.sh/ [Sun Sep 13 18:50:04 CEST 2020] default_acme_server [Sun Sep 13 18:50:04 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory' [Sun Sep 13 18:50:04 CEST 2020] [1;32m===Starting cron===[0m [Sun Sep 13 18:50:04 CEST 2020] Using config home:/usr/local/share/acme.sh/ [Sun Sep 13 18:50:04 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory' [Sun Sep 13 18:50:04 CEST 2020] _stopRenewOnError [Sun Sep 13 18:50:04 CEST 2020] _set_level='2' [Sun Sep 13 18:50:04 CEST 2020] di='/volume1/Certs /*.*/' [Sun Sep 13 18:50:04 CEST 2020] Not a directory, skip: /volume1/Certs /*.*/ [Sun Sep 13 18:50:04 CEST 2020] _error_level='3' [Sun Sep 13 18:50:04 CEST 2020] _set_level='2' [Sun Sep 13 18:50:04 CEST 2020] [1;32m===End cron===[0m Avec cette fois ci un account.conf qui semble chernet avec les clefs API que j'avais sauvé : LOG_FILE='/volume1/Certs/Acme_renew/acmelog' #LOG_LEVEL=1 AUTO_UPGRADE='1 ' #NO_TIMESTAMP=1 CERT_HOME='/volume1/Certs' ACCOUNT_EMAIL='monmail@ndd' UPGRADE_HASH='****************************************' SAVED_OVH_AK='****************' SAVED_OVH_AS='********************************' USER_PATH='/sbin:/bin:/usr/sbin:/usr/bin:/usr/syno/sbin:/usr/syno/bin:/usr/local/sbin:/usr/local/bin' OVH_CK='********************************' Des idées ?

@oracle7, Pardon pour le retour tardif mais je n'ai pas réussi seul à solutionner le problème. J'avais je pense des problèmes de saut de ligne en haut de mon fichier account, je l'ai ai tous enlevé puis j'ai lancé depuis PuTTy en vrai root le script en -l, voici mon nouveau message d'erreur : [Sun Sep 13 18:31:59 CEST 2020] Unable to authenticate to localhost:5000 using http. [Sun Sep 13 18:31:59 CEST 2020] Check your username and password. [Sun Sep 13 18:31:59 CEST 2020] Error deploy for domain:mondomaine.eu [Sun Sep 13 18:31:59 CEST 2020] Deploy error. [Sun Sep 13 18:31:59 CEST 2020] Return code: 1 Une idée ?

Ok, donc il faut bien utiliser cette commande ? C'est ce que j'avais en tête mais je voualis vérifier. Merci.

@oracle7, J'ai bien une clef dans le fichier account.conf mais ce n'est pas la même que celle que j'avais conservé ... l'Application Key n'a pas changée elle ... Pourquoi ? Du coup il me suffit de remplacer par la bonne clef dans le le fichier et ce sera bon ? Autre question avant de lancer le script option clean (-c) depuis PuTTy faut il utiliser la commande sodu su après le log en admin ou non ?

