Erreur De Certificat En Https

[17795]

Bonjour,

J'ai installé le paquet Git Server afin de synchroniser mes projets de développement sur plusieurs machines. J'utilise le service DDNS, j'accès au NAS via une adresse https://moi.synology.me/public (mes projets sont dans public).

Cependant je n'arrive pas à les récupérer depuis une autre machine. Quand je fait un git clone (censé me récupérer l'arbo d'un projet), j'ai cette erreur :

  Citation

Cloning into 'test2'...
error: server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none while accessing https://moi.synology.me/public/test2.git/info/refs
fatal: HTTP request failed

J'ai cherché cette erreur, c'est bien un problème de certificat, mais je ne comprends pas ce qu'il faut corriger.

Merci d'avance pour votre aide.

[17795]

Personne n'a une idée ?

[Fravadona]

As-tu bien genere un certificat avec le CommonName moi.synology.me sur le NAS ?

[17795]

J'ai fait ces réglages il y a pas mal de temps, je ne me rappelle plus bien comment j'ai fait malheureusement...

Dans les paramètres DSM, j'ai ceci :

Statut : certificat auto-signé
Emis pour : synology.com
Emis par : Synology Inc. CA
Date d'expiration : 2023-12-04

Est-ce que "synology.com" et "synology.me" sont considérés comme identiques ?

Y a-t-li un moyen de vérifier si tout est bien paramétré ?

[Fravadona]

Ton certificat n'est pas valide pour ta machine, il faut que ce soit le nom (sans le port ni le chemin) par lequel tu accedes a ton NAS depuis l'exterieur : moi.synology.me

[17795]

Ok donc je vais en générer un autre. Merci pour ton aide

Je repasserai ici une fois que ce sera fait.

[17795]

Il y a deux étapes pour un certificat auto-signé :

- Créer un certificat racine

- Créer un certificat

Dans les deux fenêtres, il faut indiquer le "nom commun" (moi.synology.me donc). Mais il est impossible de le mettre sur les deux fenêtres, dans ce cas j'obtiens :

Les informations du certificat racine et du certificat du serveur ne doivent pas être identiques. Veuillez vérifier que le chemin indiqué est correct.

Que faut-il mettre comme nom commun alors ?

[Fravadona]

La racine correspond a l'authorite de certification, tu peux y mettre ce que tu veux.

Le certificat en deuxieme etape est celui qui doit correspondre au serveur.

J'ai mis donne un exemple sur ce post

[17795]

Plusieurs tentatives, ça plante à chaque fois... J'ai un message "Création du certificat" qui apparaît, puis :

Echec de l'opération. Reconnectez-vous à DSM et réessayez.

Voici ce que j'ai mis :

  Citation

- Longueur : 2048

- Nom commun : Synology Inc. CA

- Courrier électronique : moi@free.fr

- Pays : [FR] France

Etat : Ile-de-France
Ville : Paris
Organisation : Synology Inc.
Service : Synology Certification Authority

Puis sur le second écran :

  Citation

- Nom commun : moi.synology.me

- pas de nom alternatif

le reste est identique au premier écran

D'où cela peut-il venir ?

Edit : je précise que je me suis reconnecté (la session avait peut-être expiré) et je suis bien à jour pour la version du DSM.

Modifié le 4 mars 2014 par 17795

[Fravadona]

En te connectant en HTTP plutot que HTTPS ca ne fonctionne pas non plus ?

[17795]

J'ai activé l'option qui redirige le HTTP vers le HTTPS donc je suppose que cela revient au même ?

[Fravadona]

Desactives l'option de redirection et connectes-toi sur le port 5000.

Je ne suis pas certain que ton probleme vienne de la mais modifier le certificat pendant un connection HTTPS est un peu equivalent a changer le mot de passe Wifi de ta box tout en etant connecte par Wifi

[17795]

Effectivement, c'est plutôt logique...

