Aller au contenu

Importation Certificat Startssl Mais Toujours Erreur De Certificat Sur Le Navigateur


Messages recommandés

Bonjour,

Souhaitant retirer l'erreur de certificat sur les navigateurs se connectant en https à mon DS212+, j'ai suivi les tutoriels que j'ai trouvé sur le net.

J'ai pris un certificat de class 1 gratuit chez StartSSL.

J'ai importé les fichiers nécessaires dans le NAS.

Résultats:

Statut: Certificat tiers (en vert)

Emis pour: sousdomaine.mondomaine.fr

Emis par: StartCom Class 1 Primary Intermediate Server CA

Date d'expiration: 2015-12-05

Algorithme de signature: SHA256 (en vert)

J'ai toujours l'erreur de certificat sur mon navigateur quand je vais sur:

https://mondomaine.fr

https://mondomaine.fr/photo

en local sur https://adresse_IP:5001

en local sur https://adresse_IP/photo

Petite précision qui a peut être son importance:

Sur StartSSL il faut absolument, pour la version gratuite, fournir un sous-domaine.

J'ai donc indiqué: sousdomaine.mondomaine.fr

Il doit y avoir une étape que j'ai loupé ou tout simplement je me suis trompé et n'arrive pas à faire en sorte que les navigateurs n'affichent plus le bandeau rouge avec l'erreur de certificat.

Je cale un peu et fait appel à vos connaissances et compétences que je n'ai pas.

Avec tous mes remerciements.

Diode

Materiel: DS212+ avec DSM 5.1-5004 update 2

Modifié par diode
Lien vers le commentaire
Partager sur d’autres sites

Finalement je me suis rendu compte que lorsque je vais sur https://mondomaine.fr et sur https://mondomaine.fr/photo ça marche, je n'ai pas l'erreur de certificat sur le navigateur.

En réalité j'avais l'habitude de passer par https://www.mondomaine.fr et là ça me mets une erreur de certificat. C'est certainement dû au fait que mon certificat est valable pour sousdomaine.mondomaine.fr

En local j'ai toujours l'erreur de certificat en passant par https://mon_IP:5001

Lien vers le commentaire
Partager sur d’autres sites

Cette redirection est inutile si vous n'avez redirigé dans votre routeur que des ports vers les ports https du nas.

Vous pouvez très bien naviguer en http en interne et réserver le https pour les liaisons externes.

Modifié par Mic13710
Lien vers le commentaire
Partager sur d’autres sites

si il faut juste www.domain.fr et domain.fr, faut demander le certificat pour www.domain.fr pour avoir les 2 qui fonctionne

pour faire du multi domaine, ca reste possible avec plusieur certificat et un reverse proxy

Je ne crois pas qu'il soit possible d'en changer avec StarSSL.

J'ai fait le mien avec www.mondomaine.fr. J'ai eu la clé et le certificat correspondant et je n'ose pas le remplacer avec un autre certificat généré par le nas car j'ai peur qu'il ne soit pas accepté.

Crois-tu qu'il soit possible de créer un nouveau certificat avec le nas et le faire accepter par StartSSL avec la clé générée par le NAS ?

Lien vers le commentaire
Partager sur d’autres sites

Mic 13710, J'ai coché rediriger le http vers le https dans l'interface du Synology pas dans ma freebox.

Vous voulez dire que je devrais natter le port 80 sur le 443 en direction du Synology pour pouvoir décocher la redirection vers https dans le NAS?

Effectivement Gaetan, j'aurai dû mettre comme sous-domaine "www" mais c'est trop tard. Pour rajouter un sous-domaine il faut passer à la version payante.

Je ne pense pas que l'on puisse en changer comme ça quand on voit que pour révoquer le certificat il faut payer.

Lien vers le commentaire
Partager sur d’autres sites

Première remarque, il n'y a pas de choix de redirection http vers https dans la Freebox comme du reste dans n'importe quelle box. Le routeur comme son nom l'indique ne fait que router des flux qui entrent et qui sortent. Si vous redirigez un port vers un autre, il fera le transfert comme vous le lui aurez demandé. Ni plus ni moins.

Ensuite, la redirection dans le NAS ne concerne que le 5000 (http) vers le 5001 (https). Les autres ports et protocoles ne sont pas concernés.

Extrait de l'aide DSM :

Pour activer les connexions HTTPS :

  1. Cochez Activer la connexion HTTPS.
  2. Si vous désirez rediriger le clients vers le port HTTPS (5001) en essayant d'accéder à DSM à travers le port HTTP (5000), cochez la case Rediriger automatiquement les connexions HTTP vers HTTPS

A moins que vous n'ayez aucune confiance dans votre entourage, la redirection vers le https n'a pas d'utilité dans votre réseau privé.

Par contre, dans la Freebox, vous avez tout intérêt à ne pas diriger vers le 5000 mais vers le 5001 du NAS pour que vos liaisons ne se fassent qu'en https.

Personnellement, j'utilise un port différent dans la Freebox (par exemple le 5021) que je dirige vers le 5001 du NAS qui commence a être un peu trop connu. Je n'ai aucun port d'ouvert vers le 5000.

Et pour le ftp, je redirige là aussi un port différent (par exemple le 2121) vers le 21 du NAS pour éviter les attaques trop fréquentes sur ce port.

Malheureusement j'ai aussi le serveur mail activé, et j'ai donc tous les ports du service ouverts dont le 25 (smtp) qui ne peut pas être redirigé. J'ai régulièrement des attaques sur ce port, attaques sans incidence car elles sont vite bloquées par le blocage auto du pare feu.

Modifié par Mic13710
Lien vers le commentaire
Partager sur d’autres sites

Si c'est pas le mêle sous domaine, startssl ne le refusera pas, si c'est le même sous domaine, faut révoquer l'ancien en passant par la case payer

Merci pour l'info.

A moins que je ne me trompe, un certificat est associé à une clé. Est-ce que le certificat créé par le Syno utilise la clé StartSSL que je lui ai donné ou bien en crée t'il une différente ? et comment vérifier quelle est la clé utilisée ?

Mon www fonctionne bien, mais je me demandais s'il était possible avec StartSSL de faire un sous-domaine généraliste *.mondomaine.fr pour couvrir tous les sous-domaines (je n'ai malheureusement pas essayé quand j'ai créé mon certificat), et si le certificat créé par le Syno était de ce type.

Edit :

Autre question : est-ce que le certificat d'un sous-domaine s'applique aussi au domaine ?

Modifié par Mic13710
Lien vers le commentaire
Partager sur d’autres sites

malheureusement, ca ne sera pas possible

c'est la limite de leur modele gratuit : tu te plante dans un certificat, ou tu perd ta clé privé, la seule solution est de revoqué --> payé

pour mic : les certificat startssl sont bien fait, il prennent en compte le sous domaine et toujours le domaine en meme temps ;)

Lien vers le commentaire
Partager sur d’autres sites

pour mic : les certificat startssl sont bien fait, il prennent en compte le sous domaine et toujours le domaine en meme temps ;)

Merci Gaëtan.

En fait, je me posais la question car si j'arrive à me connecter en passant par https://mondomaine.fr....., la connexion effective se fait théoriquement en https://www.mondomaine.fr

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.