@oracle7 et @bruno78, Peut être un élément utile, j'ai essayé de lancer le script avec l'option -c depuis PuTTY avec la commande python acme_renew.py -c mondomaine.ndd. Le log admin se fait bien, en revanche j'obtiens le message d'erreur suivant : Traceback (most recent call last): File "acme_renew.py", line 29, in <module> f = open(fichier, "r") IOError: [Errno 13] Permission denied: u'/usr/local/share/acme.sh/account.conf' Je en sais pas comment interpréter ce log ? Sinon, vous trouverz ci-dessous mes logs : j'ai surligné des éléments peut-être pertinents (ou non). N’hésitez pas non plus à me dire si j'ai laissé trainé des infos confidentielles au lieu d'utiliser des "*". Log Python 09/13/2020 12:06:50 PM INFO:>> Lancement du script acme_renew.py 09/13/2020 12:06:50 PM INFO:>> Si option -h ou -v, alors pas d'autre log 09/13/2020 12:06:50 PM INFO: 09/13/2020 12:06:50 PM INFO:>> acme_renew release : Version 1.44 Released -- 21-aout-2020 09/13/2020 12:06:50 PM INFO:>> version python sys : Python 2.7.12 09/13/2020 12:06:50 PM INFO: SYNOCERT : /usr/syno/etc/certificate 09/13/2020 12:06:50 PM INFO: LOCALCERT : /usr/local/etc/certificate 09/13/2020 12:06:50 PM INFO: ACMECERTS : /volume1/Certs 09/13/2020 12:06:50 PM INFO: ndd.tld : mondomaine.ndd 09/13/2020 12:06:50 PM INFO: certtype : RSA 09/13/2020 12:06:50 PM INFO: scriptdir : /volume1/Certs/Acme_renew 09/13/2020 12:06:50 PM INFO: log [-l] : True 09/13/2020 12:06:50 PM INFO: clean [-c] : False 09/13/2020 12:06:50 PM INFO: force [-f] : False 09/13/2020 12:06:50 PM INFO: test [-t] : False 09/13/2020 12:06:50 PM INFO:-- Lecture du fichier /usr/syno/etc/certificate/_archive/DEFAULT 09/13/2020 12:06:50 PM INFO:-- Ancien certificat par DEFAULT, a renouveler : ****** 09/13/2020 12:06:50 PM INFO:-- Lecture du fichier /usr/syno/etc/certificate/_archive/INFO 09/13/2020 12:06:50 PM INFO:-- Date de renouvellement autorisee (T0+60 jours par defaut) : Mon Aug 24 20:42:28 UTC 2020 09/13/2020 12:06:50 PM INFO:-- La date de renouvellement du certificat est atteinte 09/13/2020 12:06:50 PM INFO:-- Debut de la procedure de renouvellement 09/13/2020 12:06:50 PM INFO:-- Sauvegarde du repertoire SYNOCERT/_archive: tar cvfP /usr/syno/etc/certificate/_archive.tar.************** /usr/syno/etc/certificate/_archive/ 09/13/2020 12:06:50 PM INFO:-- listesrv : liste packages et services concernes par ce certificat : 09/13/2020 12:06:50 PM INFO: -- [subscriber][service][display_name][isPkg] : [system] [default] [DSM Desktop Service] [False] 09/13/2020 12:06:50 PM INFO: -- [subscriber][service][display_name][isPkg] : [smbftpd] [ftpd] [FTPS] [False] 09/13/2020 12:06:50 PM INFO: -- [subscriber][service][display_name][isPkg] : [SynologyDrive] [SynologyDrive] [Synology Drive Server] [True] 09/13/2020 12:06:50 PM INFO: -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [audio.mondomaine.ndd] [False] 09/13/2020 12:06:50 PM INFO: -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [nas.mondomaine.ndd] [False] 09/13/2020 12:06:50 PM INFO: -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [drive.mondomaine.ndd] [False] 09/13/2020 12:06:50 PM INFO: -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [video.mondomaine.ndd] [False] 09/13/2020 12:06:50 PM INFO: -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [photo.mondomaine.ndd] [False] 09/13/2020 12:06:50 PM INFO: -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [vpn.mondomaine.ndd] [False] 09/13/2020 12:06:50 PM INFO: -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [chat.mondomaine.ndd] [False] 09/13/2020 12:06:50 PM INFO: -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [download.mondomaine.ndd] [False] 09/13/2020 12:06:50 PM INFO: -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [files.mondomaine.ndd] [False] 09/13/2020 12:06:50 PM INFO: -- [subscriber][service][display_name][isPkg] : [ReverseProxy] [********-****-****-****-************] [note.mondomaine.ndd] [False] 09/13/2020 12:06:50 PM INFO:-- Renouvellement certificat via acme.sh 09/13/2020 12:06:50 PM INFO:-- Export des variables environnement : SYNO_Create, SYNO_Username, SYNO_Password, SYNO_DID 09/13/2020 12:06:50 PM INFO:-- Lancement de la commande de renouvellement : bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --log /volume1/Certs/Acme_renew/acmelog --home /usr/local/share/acme.sh/ 09/13/2020 12:07:01 PM INFO:-- Nouveau certificat par DEFAULT : ****** 09/13/2020 12:07:01 PM ERROR:-- Le certificat n'a pas ete renouvele. 09/13/2020 12:07:01 PM ERROR:-- Consulter le log de acme.sh : /volume1/Certs/Acme_renew/acmelog 09/13/2020 12:07:01 PM ERROR:-- Fin de la procedure Log ACME [Sun Sep 13 12:06:50 CEST 2020] Lets find script dir. [Sun Sep 13 12:06:50 CEST 2020] _SCRIPT_='/usr/local/share/acme.sh/acme.sh' [Sun Sep 13 12:06:50 CEST 2020] _script='/usr/local/share/acme.sh/acme.sh' [Sun Sep 13 12:06:50 CEST 2020] _script_home='/usr/local/share/acme.sh' [Sun Sep 13 12:06:50 CEST 2020] Using config home:/usr/local/share/acme.sh/ [Sun Sep 13 12:06:50 CEST 2020] Running cmd: cron [Sun Sep 13 12:06:50 CEST 2020] Using config home:/usr/local/share/acme.sh/ [Sun Sep 13 12:06:50 CEST 2020] default_acme_server [Sun Sep 13 12:06:50 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory' [Sun Sep 13 12:06:50 CEST 2020] ===Starting cron=== [Sun Sep 13 12:06:50 CEST 2020] Using config home:/usr/local/share/acme.sh/ [Sun Sep 13 12:06:50 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory' [Sun Sep 13 12:06:50 CEST 2020] Installing from online archive. [Sun Sep 13 12:06:50 CEST 2020] Downloading https://github.com/acmesh-official/acme.sh/archive/master.tar.gz [Sun Sep 13 12:06:50 CEST 2020] GET [Sun Sep 13 12:06:50 CEST 2020] url='https://github.com/acmesh-official/acme.sh/archive/master.tar.gz' [Sun Sep 13 12:06:50 CEST 2020] timeout= [Sun Sep 13 12:06:50 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header -g ' [Sun Sep 13 12:06:51 CEST 2020] ret='0' [Sun Sep 13 12:06:51 CEST 2020] Extracting master.tar.gz [Sun Sep 13 12:06:51 CEST 2020] default_acme_server [Sun Sep 13 12:06:51 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory' [Sun Sep 13 12:06:51 CEST 2020] Skip install cron job [Sun Sep 13 12:06:51 CEST 2020] Installing to /usr/local/share/acme.sh/ [Sun Sep 13 12:06:51 CEST 2020] Installed to /usr/local/share/acme.sh//acme.sh [Sun Sep 13 12:06:51 CEST 2020] Good, bash is found, so change the shebang to use bash as preferred. [Sun Sep 13 12:06:53 CEST 2020] OK [Sun Sep 13 12:06:53 CEST 2020] Install success! [Sun Sep 13 12:06:53 CEST 2020] Using config home:/usr/local/share/acme.sh/ [Sun Sep 13 12:06:53 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory' [Sun Sep 13 12:06:53 CEST 2020] GET [Sun Sep 13 12:06:53 CEST 2020] url='https://api.github.com/repos/acmesh-official/acme.sh/git/refs/heads/master' [Sun Sep 13 12:06:53 CEST 2020] timeout= [Sun Sep 13 12:06:53 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header -g ' [Sun Sep 13 12:06:53 CEST 2020] ret='0' [Sun Sep 13 12:06:53 CEST 2020] Upgrade success! [Sun Sep 13 12:06:53 CEST 2020] Using config home:/usr/local/share/acme.sh/ [Sun Sep 13 12:06:53 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory' [Sun Sep 13 12:06:53 CEST 2020] Auto upgraded to: 2.8.8 [Sun Sep 13 12:06:53 CEST 2020] Using config home:/usr/local/share/acme.sh/ [Sun Sep 13 12:06:53 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory' [Sun Sep 13 12:06:53 CEST 2020] _stopRenewOnError [Sun Sep 13 12:06:53 CEST 2020] _set_level='2' [Sun Sep 13 12:06:53 CEST 2020] di='/volume1/Certs/domaine.ndd/' [Sun Sep 13 12:06:53 CEST 2020] d='domaine.ndd' [Sun Sep 13 12:06:53 CEST 2020] Using config home:/usr/local/share/acme.sh/ [Sun Sep 13 12:06:53 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory' [Sun Sep 13 12:06:53 CEST 2020] DOMAIN_PATH='/volume1/Certs/domaine.ndd' [Sun Sep 13 12:06:53 CEST 2020] Renew: 'domaine.ndd' [Sun Sep 13 12:06:53 CEST 2020] Le_API='https://acme-v02.api.letsencrypt.org/directory' [Sun Sep 13 12:06:53 CEST 2020] Using config home:/usr/local/share/acme.sh/ [Sun Sep 13 12:06:53 CEST 2020] ACME_DIRECTORY='https://acme-v02.api.letsencrypt.org/directory' [Sun Sep 13 12:06:53 CEST 2020] _main_domain='domaine.ndd' [Sun Sep 13 12:06:53 CEST 2020] _alt_domains='*.domaine.ndd' [Sun Sep 13 12:06:53 CEST 2020] Using ACME_DIRECTORY: https://acme-v02.api.letsencrypt.org/directory [Sun Sep 13 12:06:53 CEST 2020] _init api for server: https://acme-v02.api.letsencrypt.org/directory [Sun Sep 13 12:06:53 CEST 2020] GET [Sun Sep 13 12:06:53 CEST 2020] url='https://acme-v02.api.letsencrypt.org/directory' [Sun Sep 13 12:06:53 CEST 2020] timeout= [Sun Sep 13 12:06:53 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header -g ' [Sun Sep 13 12:06:54 CEST 2020] ret='0' [Sun Sep 13 12:06:54 CEST 2020] ACME_KEY_CHANGE='https://acme-v02.api.letsencrypt.org/acme/key-change' [Sun Sep 13 12:06:54 CEST 2020] ACME_NEW_AUTHZ [Sun Sep 13 12:06:54 CEST 2020] ACME_NEW_ORDER='https://acme-v02.api.letsencrypt.org/acme/new-order' [Sun Sep 13 12:06:54 CEST 2020] ACME_NEW_ACCOUNT='https://acme-v02.api.letsencrypt.org/acme/new-acct' [Sun Sep 13 12:06:54 CEST 2020] ACME_REVOKE_CERT='https://acme-v02.api.letsencrypt.org/acme/revoke-cert' [Sun Sep 13 12:06:54 CEST 2020] ACME_AGREEMENT='https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf' [Sun Sep 13 12:06:54 CEST 2020] ACME_NEW_NONCE='https://acme-v02.api.letsencrypt.org/acme/new-nonce' [Sun Sep 13 12:06:54 CEST 2020] ACME_VERSION='2' [Sun Sep 13 12:06:54 CEST 2020] Le_NextRenewTime='1598215348' [Sun Sep 13 12:06:54 CEST 2020] Using CA: https://acme-v02.api.letsencrypt.org/directory [Sun Sep 13 12:06:54 CEST 2020] _on_before_issue [Sun Sep 13 12:06:54 CEST 2020] _chk_main_domain='domaine.ndd' [Sun Sep 13 12:06:54 CEST 2020] _chk_alt_domains='*.domaine.ndd' [Sun Sep 13 12:06:54 CEST 2020] Le_LocalAddress [Sun Sep 13 12:06:54 CEST 2020] d='domaine.ndd' [Sun Sep 13 12:06:54 CEST 2020] Check for domain='domaine.ndd' [Sun Sep 13 12:06:54 CEST 2020] _currentRoot='dns_ovh' [Sun Sep 13 12:06:54 CEST 2020] d='*.domaine.ndd' [Sun Sep 13 12:06:54 CEST 2020] Check for domain='*.domaine.ndd' [Sun Sep 13 12:06:54 CEST 2020] _currentRoot='dns_ovh' [Sun Sep 13 12:06:54 CEST 2020] d [Sun Sep 13 12:06:54 CEST 2020] _saved_account_key_hash is not changed, skip register account. [Sun Sep 13 12:06:54 CEST 2020] Read key length:4096 [Sun Sep 13 12:06:54 CEST 2020] _createcsr [Sun Sep 13 12:06:54 CEST 2020] Multi domain='DNS:domaine.ndd,DNS:*.domaine.ndd' [Sun Sep 13 12:06:54 CEST 2020] Getting domain auth token for each domain [Sun Sep 13 12:06:54 CEST 2020] d='*.domaine.ndd' [Sun Sep 13 12:06:54 CEST 2020] d [Sun Sep 13 12:06:54 CEST 2020] url='https://acme-v02.api.letsencrypt.org/acme/new-order' [Sun Sep 13 12:06:54 CEST 2020] payload='{"identifiers": [{"type":"dns","value":"domaine.ndd"},{"type":"dns","value":"*.domaine.ndd"}]}' [Sun Sep 13 12:06:54 CEST 2020] RSA key [Sun Sep 13 12:06:54 CEST 2020] HEAD [Sun Sep 13 12:06:54 CEST 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/new-nonce' [Sun Sep 13 12:06:55 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header -g -I ' [Sun Sep 13 12:06:55 CEST 2020] _ret='0' [Sun Sep 13 12:06:55 CEST 2020] POST [Sun Sep 13 12:06:55 CEST 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/new-order' [Sun Sep 13 12:06:55 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header -g ' [Sun Sep 13 12:06:56 CEST 2020] _ret='0' [Sun Sep 13 12:06:56 CEST 2020] code='201' [Sun Sep 13 12:06:56 CEST 2020] Le_LinkOrder='https://acme-v02.api.letsencrypt.org/acme/order/88809261/5164232338' [Sun Sep 13 12:06:57 CEST 2020] Le_OrderFinalize='https://acme-v02.api.letsencrypt.org/acme/finalize/88809261/5164232338' [Sun Sep 13 12:06:57 CEST 2020] url='https://acme-v02.api.letsencrypt.org/acme/authz-v3/**********' [Sun Sep 13 12:06:57 CEST 2020] payload [Sun Sep 13 12:06:57 CEST 2020] POST [Sun Sep 13 12:06:57 CEST 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/authz-v3/**********' [Sun Sep 13 12:06:57 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header -g ' [Sun Sep 13 12:06:57 CEST 2020] _ret='0' [Sun Sep 13 12:06:57 CEST 2020] code='200' [Sun Sep 13 12:06:57 CEST 2020] url='https://acme-v02.api.letsencrypt.org/acme/authz-v3/7187944419' [Sun Sep 13 12:06:57 CEST 2020] payload [Sun Sep 13 12:06:57 CEST 2020] POST [Sun Sep 13 12:06:57 CEST 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/authz-v3/7187944419' [Sun Sep 13 12:06:57 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header -g ' [Sun Sep 13 12:06:58 CEST 2020] _ret='0' [Sun Sep 13 12:06:58 CEST 2020] code='200' [Sun Sep 13 12:06:58 CEST 2020] d='domaine.ndd' [Sun Sep 13 12:06:58 CEST 2020] Getting webroot for domain='domaine.ndd' [Sun Sep 13 12:06:58 CEST 2020] _w='dns_ovh' [Sun Sep 13 12:06:58 CEST 2020] _currentRoot='dns_ovh' [Sun Sep 13 12:06:58 CEST 2020] entry='"type":"dns-01","status":"pending","url":"https://acme-v02.api.letsencrypt.org/acme/chall-v3/7187944419/******","token":"*******************************************"' [Sun Sep 13 12:06:58 CEST 2020] token='*******************************************' [Sun Sep 13 12:06:58 CEST 2020] uri='https://acme-v02.api.letsencrypt.org/acme/chall-v3/7187944419/******' [Sun Sep 13 12:06:58 CEST 2020] keyauthorization='*******************************************.