Importation Certificat Startssl Mais Toujours Erreur De Certificat Sur Le Navigateur

[diode]

Bonjour,

Souhaitant retirer l'erreur de certificat sur les navigateurs se connectant en https à mon DS212+, j'ai suivi les tutoriels que j'ai trouvé sur le net.

J'ai pris un certificat de class 1 gratuit chez StartSSL.

J'ai importé les fichiers nécessaires dans le NAS.

Résultats:

Statut: Certificat tiers (en vert)

Emis pour: sousdomaine.mondomaine.fr

Emis par: StartCom Class 1 Primary Intermediate Server CA

Date d'expiration: 2015-12-05

Algorithme de signature: SHA256 (en vert)

J'ai toujours l'erreur de certificat sur mon navigateur quand je vais sur:

https://mondomaine.fr

https://mondomaine.fr/photo

en local sur https://adresse_IP:5001

en local sur https://adresse_IP/photo

Petite précision qui a peut être son importance:

Sur StartSSL il faut absolument, pour la version gratuite, fournir un sous-domaine.

J'ai donc indiqué: sousdomaine.mondomaine.fr

Il doit y avoir une étape que j'ai loupé ou tout simplement je me suis trompé et n'arrive pas à faire en sorte que les navigateurs n'affichent plus le bandeau rouge avec l'erreur de certificat.

Je cale un peu et fait appel à vos connaissances et compétences que je n'ai pas.

Avec tous mes remerciements.

Diode

Materiel: DS212+ avec DSM 5.1-5004 update 2

Modifié le 5 décembre 2014 par diode

[diode]

Finalement je me suis rendu compte que lorsque je vais sur https://mondomaine.fr et sur https://mondomaine.fr/photo ça marche, je n'ai pas l'erreur de certificat sur le navigateur.

En réalité j'avais l'habitude de passer par https://www.mondomaine.fr et là ça me mets une erreur de certificat. C'est certainement dû au fait que mon certificat est valable pour sousdomaine.mondomaine.fr

En local j'ai toujours l'erreur de certificat en passant par https://mon_IP:5001

[Mic13710]

Il est normal qu'en local ça ne passe pas puisque le certificat est associé à votre domaine. En interne, vous êtes sur un réseau privé, sans rapport avec votre domaine.

Pourquoi passer en https en local ?

[diode]

J'ai coché rediriger automatiquement les connexions HTTP vers le HTTPS.

Cela à l'air de s'appliquer en interne aussi.

[Mic13710]

Cette redirection est inutile si vous n'avez redirigé dans votre routeur que des ports vers les ports https du nas.

Vous pouvez très bien naviguer en http en interne et réserver le https pour les liaisons externes.

Modifié le 5 décembre 2014 par Mic13710

[gaetan.cambier]

si il faut juste www.domain.fr et domain.fr, faut demander le certificat pour www.domain.fr pour avoir les 2 qui fonctionne

pour faire du multi domaine, ca reste possible avec plusieur certificat et un reverse proxy

[Mic13710]

si il faut juste www.domain.fr et domain.fr, faut demander le certificat pour www.domain.fr pour avoir les 2 qui fonctionne

pour faire du multi domaine, ca reste possible avec plusieur certificat et un reverse proxy

Je ne crois pas qu'il soit possible d'en changer avec StarSSL.

J'ai fait le mien avec www.mondomaine.fr. J'ai eu la clé et le certificat correspondant et je n'ose pas le remplacer avec un autre certificat généré par le nas car j'ai peur qu'il ne soit pas accepté.

Crois-tu qu'il soit possible de créer un nouveau certificat avec le nas et le faire accepter par StartSSL avec la clé générée par le NAS ?

[diode]

Mic 13710, J'ai coché rediriger le http vers le https dans l'interface du Synology pas dans ma freebox.

Vous voulez dire que je devrais natter le port sur le 443 en direction du Synology pour pouvoir décocher la redirection vers https dans le NAS?

Effectivement Gaetan, j'aurai dû mettre comme sous-domaine "www" mais c'est trop tard. Pour rajouter un sous-domaine il faut passer à la version payante.

Je ne pense pas que l'on puisse en changer comme ça quand on voit que pour révoquer le certificat il faut payer.

