Comment Installer Correctement Un Certificat Ssl Startssl - Comodo ... ?

[Rackham]

Salut Squale,

Merci de ta r

[OniK]

salut Rackham

le cas de Squale etait un rien particulier ...

donc non dans ton cas ne te tracasse pas tu n'as pas besoin du tuto d'd'Alastor2262

prend simplemnt mon tuto et tout ira bien ^_-

J'aurai donc accès :

- en http (port ) à photo station et web station (sd2.mondomaine.fr et sd3.mondomaine.fr)

oui

- en https (port 5001 mais sans SSL) à photo station et web station (que je ne compte pas utiliser)

tu seras en SSL mais sur le port 443 ... photo et web station sont sur le http et 443 https ... 5001 c pour DSM en https

- en http (port 5000) à DSM (sd1.mondomaine.fr) que je n'utiliserai plus.

c le mieux en effet ... surtout si t'as un certif ssl ^-^v

- en https (port 443 avec SSL) à DSM pour l'accès sécurisé depuis internet.

tu seras en SSL mais sur le port 5001

L'utilisation d'un SSL se justifie t'il dans ce cas ?

je vais dire des que tu dois rentrer un login et mdp sur le net c tjs preferable d'etre sur une connection securisee ...

donc en gros OUI

Il est vrai que j'ai un peu pourri ce tuto de l'ami Onik.

LOL non faut pas dire ca ...

bon ca risque d'en perturber certain comme notre ami Rackham mais ca en aidera d'autre

Pour l'enregistrement chez Starssl, tu parts avec mondomaine.fr (d'ailleurs la saisie initiale ne permet pas d'inclure un sous domaine) ... et au cours de l'inscription tu pourras déclarer 1 (et 1 seul pour la version gratuite) sous domaine, donc sd1.domaine.fr.

je confirme 1 sous domaine + ton domaine par certif ... mais tu peux creer autant de certif que tu veux ...

apres tu peux jouer avec des virtual host etc ...

mais bon un certif avec wildcard (*.domain.com) est recommande si t'as absolument besoin de plusieurs sous domaine ...

A priori, le certificat fonctionne pour tous les accès sécurisés donc Filestation (7001), gestion du Syno (5001), FTPES et WEB du moins pour des accès externes (car en interne au réseau local on a le message d'erreur de certificat). Pour le FTP, FTPS semble ne pas fonctionner mais c'est ok avec FTPES.

logiqment le ftps devrait fonctionner mais j'y suis pas arrive ... j'ai pas cherche plus que ca non plus mais si qq a la solution je suis prenneur

@+

OniK

[Rackham]

Merci pour toutes ces pr

[OniK]

2 rien ^-^

sinon ton prob "ssl_error_handshake_failure_alert" est tres simple ...

pour te logger le certif que t'as recu a ton inscription doit etre installe sur tes navigateurs ... sinon pas d'acces a ton compte perso ...

@+

OniK

[Pitigris]

Bonjour,

je suis compl

[faaaa]

Comment dois-je pourisuivre le tuto au niveau ci--dessous?

Me connecter via telnet en root et après taper directement

/usr/syno/etc/ssl/ssl.crt/ca-bundle.crtou y a t il une subtilité toute bête que ma candeur ne détecte pas?

Merci d'avance,

Ben il faut te déplacer dans le répertoire /usr/syno/etc/ssl/ssl.crt/ pour y déposer le fichier ca-bundle

Je viens vers vous car j'ai reussi a finir mon installation, mais j'ai quelques questions a vous poser :

1 -

on le trouve ici pour startSSL http://www.startssl.com/certs/

Il y a bien un fichier "ca-bundle.crt" sur ce ftp, mais quand je le dl il s'appelle ca-bundle.crt.cer ? Je l'ai donc renommé et sa fonctionné, si je ne le renommait pas Apache ne voulait pas démarrer.

2-

Mon certificat est fonctionnel avec :

chrome aucun souci

IE : sous Windows7 IE8 ok, IE 8.0 sous xp KO > impossible d'afficher la page

Opera 10.6 : Impossible d'achever la transaction sécurisée

Vous tentez d'accéder à l'adresse https://domaine.fr/, actuellement injoignable. Assurez-vous que l'adresse web (URL) est écrite correctement puis tentez de recharger la page.

Connexion sécurisée : erreur fatale (112) du serveur.

Firefox 3.6.10 : J'ai un message me demandant de valider le certificat...