*******-***************************_*******' [Sun Sep 13 12:06:58 CEST 2020] dvlist='domaine.ndd#*******************************************.*******-***************************_*******#https://acme-v02.api.letsencrypt.org/acme/chall-v3/7187944419/******#dns-01#dns_ovh' [Sun Sep 13 12:06:58 CEST 2020] d='*.domaine.ndd' [Sun Sep 13 12:06:58 CEST 2020] Getting webroot for domain='*.domaine.ndd' [Sun Sep 13 12:06:58 CEST 2020] _w='dns_ovh' [Sun Sep 13 12:06:58 CEST 2020] _currentRoot='dns_ovh' [Sun Sep 13 12:06:59 CEST 2020] entry='"type":"dns-01","status":"pending","url":"https://acme-v02.api.letsencrypt.org/acme/chall-v3/**********/******","token":"-*****_********************-***************"' [Sun Sep 13 12:06:59 CEST 2020] token='-*****_********************-***************' [Sun Sep 13 12:06:59 CEST 2020] uri='https://acme-v02.api.letsencrypt.org/acme/chall-v3/**********/******' [Sun Sep 13 12:06:59 CEST 2020] keyauthorization='-*****_********************-***************.*******-***************************_*******' [Sun Sep 13 12:06:59 CEST 2020] dvlist='*.domaine.ndd#-*****_********************-***************.*******-***************************_*******#https://acme-v02.api.letsencrypt.org/acme/chall-v3/**********/******#dns-01#dns_ovh' [Sun Sep 13 12:06:59 CEST 2020] d [Sun Sep 13 12:06:59 CEST 2020] vlist='domaine.ndd#*******************************************.*******-***************************_*******#https://acme-v02.api.letsencrypt.org/acme/chall-v3/7187944419/******#dns-01#dns_ovh,*.domaine.ndd#-*****_********************-***************.*******-***************************_*******#https://acme-v02.api.letsencrypt.org/acme/chall-v3/**********/******#dns-01#dns_ovh,' [Sun Sep 13 12:06:59 CEST 2020] d='domaine.ndd' [Sun Sep 13 12:06:59 CEST 2020] _d_alias [Sun Sep 13 12:06:59 CEST 2020] txtdomain='_acme-challenge.domaine.ndd' [Sun Sep 13 12:06:59 CEST 2020] txt='*******************************_***********' [Sun Sep 13 12:06:59 CEST 2020] d_api='/usr/local/share/acme.sh/dnsapi/dns_ovh.sh' [Sun Sep 13 12:06:59 CEST 2020] Found domain api file: /usr/local/share/acme.sh/dnsapi/dns_ovh.sh [Sun Sep 13 12:06:59 CEST 2020] Adding txt value: *******************************_*********** for domain: _acme-challenge.domaine.ndd [Sun Sep 13 12:06:59 CEST 2020] Using OVH endpoint: ovh-eu [Sun Sep 13 12:06:59 CEST 2020] OVH_API='https://eu.api.ovh.com/1.0' [Sun Sep 13 12:06:59 CEST 2020] OVH consumer key is empty, Let's get one: [Sun Sep 13 12:06:59 CEST 2020] POST [Sun Sep 13 12:06:59 CEST 2020] _post_url='https://eu.api.ovh.com/1.0/auth/credential' [Sun Sep 13 12:06:59 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header -g ' [Sun Sep 13 12:06:59 CEST 2020] _ret='0' [Sun Sep 13 12:06:59 CEST 2020] validationUrl='https://eu.api.ovh.com/auth/?credentialToken=****************************************************************' [Sun Sep 13 12:06:59 CEST 2020] consumerKey='[hidden](please add '--output-insecure' to see this value)' [Sun Sep 13 12:06:59 CEST 2020] Please open this link to do authentication: https://eu.api.ovh.com/auth/?credentialToken=**************************************************************** [Sun Sep 13 12:06:59 CEST 2020] Here is a guide for you: https://github.com/acmesh-official/acme.sh/wiki/How-to-use-OVH-domain-api [Sun Sep 13 12:06:59 CEST 2020] Please retry after the authentication is done. [Sun Sep 13 12:06:59 CEST 2020] Error add txt for domain:_acme-challenge.domaine.ndd [Sun Sep 13 12:06:59 CEST 2020] _on_issue_err [Sun Sep 13 12:06:59 CEST 2020] Please check log file for more details: /volume1/Certs/Acme_renew/acmelog [Sun Sep 13 12:06:59 CEST 2020] url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/7187944419/******' [Sun Sep 13 12:06:59 CEST 2020] payload='{}' [Sun Sep 13 12:06:59 CEST 2020] POST [Sun Sep 13 12:06:59 CEST 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/7187944419/******' [Sun Sep 13 12:06:59 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header -g ' [Sun Sep 13 12:07:00 CEST 2020] _ret='0' [Sun Sep 13 12:07:00 CEST 2020] code='200' [Sun Sep 13 12:07:00 CEST 2020] url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/**********/******' [Sun Sep 13 12:07:00 CEST 2020] payload='{}' [Sun Sep 13 12:07:00 CEST 2020] POST [Sun Sep 13 12:07:00 CEST 2020] _post_url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/**********/******' [Sun Sep 13 12:07:00 CEST 2020] _CURL='curl -L --silent --dump-header /usr/local/share/acme.sh//http.header -g ' [Sun Sep 13 12:07:01 CEST 2020] _ret='0' [Sun Sep 13 12:07:01 CEST 2020] code='200' [Sun Sep 13 12:07:01 CEST 2020] socat doesn't exist. [Sun Sep 13 12:07:01 CEST 2020] Diagnosis versions: openssl:openssl OpenSSL 1.0.2u-fips 20 Dec 2019 apache: apache doesn't exist. nginx: nginx version: nginx/1.16.1 TLS SNI support enabled socat: [Sun Sep 13 12:07:01 CEST 2020] pid [Sun Sep 13 12:07:01 CEST 2020] No need to restore nginx, skip. [Sun Sep 13 12:07:01 CEST 2020] _clearupdns [Sun Sep 13 12:07:01 CEST 2020] dns_entries [Sun Sep 13 12:07:01 CEST 2020] skip dns. [Sun Sep 13 12:07:01 CEST 2020] Return code: 1 [Sun Sep 13 12:07:01 CEST 2020] Error renew domaine.ndd. [Sun Sep 13 12:07:01 CEST 2020] _error_level='1' [Sun Sep 13 12:07:01 CEST 2020] _set_level='2' [Sun Sep 13 12:07:01 CEST 2020] The NOTIFY_HOOK is empty, just return. [Sun Sep 13 12:07:01 CEST 2020] ===End cron===

