Dsm 5 Et Certificat Ssl Wildcard

[devildant]

Bonjour,

je crée ce sujet car je rencontre de nombreux souci avec cette mise à jour DSM 5 et les certificat ssl wildcard.

je dispose de plusieurs sous domaine a sécurisé et donc pour cela j'ai acheté un certif wildcard que je renouvel depuis 2 ans.

en 4.3 (pas d'update) mon certificat était parfaitement reconnu dans l'interface certificat, au file des mise à jour, j'ai vu la gestion de ce type de certificat ce dégrader.

au jour d’aujourd’hui avec ce DSM 5 je rencontre ces problèmes :

- quand j’accède a l'interface certificat dans le panneau de config DSM j'obtiens un message comme quoi je dois me reconnecter.

- les applet java ne se lance plus car il y a une erreur SNI, le problème a été constaté avec webstation(https) et filestation sur le port 7001(https), étrangement cela fonctionne avec le port 5001.

- il m'est impossible d’utilité l'autentification basic avec webstation en https, peux import le login et le mot de passe le prompt réapparait systématiquement.

le but de ce message n'est pas un appel au secours ^^ mais si vous avez des idées je suis preneur ^^

je suis actuelement en discussion avec synology pour ce problème, je ferais un retour sur l’évolution.

Une solution que j'utilise pour mon réseau local est de passé par haproxy, il corrige les entêtes http, du coup en passant par lui je n'ai plus de problème.

c'est quand même fâcheux de devoir utilisé un riverse proxy pour pouvoir utilisé un service web correctement (même si bien évidement ce n'est pas pour cela que je l'utilisai initialement)

voila j'espère que ce sujet pourra faire patienté ceux qui n’ont pas encore migré et qui possède ce type de certificat ou tous simplement ceux qui ce retrouve dans la même situation que moi

[MS_Totor]

salut

je sens que je vais suivre ce sujet avec attention, je suis en 4.3

tu peux me donner l'erreur SNI en question stp ?

je n'ai pas d'implantation wildcart sur syno , donc pas concerné directement.

pour info sur un server, je sais pour avoir du batailler il y a peu qu'il y a début de divorce entre firefox et java, le premier accusant le deuxieme d'etre une vraie passoire depuis trop longtemps, du coup je me retrouve avec trois confirmations de securité à cliquer si je ne fais d'exeption pour un lien ssl pointant sur un applet java dans le PC client (dans la console java puis securité.... java32 à tapper dans la saisie de Demarrer de mon PC )

[devildant]

Bonjour MS_Totor,

oui bien sur voila l'erreur :

javax.net.ssl.SSLProtocolException: handshake alert: unrecognized_name
at sun.security.ssl.ClientHandshaker.handshakeAlert(Unknown Source)
....

d'après mes recherches et différent test l'erreur est causé pas apache, le serveur name renvoyé ne corresponds pas avec l'appel.

j'ai pu patcher temporairement webstation en modifiant la conf apache du syno, j'ai rajouté le paramètre ServerName.

mais bon déjà que a chaque mise a jour je suis obliger de modifier la conf de certain composant, si en plus il faut que je me paluche toute les conf apache ça va pas le faire, surtout que au niveau de DSM en lui même cela fonctionne très bien (port 5001), je me dit donc que c'est un souci de conf et que synology peux le corrigé, surtout que juste avant mon passage en 5.0 cela fonctionnais a la perfection.

j'ai fait quelque tentative avec cette configuration apache (sans succes) http://httpd.apache.org/docs/2.2/mod/core.html#usecanonicalname

Concernant le problème de l'auth basic j'ai tenté de modifier les options SSL (sans succes) : http://www.apache.jp/manual/fr/mod/mod_ssl.html#ssloptions

cette mise à jour se passe dans la douleur

et heureusement que haproxy est la sinon mon site serait en RAD

Modifié le 25 avril 2014 par devildant

[MS_Totor]

demain est un très bon jour

j'ai la tête dans dnssec.....ca vas pas ....

[devildant]

bon alors après avoir épluché la conf apache j'ai la solution a tous mes problèmes :

1) un message d'erreur apparait dans l'onglet certificat (veuillez vous reconnecter)

• le problème est lier au différente migration depuis la 4.3
• la solution :
  • Rendez-vous sur l'interface DSM dans l'onglet certificat
  • connectez-vous en root via ssh
  • rendez-vous dans le repertoire cd /usr/syno/etc/ssl
  • supprimer les divers certificat dans les dossiers suivants :
    • ssl.crt
    • ssl.csr
    • ssl.intercrt
    • ssl.key
  • FAITE ATTENTION VOUS ÊTES EN ROOT
  • Une fois fait depuis l'interface DSM dans l'onglet certificat créer un certificat auto signé
  • A présent vous pouvez remettre votre certificat wildcard

2) Les applets java ne se lance plus a cause d'une erreur SNI (webstation, filestation port 7001)

• Synology a oublier une conf apache dans la configuration pour webstation et filestation, il ne l'on cependant pas oublier dans DSM
• les parametres manquant sont :
  • ServerName *
  • ServerAlias *
  • pour les ajouter :
    • connexion en ssh et en root
      • WebStation :
        • cd /etc/httpd/conf/extra
        • vi httpd-ssl.conf-user
        • Ajouter les deux paramètres sous la balise <VirtualHost *:443>

      • Filestation

        • cd /etc/httpd/sites-enabled

        • vi SYNO.SDS.App.FileStation3.Instance.alt_port_ssl.conf

        • Ajouter les deux paramètres sous la balise <VirtualHost *:7001>

3) l’authentification basic échoue systématiquement en https

• Grâce a ZiKriek sur ce sujet : j'ai la correction (encore merci )
• Solution :
  • panneau de configuration -> service web -> service http : désactiver SPDY

je vais informer synology de ces corrections

Modifié le 27 avril 2014 par devildant