3-

Je viens de checker avec http://www.sslshoppe...sl-checker.html :

C'est en boucle la fin, normal ??? C'est peut être la le souci ??? HELP

4- Idem avec le fichier ca-bundle.crt.cer si je ne le renomme pas (j'ai bien sur modifié également le httpd Apache en conséquence) mais j'ai toujours le meme soucis avec certains navigateur récent et toujours cette "boucle" dans SSL CHECKER...

HELP ME please

[OniK]

salut faaaa,

pour faire vite :

1) tu dois bien renomer le fichier en ca-bundle.crt

2) je sais que ca bug avec XP mais me demande pas pq ... a voir si c tjs le meme prob avec dms 3

pour firefox c bizare ca doit fonctionner ... a mon avis t'as loupe qq chose ds le tuto ...

3) la chaine est assez longue c normal ... tu dois avoir ca :

Common name: xxx

SANs: xxx

Organization: Persona Not Validated

Location: xx

Valid xxx

Serial Number: xxxxx

Signature Algorithm: sha1WithRSAEncryption

Issuer: StartCom Class 1 Primary Intermediate Server CA

Common name: StartCom Certification Authority

Organization: StartCom Ltd.

Location: IL

Valid from September 17, 2006 to September 17, 2036

Serial Number: 1 (0x1)

Signature Algorithm: sha1WithRSAEncryption

Issuer: StartCom Certification Authority

Common name: StartCom Class 1 Primary Intermediate Client CA

Organization: StartCom Ltd.

Location: IL

Valid from October 24, 2007 to October 22, 2012

Serial Number: 13 (0xd)

Signature Algorithm: sha1WithRSAEncryption

Issuer: StartCom Certification Authority

Common name: StartCom Class 1 Primary Intermediate Domain Controller CA

Organization: StartCom Ltd.

Location: IL

Valid from October 24, 2007 to October 22, 2012

Serial Number: 16 (0x10)

Signature Algorithm: sha1WithRSAEncryption

Issuer: StartCom Certification Authority

Common name: StartCom Class 1 Primary Intermediate Server CA

Organization: StartCom Ltd.

Location: IL

Valid from October 24, 2007 to October 22, 2012

Serial Number: 10 (0xa)

Signature Algorithm: sha1WithRSAEncryption

Issuer: StartCom Certification Authority

Common name: StartCom Class 2 Primary Intermediate Client CA

Organization: StartCom Ltd.

Location: IL

Valid from October 24, 2007 to October 22, 2012

Serial Number: 14 (0xe)

Signature Algorithm: sha1WithRSAEncryption

Issuer: StartCom Certification Authority

Common name: StartCom Class 2 Primary Intermediate Object CA

Organization: StartCom Ltd.

Location: IL

Valid from October 24, 2007 to October 24, 2012

Serial Number: 21 (0x15)

Signature Algorithm: sha1WithRSAEncryption

Issuer: StartCom Certification Authority

Common name: StartCom Class 2 Primary Intermediate Server CA

Organization: StartCom Ltd.

Location: IL

Valid from October 24, 2007 to October 22, 2012

Serial Number: 11 (0xb)

Signature Algorithm: sha1WithRSAEncryption

Issuer: StartCom Certification Authority

Common name: StartCom Class 3 Primary Intermediate Client CA

Organization: StartCom Ltd.

Location: IL

Valid from October 24, 2007 to October 22, 2012

Serial Number: 15 (0xf)

Signature Algorithm: sha1WithRSAEncryption

Issuer: StartCom Certification Authority

Common name: StartCom Class 3 Primary Intermediate Object CA

Organization: StartCom Ltd.

Location: IL

Valid from October 24, 2007 to October 24, 2012

Serial Number: 22 (0x16)

Signature Algorithm: sha1WithRSAEncryption

Issuer: StartCom Certification Authority

Common name: StartCom Class 3 Primary Intermediate Server CA

Organization: StartCom Ltd.

Location: IL

Valid from October 24, 2007 to October 22, 2012

Serial Number: 12 (0xc)

Signature Algorithm: sha1WithRSAEncryption

Issuer: StartCom Certification Authority

Common name: StartCom Extended Validation Server CA

Organization: StartCom Ltd.

Location: IL

Valid from December 31, 2008 to December 31, 2018

Serial Number: 23 (0x17)

Signature Algorithm: sha1WithRSAEncryption

Issuer: StartCom Certification Authority

je te conseille de refaire le tuto depuis le debut et voir ce que ca donne ...

@+

OniK

[faaaa]

salut faaaa,

pour faire vite :

1) tu dois bien renomer le fichier en ca-bundle.crt

2) je sais que ca bug avec XP mais me demande pas pq ... a voir si c tjs le meme prob avec dms 3

pour firefox c bizare ca doit fonctionner ... a mon avis t'as loupe qq chose ds le tuto ...