Je viens de réessayer en désactivant l'option (en HTTP donc), et sans sans passer par le DDNS (directement via mon ip locale 192168.1.1:5000). Toujours la même erreur...

Est-ce que mon ancien certificat (qui est donc invalide) peut gêner la création d'un nouveau ? Je ne trouve pas comment le révoquer dans l'interface admin.

Edit : ah j'ai eu un nouvel échec mais après le message "redémarrage du serveur web". J'ai recommencé de suite et cette fois pas d'erreur. Je relance mes tests git pour vérifier si ça passe mieux.

Modifié le 4 mars 2014 par 17795

[17795]

Nouvelle erreur : désormais j'ai celle-ci :

  Citation

fatal: unable to access 'https://moi.synology.me/path/to/rep.git' : SSL certificate problem: unable to get local issuer certificate

A priori c'est un problème du certificat du serveur ? Je ne sais pas comment vérifier si le certificat a été correctement généré, après toutes ces tentatives...

Modifié le 4 mars 2014 par 17795

[Fravadona]

Pour tester ton certificat tu peux l'exporter depuis le syno puis importer le CA.crt sur ton PC. Quand tu te connecteras a DSM sur le port 5001 (avec Chrome), il ne devrait plus te demander de confirmer la connexion.

sur les systemes qui utilisent git tu vas devoir installer le ca.crt du syno dans /etc/ssl/certs/

[17795]

J'ai bien importé le ca.crt qur ma machine de test (sous Windows 8.1, procédure ici). L'import a réussi, le certificat apparaît bien dans la liste (je l'ai mis dans "Personnel", je suppose que cela n'a pas d'influence tant qu'il existe). Mais j'ai toujours la même erreur sur git.

Effectivement Chrome ne me le demande plus, par contre Firefox et IE, si.

[Fravadona]

Et si tu importes le certificat pour le systeme plutot que dans ton trousseau "Personnel" ?

Modifié le 4 mars 2014 par Fravadona

[17795]

Je n'ai rien de tel. J'ai (à peu près) ces catégories et à mes yeux elles sont toutes utilisables... Si je l'importe dans chaqune d'entre elles, cela peut-il poser un problème ?

[Fravadona]

Il faut importe le ca.crt dans "Autorites de certification racines de confiance"

[17795]

Toujours la même erreur

Le certificat est pris en compte de suite ? Ou bien il faut faire une manip (redémarrage, commande,...) ?

[Fravadona]

oui normalement, mais utilises-tu bien moi.synology.me (plutot que l'IP) pour te connecter au NAS sur ton reseau local ?

[17795]

En local j'utilise l'ip locale (pour accéder à l'interface ou en connexion lecteur réseau). Pour git, j'essaye à chaque fois avec l'adresse https://moi.synology.me, c'est là que ça foire.

[Fravadona]

Dans ton premier message tu avais cette erreur :

  Le 3/2/2014 à 4:04 PM, 17795 a dit :

Cloning into 'test2'...
error: server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none while accessing https://moi.synology...2.git/info/refs
fatal: HTTP request failed

C'etait sur quelle machine ? Il est assez clair qu'il faut ajouter le certificat de ton serveur dans /etc/ssl/certs/

[17795]

Cette erreur, c'est sur mon poste Windows 8 que je l'obtenais. Je tentais de cloner le projet existant sur le NAS.

Sur le NAS, je n'ai pas de répertoire /etc/ssl/, dois-je le créer manuellement ? Quand tu dis "ajouter le certificat", c'est le zip que j'exporte depuis l'interface admin, ou seulement un des fichiers de ce zip ? Je pensais que le certificat était déposé au bon endroit lors de sa création, que je n'avais rien à faire manuellement.

[Fravadona]

Le Zip contient 4 fichiers :

- Cle publique/privee de l'autorite de certification que tu as cree

- Cle publique/privee du serveur, signees par l'autorite de certification

Ce que tu dois importer sur tes PCs est la cle publique de l'autorite de certification, et peut-etre aussi la cle publique du serveur