Ok, le plus simple est même de le poster ici pour aider mais quelles sont les infos confidentielles que je dois "faire sauter" avant ?

Pardon. C'est supprimé. Oui j'ai lancé depuis le planificateur de tache sans jouer sur les options, j'imagine donc que le paramètre "-I" est le seul par défaut ? Ok, mais du coup à quoi correspondent les deux lignes ci-dessous du log du script python ? 09/13/2020 12:06:50 PM INFO:-- Date de renouvellement autorisee (T0+60 jours par defaut) : Mon Aug 24 20:42:28 UTC 2020 09/13/2020 12:06:50 PM INFO:-- La date de renouvellement du certificat est atteinte Ok, merci. Visiblement oui. En fait j'ai les deux créé exactement à la même; heure : la version concaténée et la version .1. Ok. Oui. Ok, quelles informations "confidentielles" dois-je d'abord retraité ? Nom de domaine j'imagine, mais aussi des clefs non ?

@oracle7 et @bruno78 Bonjour et pardon pour mon retour tardif (vacances + rentrée chargée). Encore une fois merci pour le tuto (qui permet à des profanes comme moi de pouvoir jouer avec son NAS) et "les mises à jour de maintenance" Contexte Avant votre dernière mise à jour j'avais remarqué que chez moi cela ne fonctionnait pas (j'avais surement mal fait quelque chose) et j'ai donc réessayé ce matin avec le nouveau script mais j'ai toujours les mêmes problèmes Extraits du log du script 09/13/2020 12:06:50 PM INFO:>> Lancement du script acme_renew.py 09/13/2020 12:06:50 PM INFO:>> Si option -h ou -v, alors pas d'autre log 09/13/2020 12:06:50 PM INFO: 09/13/2020 12:06:50 PM INFO:>> acme_renew release : Version 1.44 Released -- 21-aout-2020 09/13/2020 12:06:50 PM INFO:>> version python sys : Python 2.7.12 09/13/2020 12:06:50 PM INFO: SYNOCERT : /usr/syno/etc/certificate 09/13/2020 12:06:50 PM INFO: LOCALCERT : /usr/local/etc/certificate 09/13/2020 12:06:50 PM INFO: ACMECERTS : /volume1/Certs 09/13/2020 12:06:50 PM INFO: ndd.tld : mondomaine.ndd 09/13/2020 12:06:50 PM INFO: certtype : RSA 09/13/2020 12:06:50 PM INFO: scriptdir : /volume1/Certs/Acme_renew 09/13/2020 12:06:50 PM INFO: log [-l] : True 09/13/2020 12:06:50 PM INFO: clean [-c] : False 09/13/2020 12:06:50 PM INFO: force [-f] : False 09/13/2020 12:06:50 PM INFO: test [-t] : False 09/13/2020 12:06:50 PM INFO:-- Lecture du fichier /usr/syno/etc/certificate/_archive/DEFAULT 09/13/2020 12:06:50 PM INFO:-- Ancien certificat par DEFAULT, a renouveler : ****** 09/13/2020 12:06:50 PM INFO:-- Lecture du fichier /usr/syno/etc/certificate/_archive/INFO 09/13/2020 12:06:50 PM INFO:-- Date de renouvellement autorisee (T0+60 jours par defaut) : Mon Aug 24 20:42:28 UTC 2020 09/13/2020 12:06:50 PM INFO:-- La date de renouvellement du certificat est atteinte 09/13/2020 12:06:50 PM INFO:-- Debut de la procedure de renouvellement 09/13/2020 12:06:50 PM INFO:-- Sauvegarde du repertoire SYNOCERT/_archive: tar cvfP /usr/syno/etc/certificate/_archive.tar.20200913120650 /usr/syno/etc/certificate/_archive/ 09/13/2020 12:06:50 PM INFO:-- listesrv : liste packages et services concernes par ce certificat : [...] 09/13/2020 12:06:50 PM INFO:-- Renouvellement certificat via acme.sh 09/13/2020 12:06:50 PM INFO:-- Export des variables environnement : SYNO_Create, SYNO_Username, SYNO_Password, SYNO_DID 09/13/2020 12:06:50 PM INFO:-- Lancement de la commande de renouvellement : bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --log /volume1/Certs/Acme_renew/acmelog --home /usr/local/share/acme.sh/ 09/13/2020 12:07:01 PM INFO:-- Nouveau certificat par DEFAULT : ****** 09/13/2020 12:07:01 PM ERROR:-- Le certificat n'a pas ete renouvele. 09/13/2020 12:07:01 PM ERROR:-- Consulter le log de acme.sh : /volume1/Certs/Acme_renew/acmelog 09/13/2020 12:07:01 PM ERROR:-- Fin de la procedure Python 2.7.12 : je ne comprends pas ce log car j'ai installé ce matin le packet Python 3 ! mondomaine.ndd : j'ai remplacé mon véritable nom de domaine ****** : Je ne sais pas si cette chaine de lettres et chiffre est confidentielle ou non, je l'ai donc remplacée par des "*" Extrait du log acme [...] [Sun Sep 13 12:07:01 CEST 2020] pid [Sun Sep 13 12:07:01 CEST 2020] No need to restore nginx, skip. [Sun Sep 13 12:07:01 CEST 2020] _clearupdns [Sun Sep 13 12:07:01 CEST 2020] dns_entries [Sun Sep 13 12:07:01 CEST 2020] skip dns. [Sun Sep 13 12:07:01 CEST 2020] Return code: 1 [Sun Sep 13 12:07:01 CEST 2020] Error renew mondomaine.ndd. [Sun Sep 13 12:07:01 CEST 2020] _error_level='1' [Sun Sep 13 12:07:01 CEST 2020] _set_level='2' [Sun Sep 13 12:07:01 CEST 2020] The NOTIFY_HOOK is empty, just return. [Sun Sep 13 12:07:01 CEST 2020] ===End cron=== mondomaine.ndd : j'ai remplacé mon véritable nom de domaine Ma demande En dehors des erreurs clairement compréhensibles je n'ai pas les compétences pour comprendre tous les logs, quelqu'un pourrait t'il svp m'aider à comprendre ce qui cloche dans mon cas ? En espérant que cela sera utile à d'autre et en espérant ne pas avoir raté un message qui traitait déjà de la résolution de ce problème. PS : j'ai l'impression que le log ACME est la concaténation des logs de mes différentes tentatives, est-ce normal ? Ne devrais-je pas avoir un fichier de log par tentative ? Cordialement,