3) la chaine est assez longue c normal ... tu dois avoir ca :

Merci pour ta réponse !

Alors Ok, je viens de refaire ton tuto (sachant que je ne peux pas redemandé de certificat startssl) en entier.

J'ai bien renommer le fichier, Apache se relance sans pb.

Je check et j'ai autant d'élément dans la liste que toi, désormais je c'est que c'est OK.

Cependant, cela ne change rien a mon souci, avec chrome niquel, IE 8 Win 7 ok, par contre firefox me dit :

Cette connexion n'est pas certifié

Vous avez demandé à Firefox de se connecter de manière sécurisée à www.xxxxx.fr, mais nous ne pouvons pas confirmer que votre connexion est sécurisée.

Normalement, lorsque vous essayez de vous connecter de manière sécurisée, les sites présentent une identification certifiée pour prouver que vous vous trouvez à la bonne adresse. Cependant, l'identité de ce site ne peut pas être vérifiée.

Que dois-je faire ?

Si vous vous connectez habituellement à ce site sans problème, cette erreur peut signifier que quelqu'un essaie d'usurper l'identité de ce site et vous ne devriez pas continuer.

Détails techniques

www.xxxxx..fr utilise un certificat de sécurité invalide.

Le certificat n'est pas sûr car l'autorité délivrant le certificat n'est pas éprouvée.

(Code d'erreur : sec_error_untrusted_issuer)

Je comprends les risques....

Si je valide le certificat, pas de souci sa roule. J'ai vérifié 10 fois je n'ai rien oublié a ton tuto.

Si je met "Voir le certificat", je le vois bien déclaré chez startssl en class1 ....

D'après ce que j'ai pu lire sur le net, Firefox a depuis un moment déjà renforcé sa sécurité et ajoutant ce message pour les certificats auto signé.

Ce serait donc un comportement normal, Onik peux tu me donner en MP le lien de ton domaine pour que je test si j'ai la même erreur ?

Encore merci, je crois qu'en fait je l'ai bien installé mais ces petits proviennent du certif auto signé.

Par contre pour IE, sa reste bizarre la même version sur deux OS différent ne donne pas les mêmes résultats.

Quand à Opera, lui n'affiche pas du tout la page... (c'est également pour cela que j'aimerai avoir ton site pour faire les mêmes test)

[OniK]

re ...

j'ai fait qq test sur ton serveur ... en effet ca merde qq part

peux tu me donner ta config exacte stp ??

@+

OniK

ps check tes PM ^_-

[faaaa]

Check tes PM

[faaaa]

Pour résumé pour ceux qui sont intéréssé,

On a tous les deux le même message d'erreur sous Firefox :

"sec_error_untrusted_issuer"

D'après ce que j'ai pu voir, ce serait normal car Firefox a renforcé sa sécurité avec ce message pour les certificats auto signés.

=> http://www.siteduzer...uto-signes.html

support mozilla :

http://support.mozil..._est_auto_sign_

Par contre avec Opera et IE8.0 ( IE8.0 sous XP uniquement) : respectivement "impossible d'achever la transaction sécurisée" et "impossible d'afficher la page" ... la page ne s'affiche pas du tout ce qui est quand même embetant pour les users XP IE8 et Opera (tous les OS).

Pour IE, j'ai trouvé des pistes ici : http://www.commentcamarche.net/faq/2850-ie-impossible-d-acceder-aux-sites-securises-https-ssl

A tester donc ...

[OniK]

rectification car apres plusieurs contre test fait ici et en externe je confirme que les prob rencontre par faaaa ( mis a part pour IE sous XP ) ne se produisent que chez lui et sur son serveur uniquement ...

donc si vous rencontrez ce genre d'erreur il faut revoir votre config car le prob est chez vous ...

@+

OniK

[faaaa]

Pb résolu !

Je pense que mon souci venait soit du fichier crt qui était corrompu ou soit que j'avais mal validé le domaine...

Bref une des deux pistes, en tous cas je te remercie pour ton aide précieuse.

=> Si je peux me permettre, sa serait bien de rajouter dans ton tuto :

1- de bien penser à renommer le fichier télécharger ici (http://www.startssl.com/certs/) "ca-bundle.crt.cer" en "ca-bundle.crt" (Pourquoi pas proposer ton fichier en dl pour éviter de le corrompre).

2- de bien penser a valider ton domaine (onglet Validation etc..).

Voila, encore merci !