[Mic13710]

Première remarque, il n'y a pas de choix de redirection http vers https dans la Freebox comme du reste dans n'importe quelle box. Le routeur comme son nom l'indique ne fait que router des flux qui entrent et qui sortent. Si vous redirigez un port vers un autre, il fera le transfert comme vous le lui aurez demandé. Ni plus ni moins.

Ensuite, la redirection dans le NAS ne concerne que le 5000 (http) vers le 5001 (https). Les autres ports et protocoles ne sont pas concernés.

Extrait de l'aide DSM :

Pour activer les connexions HTTPS :

1. Cochez Activer la connexion HTTPS.
2. Si vous désirez rediriger le clients vers le port HTTPS (5001) en essayant d'accéder à DSM à travers le port HTTP (5000), cochez la case Rediriger automatiquement les connexions HTTP vers HTTPS

A moins que vous n'ayez aucune confiance dans votre entourage, la redirection vers le https n'a pas d'utilité dans votre réseau privé.

Par contre, dans la Freebox, vous avez tout intérêt à ne pas diriger vers le 5000 mais vers le 5001 du NAS pour que vos liaisons ne se fassent qu'en https.

Personnellement, j'utilise un port différent dans la Freebox (par exemple le 5021) que je dirige vers le 5001 du NAS qui commence a être un peu trop connu. Je n'ai aucun port d'ouvert vers le 5000.

Et pour le ftp, je redirige là aussi un port différent (par exemple le 2121) vers le 21 du NAS pour éviter les attaques trop fréquentes sur ce port.

Malheureusement j'ai aussi le serveur mail activé, et j'ai donc tous les ports du service ouverts dont le 25 (smtp) qui ne peut pas être redirigé. J'ai régulièrement des attaques sur ce port, attaques sans incidence car elles sont vite bloquées par le blocage auto du pare feu.

Modifié le 6 décembre 2014 par Mic13710

[gaetan.cambier]

Si c'est pas le mêle sous domaine, startssl ne le refusera pas, si c'est le même sous domaine, faut révoquer l'ancien en passant par la case payer

[Mic13710]

Si c'est pas le mêle sous domaine, startssl ne le refusera pas, si c'est le même sous domaine, faut révoquer l'ancien en passant par la case payer

Merci pour l'info.

A moins que je ne me trompe, un certificat est associé à une clé. Est-ce que le certificat créé par le Syno utilise la clé StartSSL que je lui ai donné ou bien en crée t'il une différente ? et comment vérifier quelle est la clé utilisée ?

Mon www fonctionne bien, mais je me demandais s'il était possible avec StartSSL de faire un sous-domaine généraliste *.mondomaine.fr pour couvrir tous les sous-domaines (je n'ai malheureusement pas essayé quand j'ai créé mon certificat), et si le certificat créé par le Syno était de ce type.

Edit :

Autre question : est-ce que le certificat d'un sous-domaine s'applique aussi au domaine ?

Modifié le 6 décembre 2014 par Mic13710

[gaetan.cambier]

Le syno utilise la clé qui correspond au certificat, celle sue tu as créé sur le syno si tu as fait la demande avec le csr, ou celle que startssl fourni si tu fais tout en ligne. Pour avoir un domaine avec *, faut passer a la caisse

[Mic13710]

On va éviter la caisse puisque ça fonctionne bien avec www !

[diode]

Merci pour toutes ces informations.

Si quelqu'un a déjà réussi à faire une modification de sous-domaine chez StartSSL sans passer par la caisse, je suis preneur pour les infos.

[gaetan.cambier]

malheureusement, ca ne sera pas possible

c'est la limite de leur modele gratuit : tu te plante dans un certificat, ou tu perd ta clé privé, la seule solution est de revoqué --> payé

pour mic : les certificat startssl sont bien fait, il prennent en compte le sous domaine et toujours le domaine en meme temps

[Mic13710]

pour mic : les certificat startssl sont bien fait, il prennent en compte le sous domaine et toujours le domaine en meme temps

Merci Gaëtan.

En fait, je me posais la question car si j'arrive à me connecter en passant par https://mondomaine.fr....., la connexion effective se fait théoriquement en https://www.mondomaine.fr