@oracle7 merci ! Ça semble tourner, j'ai lancé le scrit (en non test) et j'obtiens : "la date de renouvellement du certificat ( Mon Aug 24 20:42:28 UTC 2020 ) n'est pas atteinte" ce qui semble cohérent. J'ai désactivé l'ancienne tache planifiée (V1 du tuto) et créé la nouvelle qui fait tourner le script Python. Merci encore,

Bonjour @maxou56 et merci pour ton retour rapide et clair. Dernier point puis j’arrête mais j’ai bien constaté qu’en exportant 2 fois de suite la clé d’un même dossier que (i) celle-ci était différente que celle que moi j’ai entré (mais je comprends que c’est car la clé est elle même est chiffrée par la clé machine du gestionnaire) et (ii) que les deux téléchargements contenaient deux chaînes de caractères différents (pour le même dossier) et ça je ne le comprends pas ? Ex : pour chiffrer le dossier « Test » je rentre la clé de chiffrement « MDP#toto0 » et en exportant la clé de « Test » la première fois je lis dans le fichier texte téléchargé « azertY&89 » puis en exportant de nouveau cette même clé je lis dans le nouveau fichier texte « 12poiut@a ». Sais tu pourquoi j’observe ce comportement ? Est-ce que l’heure de la machine rentre en compte comme pour la double authentification ? Si oui comment le NAS fait pour déchiffrer le dossier en important la clé puisqu’il ne connaît pas l’heure de sa génération. Dsl je n’ai aucune base en cryptographie symétrique. Merci d’avance,

Bonjour @maxou56 et merci pour ton retour. Pardon pour le retour tardif, voici ce que j'ai noté :supert Je lis qu'il est conseillé de stocker le magasin de clés sur un support externe : pour quelle raison ? En choisissant un stockage externe on peut opter pour éjecter le périphérique après démarrage. On peut aussi choisir le montage au démarrage du dossier chiffré. Or dans le cas d'un vol, le voleur sans mdp admin devra faire un reset du NAS ce qui supprimera le montage au démarrage des dossiers et ceux-ci ne pourront être montés que si le voleur entre les clés de déchiffrement des dossiers (soit en saisie directe, soit en import de fichier soit via le gestionnaire de clés). Est-ce bien cela ? Je comprends ensuite que le gestionnaire de clés stocke les clefs en les chiffrant (les clés de chiffrage des dossiers sont mêmes chiffrées) : ce chiffrage de clés peut alors se faire par (i) phrase ou (ii) par clé machine. Il est conseillé d'utiliser une clé machine qui imposera le déchiffrement des dossiers avec ce NAS et que c'est un prérequis pour le montage automatique des dossiers. In fine Synology préconise donc l'utilisation d'un gestionnaire de clé stocké sur un support externe utilisant une clé machine pour le chiffrage des clés des dossiers et configuré avec un montage automatique au démarrage et une éjection automatique du support après démarrage. Dans cette configuration, (i) un voleur serait incapable d’accéder aux dossiers car le reset désactiverait le montage automatique et que ce voleur ne pourrait pas lire les clefs sur le support physique externe et (ii) en cas de panne il faudrait remonter les dossiers sur un autre NAS sans utiliser le gestionnaire de clés mais en rentrant une par une les clés de chaque dossier. Est-ce bien correct ? En revanche il reste des choses que je ne comprends pas dans cette configuration : Pour prévenir une impossibilité de déchiffrer les dossiers en cas de panne que dois-je conserver les clés que j'ai initialement rentré et/ou les exports (qui changent dans le temps) ? Si je choisis la clé machine je n'ai donc pas besoin d'une phrase pour le gestionnaire (comme une sorte de master mot de passe) ? En exportant les clés des dossiers chiffrés je me rends compte que (i) l'export est différent de la que j'ai entrée et (ii)si je fais N exports je vais avoir N valeurs différentes : pourquoi ? Il ne faut surtout pas chiffrer le dossier ui celui du gestionnaire de clés sans quoi le NAS ne pourrait plus le lire ? Merci d'avance pour vos aides,