[JeanLuc]

Hello

voici un petit tuto tres simple pour installer correctement vos certificats SSL sur votre Syno

prerequis :

-

[faaaa]

Slt,

suis bien le tuto

[JeanLuc]

Slt,

suis bien le tuto à la lettre et sa va rouler !

Pour Onix et moi même aucun souci avec le fichier ca-bundle.crt ... donc chercher pas plus loin.

A la fin, dis nous si tu peux accèder a ton site via IE.

Salut faaaa,

En fait ne n'avais pas de problème, j'avais créé un sous domaine pour l'accès à File Manager.

L'erreur est que je possède un certificat de class1 ! (et donc pas de sous-domaine - mais gratuit)

Donc en utilisant https://nostressnet.fr:7001/ c'est OK pour l'écran de login en sécurisé. A l'affichage des volumes locaux (du PC) l'erreur certificat apparaît.

Pour ce qui est de https://nostressnet.fr:5001/ tout est correct: Pas de message et https.

Quelqu'un a trouvé une parade pour File Manager ?

[OniK]

Salut faaaa,

En fait ne n'avais pas de probl

[JeanLuc]

hello

alors deja petite correction avec un class1 startssl tu as un sous domaine + ton domaine ( par exemple file.mondomaine.com + mondimaine.com )

donc tu peux tres bien faire tourner correctement ton systeme sans problemes ...

pour le reste ton probleme est tres simple a expliquer :

pour afficher ton contenu local file manager utilise du java signe mais vu qu'il n'est pas signe pour ton domaine ca merde ...

a priori le prob est resolu depuis dms 3 ... en tt cas je n'ai plus jamais vu ca depuis dms 3 ... de plus j'avais cette "erreur" que tres tres rarement ( on va dire 1 fois sur 50 )

@+

OniK

Bonjour,

Tu as raison Onik, dans mon certificat j'ai www.nostressnet.fr et nostressnet.fr.

Pour ce qui est du java utilis

[OniK]

Tu as raison Onik, dans mon certificat j'ai www.nostressnet.fr et nostressnet.fr.

en effet ...

par contre ( et j'aurais du le preciser ds mon tuto ) il n'est vraiment pas conseille de securiser un domaine sur www.***.** avec un certif gratuit ...

pcq si pour une raison x ou y tu rencontres le moindre probleme avec ton certif tu va tjs pouvoir courrir pour le revoquer ... ( ce n'est absolument pas le cas pour un certif payant )

tandis que si tu securises un sous domaine + domaine sans le www en cas de prob y te suffit de recrer un nouveau certif avec un nouveau sous domaine + ton domaine sans le www ...

donc pour resumer la meilleur solution est de securiser votre domaine de cette facon : domaine.com ( sans le www !!! ) + sous-domaine.domaine.com

Pour ce qui est du java utilis

[faaaa]

Je viens de comprendre que ce que tu appel File manager c'est File Station c'est bien sa ?

Je fais un test et te dis si chez moi sa fait pareil.

[faaaa]

Je viens de tester de me connecter en https à FileStation, j'ai naviguer dans mes dossiers etc.. je n'ai pas de pb https.

=> Sinon pour activer https sur FileStation il suffit de cocher la case redirection en auto http > https et sa redirige aussi bien pour l'interface d'admin que pour FileStation.

Tu dois donc avoir un souci

J'ai exactement la même version de DSM que toi avec un DS209.

Tu arrive a accèder a ton site en HTTPS depuis IE ? Si oui depuis un IE sous XP ? quel version.

Car pour Onik et moi-même avec IE8.0 sous XP la page ne s'affiche pas du tout, par contre IE8.0 sous win 7 aucun souci.

Merci de ton retour la dessus

[JeanLuc]

=> Sinon pour activer https sur FileStation il suffit de cocher la case redirection en auto http > https et sa redirige aussi bien pour l'interface d'admin que pour FileStation.

Excuse-moi faaaa pour le File Manager au lieu de File Station.

Juste une petite remarque, il y a bien redirection de l'interface admin de HTTP vers HTTPS et depuis admin un File Station en phase (HTTPS)

Mais l'acc

[JeanLuc]

sinon pour photo station etc je trouve ca tres con de la part de syno de pas proposer une redirection auto http -> https pour le webstation

enfin soyons heureux il le proposent deja pour la consol d'admin ...

mais bon c totalement possible y suffit juste de faire une redirection auto http -> https ...

Je suis d'accord avec toi Onik, mais concr

[faaaa]

Mais l'acc

[JeanLuc]

Ben effectivement si tu veux y acc