Aller au contenu

Comment Installer Correctement Un Certificat Ssl Startssl - Comodo ... ?

OniK

Par OniK
dans Tutoriels

 Partager

Messages recommandés

OniK Newbie

OniK

Posté(e)
Posté(e)

Hello

voici un petit tuto tres simple pour installer correctement vos certificats SSL sur votre Syno

prerequis :

- être propriétaire du nom de domaine.

- avoir un certificat SSL startSSL ou COMODO ( ca doit etre pareil avec les autres CA mais bon j'ai pas teste ... )

ici je prend l'exemple d'un certificat de chez startSSL ... le gros avantage il est totalement gratuit !!

http://www.startssl.com/?app=1

- telnet actif sur votre syno

c parti :

- Activer la connexion HTTPS et importer votre certificat :

connectez vous a votre interface syno et allez sur l'onglet "services reseau" -> "service web"

cocher Activer la connexion HTTPS puis clicker sur importer le certificat

vous aurez besoind de votre certif ( .crt ) et votre clef server ( .key )

le .key doit etre decrypte sinon ca ne fonctionnera pas!

par exemple :


openssl rsa -in $sslkeydir/server.key -out $sslkeydir/server.key.insecure

mv $sslkeydir/server.key $sslkeydir/server.key.secure

mv $sslkeydir/server.key.insecure $sslkeydir/server.key
puis on reboot apache : 

/usr/syno/etc/rc.d/S97apache-sys.sh restart

/usr/syno/etc/rc.d/S97apache-user.sh restart
- a ce stade le certif sera correctement insalle mais ne sera pas reconnu par ts les navigateurs ( par exemple : IE windows 7 OK - firefox windows 7 KO ) pour faire un test c ici : http://www.sslshoppe...sl-checker.html - maintenant pour que tout fonctionne correctement il faut installer les certif intermediaires !! ici on va faire simple en installant uniquement un ca-bundle.crt ( et non ca.pem et sub.class1.server.ca.pem ou autre en fonction du certif ) on le trouve ici pour startSSL http://www.startssl.com/certs/ copier le fichier ds 

/usr/syno/etc/ssl/ssl.crt/ca-bundle.crt
maintenant on va indiquer a apache ou se trouve le ca-bundle.crt en modifiant le fichier httpd-ssl.conf-user 

vi /usr/syno/apache/conf/extra/httpd-ssl.conf-user
ajouter la ligne : 

SSLCertificateChainFile /usr/syno/etc/ssl/ssl.crt/ca-bundle.crt
juste apres ces deux ci : 

SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt

SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key
puis on reboot apache : 

/usr/syno/etc/rc.d/S97apache-sys.sh restart

/usr/syno/etc/rc.d/S97apache-user.sh restart

un petit check ici :

http://www.sslshoppe...sl-checker.html

et voila si tout c bien passe votre certificat SSL est maintenant correctement installe et reconnu par la pluspart des navigateurs ...

@+

OniK

0
Lien vers le commentaire
Partager sur d’autres sites
  • Réponses 94
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

stevanovich
stevanovich

Bonjour, Bien vu pour ce tuto Rajoute dans les pr

OniK Newbie

OniK

Posté(e)
  • Auteur
Posté(e)

Visiblement cela génère une erreur sur domaine.tld/photo autre sous-dossier... Je vais checker ça ce geekend wink.gif

sorry mais je pige pas bien la ...

en fait tu veux valider domaine.tld/photo ???

si c le cas laisse tomber c pas possible pour ca faut valider domaine.tld ou photo.domaine.tld

tu peux juste valider un domaine du genre : domaine.com - sub.domaine.com ou *.domaine.com avec un certif wildcard

0
Lien vers le commentaire
Partager sur d’autres sites
MS_Totor Newbie

MS_Totor

Posté(e)
Posté(e)

j'ai survolé le truc, en fait c'est l'ancien bien connu cacert qui a changé de nom depuis l'année dernière :)

si j'ai bien compris dans le domaine ssl gratuit:

bien d'accord sur la réponse de onik

on peut aussi certifier un smtp en tls smtp.domaine.tld, à vérifier...

@+

0
Lien vers le commentaire
Partager sur d’autres sites
OniK Newbie

OniK

Posté(e)
  • Auteur
Posté(e)

Avec le certificat autosigne, il suffit de rajouter la liste des domaines selon mon tuto, smtp.mondomaine.fr pop.mondomaine.fr, et imap.mondomaine.fr .... à voir si cela peut d'adapter avec startssl.

Je reste cependant septique, c'est un certificat classe 1, donc pas de sous domaine ....

PS: étant donné que smtp, pop et imap se reporte à la même adresse ip, mettre le nom de domaine (sans le protocole devant) devrait suffire tongue.gif

Cordialement.

oui avec un certif auto signe tu peux avoir "l'equivalent" d'un certif wildcard ( ce sera jamais *.domain.com mais bon .... ) l'avantage tu peux aussi y renseigner tes IP interne et adresse intranet ...

seul prob y sera jamais reconnu par un navigateur ou tu n'as pas installer ton ca.crt manuellement ...

pour startssl class 1 tu as : mondomaine.com + xxx.mondomaine.com / certificat

ok c moin pratique qu'un autosigne mais bon t'as l'avantage d'avoir un certif reconnu et muni d'une assurance de 10000$ ... le tout gratuitement!

petit plus : S/MIME Client + Auth gratuit

faut passer en class2 pour du wildcard ou multidom

et oui logiquement juste le nom de domaine suffit pour smtp, pop et imap mais ca reste a verifier ...

@+

OniK

0
Lien vers le commentaire
Partager sur d’autres sites
  • 3 semaines après...
  • 3 semaines après...
MS_Totor Newbie

MS_Totor

Posté(e)
Posté(e)

Y a-t-il un site internet ou je peux créer mon certificat gratuitement avec la clé pour les uploder sur le syno? Faut-il obligatoirement passer en ligne de commande sous SSH pour le modifier? D'avance merci de ta réponse. (Je trouve peu d'information la dessus)

@+

bonsoir, sans vouloir forcer vos talents de chercheur, et cela sans risque, ou du moins je le crois, vous pouvez reculer de quelques posts dans ce même sujet, voir en abusant un peu..... grimper jusqu'au premier post

merci bien :)

0
Lien vers le commentaire
Partager sur d’autres sites
  • 1 mois après...
CaptainIgloo Newbie

CaptainIgloo

Posté(e)
Posté(e)

Bonsoir les zouzous,

Avoir son propre nom de domaine est-il vraiment utile ? [prefix].dyndns.org n'en est pas un !

En effet, le tuto ci-dessous n'en fait pas cas et propose une autre m

0
Lien vers le commentaire
Partager sur d’autres sites
CaptainIgloo Newbie

CaptainIgloo

Posté(e)
Posté(e)

Oui je sais je relance un vieux post.

Cependant, je ne trouve pas vraiment de réponse à mes questions et j'ai bien l'impression de ne pas être le seul paumé.

Je suis étonné car, il ne me parait pas envisageable de faire de l'authentification HTTP et de balancer mon mot de passe en clair sur le net.

Vous me direz d'activer simplement le HTTPS sans le self-signed est déjà bien, mais je trouve pas térrible d'avoir cet écusson rouge (Poursuivre avec ce site Web (non recommandé)).

0
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.