Question très pertinente de @guadeloupedom @Einsteinium as tu une idée ?

Bonjour @maxou56, Comme tu l'as déjà vu sur d'autres sujets je suis débutant en réseaux et en NAS. Idéalement je souhaiterais (i) utiliser mon NAS comme mon drive/cloud perso en y stockant toutes mes données dont celles sensibles (banque, etc.), (ii) dupliquer toutes mes données (sensibles ou non) sur une machine physiquement distante (probablement un autre NAS) et (iii) pouvoir accéder à ces données à tout moment à distance (modulo des clients sur mes appareils ou un accès ponctuel à DSM ou certaines appli clefs depuis un appareil qui n'est pas le mien mais uniquement via un VPN). Je comprends que le chiffrage d'un dossier partagé exige de monter le dossier (je ne maitrise pas le concept technique mais je crois savoir que cela rend le dossier accessible et en clair) à chaque fois que l'on veut s'en servir ou que l'on peut sinon rendre le montage automatique à chaque démarrage du NAS avec un gestionnaire de clefs, lui même protégé par "un master mot de passe", qui est stocké sur le NAS ou sur un périphérique externe (méthode à privilégier de ce que je lis). Je comprends aussi que le gestionnaire de clefs permet (modulo une option à cocher) d'éjecter le fameux périphérique de stockage après le montage automatique des dossiers chiffrés. Ainsi en cas de vol du NAS et du périphérique de stockage du gestionnaire de clefs, il faudrait au voleur connaitre/trouver soit le mot de passe d'un utilisateur du NAS (pour le redémarrer et donc lancer le montage automatique) soit connaitre/trouver le "master mot de passe du gestionnaire de clefs" pour remonter les dossiers en installant les disques dur sur son propre NAS par exemple. A cela vient ensuite s'ajouter la possibilité de choisir entre clef manuelle et clef machine, la seconde option imposant alors d'utiliser le NAS volé pour monter ses dossiers : le voleur ne peut donc plus monter mes disques sur son NAS même s'il connait/trouve le master mot de passe du gestionnaire, il lui faudra impérativement connaitre le mot de passe d'un utilisateur ou connaitre/trouver la clef machine. A toutes ces protections est également conseillé la double authentification (au moins pour les utilisateurs admin) et le changement régulier de mots de passe fort de tous les utilisateurs. On suppose ensuite que les mots de passe sont suffisamment forts pour considérer comme matériellement impossible de trouver les clefs dans un temps envisageable. J'ai donc plusieurs questions : Mes affirmations sont elles correctes ? Que se passe t il dans le cas du choix d'une clef machine si mon NAS tombe en panne ? Pourquoi le petit fichier téléchargé lors du chiffrement d'un dossier n'est il pas identique à mon mot de passe ? Je comprends que l'algo de chiffrement est symétrique : j'imagine donc que ce fichier doit rester confidentiel ? Que se passe t il si le voleur connait/trouve le mot de passe d'un utilisateur non critique qui n'a pas les droits d'accès aux dossiers chiffrés ? Que se passerait t il en cas de défaillance du support physique qui stock le gestionnaire (clef USB ou DD externe souvent moins fiables que la redondance du RAID des DD du NAS) ? Est il possible de dupliquer ce gestionnaire de clefs sur plusieurs périphérique voire même sur un autre NAS ? Comment chiffrer ses données et les exploiter avec file station, drive, moment, video station, audio station, etc (j'ai en effet cru lire qu'on ne pouvait pas chiffrer les dossiers du système) ? Est-il possible de chiffrer les échanges entre les clients de ses solutions et le NAS ? Est il possible de faire une copie "miroir" du premier NAS vers un second NAS tout en chiffrant les dossiers et en chiffrant les échanges entre les deux appareils ? Que ce passerait il alors si un couple NAS (le premier ou le second) et périphérique de stockage du gestionnaire de clefs étaient volés et/ou endommagés ? Pourrions nous alors continuer à utiliser de façon transparente drive, moment, video station, audio station grâce au NAS restant ou faudrait il paramétrer des accès similaires à ces solutions sur les deux NAS pour simplement éventuellement (si les clients sont par défaut connectés sur le NAS volé/endommagé) avoir à reconnecter les clients sur les comptes du NAS restant. Est il possible de chiffrer d'un seul coup le NAS dans sa totalité plutôt que de résonner dossier par dossier ? Je sais que cela fait beaucoup de demandes et qu'il te faudra peut-être te faire aider par d'autres pour y répondre mais je pense sincèrement que cela pourra intéresser beaucoup de monde. Merci d'avances à tous ceux qui pourront apporter leur aide sur le sujet.

Dans ma liste au père noël alors mais j'imagine assez complexe à faire car échange entre machines. Je confirme c'est cool ça !

Pardon c'est bien 46156 que je tape et c'est bien ce que je mets dans la colonne http du volet application du portail applications.

Bonjour à tous, Autre petite question. J'ai désactivé le domaine personnalisé et le HSTS. J'ai fait la manipulation avec web station. Pour faire des tests j'ai appliqué le port http 49156 et le port https 49157 pour l'application Synology Drive. J'ai paramétré le reverse proxy (sans profil) vers le le port 49156. Aucun problème en tapant https://drive.ndd je suis bien redirigé vers l'application (depuis le LAN et le WAN) : j'imagine donc que je passe par le port 443 puis 49156. En revanche quand je tape http://IPNAS:49456 depuis le LAN impossible de se connecter : auriez-vous une idée ? Par ailleurs quand depuis le LAN/WAN je tape http:drive.ndd j'arrive sur une page d'erreur de web station sans être renvoyé vers https://drive.ndd. Quelqu'un pourrait il svp m'expliquer ce que je fais mal ? Merci d'avance,

@oracle7, Merci pour la pédagogie. J'utilise effectivement un reverse proxy, mon port 443 restera donc toujours ouvert. Par contre si je comprends bien, même sans implémenter le code python, je peux fermer le port 80 (puisque en DNS-01) voire fermer également le port 443 aussi si il n'est pas utilisé (peu probable néanmoins), en revanche sans le code en python je devrais tous les 3 mois réaffecter le certificat aux différents services pertinents. Est-ce bien cela ? Qu'en est il des certificats dupliqués sur d'autres machines (un routeur par exemple) : a priori je comprends que le renouvellement est exogène au certificat et que celui reste inchangé post renouvellement et que donc il n'y aura aucune manipulation à faire sur le routeur ? Petite question technique : pour implémenter le code peut on passer directement à la partie 6. (renouvellement) ou faut il recommencer le tuto depuis le début ? Merci encore pour ce gros travail qui en plus de pla production et du temps que cela demande permet à des néophytes comme moi (grâce à une bonne pédagogie) de faire des choses qui étaient clairement hors de portée.

Bonjour @oracle7 et @bruno78, Je suis débutant et clairement incapable de produire ce que vous avez fait mais ça ne m’empêche pas de me rendre compte du travail monstre réalisé ! Bravo ! J'avais en tête qu'avant l'arrivée du code le renouvellement automatique était généré via le planificateur de tache sous réserve de laisser lees ports 80 et 443 en permanence ouverts. Si je comprends bien ce code va donc permettre ce renouvellement automatique sans avoir à laisser ses ports 80 et 443 ouverts (ce qui est top d'un point de vue sécurité) et sans à avoir à réaffecter tous les 3 mois les services à couvrir avec le certificat : sur le papier on va donc pouvoir "oublier le sujet certificat à vie" pour tous ces "sous" domaines, c'est bien cela ? Merci encore, Je vais passer à l'implémentation dès que j'ai un peu de temps.

Merci @alan.dub, je viens de le désactiver. J'avais déjà fait la manip avec web station mais j'ai bêtement réactivé le HSTS en repassant dessus ! As tu également des conseils sur les autres points ?

Bonjour, Je suis débutant en réseaux et en NAS. J'ai suivi différents tuto (dont celui-ci qui est super) et je me retrouve aujourd'hui avec un pare feu qui impose une IP LAN ou VPN pour tous mes ports (dont le port DSM) sauf pour les ports 80, 443, (renouvellement de certificat LE et reverse proxy) et les ports 16881, 6681 et 6690 (liés à l'installation de BT et Synology Drive Server). Coté reverse proxy, mes redirections vers certaines applications "clefs" utilisent un profil qui impose une IP LAN ou VPN, la redirections vers d'autres applications moins critiques (vidéos, audio, photo, etc.) se fait sans filtrage des IP. J'ai par ailleurs activé le DoS, une redirection forcée du HTTP vers le HTTPS via Web Station (HSTS désactivé donc). Dois je encore effectuer certaines actions pour mieux me protéger, notamment les ports cités ci-dessus ? Dans l'état actuel de ma configuration, quels sont mes risques ? Merci d'avance,

Bonjour à tous, J'ai suivi ce super tuto et cela semble fonctionner : c'est très très pratique et la gestion de la sécurité au niveau d'une application spécifique se fait en imposant par exemple une IP LAN ou VPN dans un profil. J'ai maintenant une question de sécurité en lien avec le reverse proxy. Je suis débutant en réseaux et en NAS mais en faisant il paraît donc vraisemblable que beaucoup de propriétaires de NAS auront au moins les ports 80 et 443 ouverts (reverse proxy, renouvellement certificats let's encrypt, etc.). Si je me mets donc à la place d'une personne mal intentionnée je vais notamment cibler ces ports dont on fait l'hypothèse qu'ils sont ouverts : comment se protéger ? De mon côté j'ai activé le blocage auto des IPs et le DoS : y a t il d'autres choses à faire ? Dans le volet "applications" du portail des applications je ne vois pas BT et Synology Drive Server qui imposent l'ouverture des port 16881, 6681 et 6690. In fine je me retrouve donc avec un pare feu qui impose une IP LAN ou VPN pour tous mes ports (dont le port DSM) sauf pour les ports 80, 443, 16881, 6681 et 6690. J'ai par ailleurs activé le DoS, la redirection HTTP vers HTTPS via web station (le blocage auto et le HSTS) et un profil imposant les IP LAN/VPN sur le reverse proxy d’applications que j'estime clefs. Suis-je en risque ? Merci d'avance, PS : ne sachant pas si je poste au bon endroit j'ai également posté ici. Je garderai le premier avec une réponse et supprimerai l'autre.

Merci @.Shad. et pardon pour ce retour si tardif. Drive est bien associé à ce certificat, en revanche j'ai l'impression que c'est plutot côté appareil que ça se passe. J'ai bien téléchargé puis installé le certificat et le certifiact intermédiaire en .pem sur mon iPhone mais impossible d'insaller la clef privée : le problème persiste. Du coup, plusieurs questions : Comment installer la clef privée sur l'Iphone ? Quel est le risque à ne pas installer ce certificat sur mon Iphone ? Que se passera t il lors du renouvellement ? Merci d'avance,