Aller au contenu

Reverse proxy avec NGINX (restauré)


CoolRaoul

Messages recommandés

Si tu souhaites conserver un wildcard, tu n'as que 2 possibilités :

  • passer à la caisse
  • utiliser ta propre autorité (donc à installer dans tous tes clients)

Sinon avec letsencrypt, tu peux créer plusieurs certificats, c'est ce qu'a fait @Mic13710 par exemple.

À titre personnel, j'utilise les 2, le wildcard de ma propre autorité pour les appli "interne" (qui ne parlent pas à tes humains, sauf moi) et letsencrypt pour tout ce qui est public

Lien vers le commentaire
Partager sur d’autres sites

et il se passe quoi si j'utilise pas propre autorité (d'ailleurs est-ce un certificat auto-signé ou autre chose ?), sans l'installer sur tous les clients ?

1) c'est crypté, mais pas authentifié (pas d'adresse en vert) ?

2) c'est inaccessible ? comme actuellement ou chrome m'empêche totalement l'accès à mes services

3) c'est dangereux dans le sens ou ça peut être usurpé ?

car sans wildcard, l'interet du reverse proxy que je faisais par sous-domaines est plus que discutable dans mon cas.

sinon des redirection par ports feraient le boulot ou par url genre

https://mondomaine.fr/service au lieu de https://service.mondomaine.fr

moi ce qui m’intéresse c'est que le traffic, notamment mot de passe,... ne passe pas en clair... 

c'est la lose, là toute mon organisation tombe à l'eau :cry:

 

Modifié par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension
Lien vers le commentaire
Partager sur d’autres sites

il y a 35 minutes, pitch78 a dit :

1) c'est crypté chiffré, mais pas authentifié (pas d'adresse en vert) ?

la connexion sera chiffrée et authentifiée, par contre si l'autorité n'est pas dans ton navigateur, tu auras un avertissement (pas en vert)

=>c'est pour ça que j'ai indiqué qu'il fallait installer l'autorité, de la même manière que digicert, verisign ... sont "pré" installés dans les navigateurs

nb : le fait que la barre d'adresse soit en vert n'est pas un gage de confiance absolu que tu es sur le bon site, c'est juste un indicateur raisonnablement fiable

il y a 37 minutes, pitch78 a dit :

2) c'est inaccessible ? comme actuellement ou chrome m'empêche totalement l'accès à mes services

ça non, ton navigateur te bloque l'accès parce que le certificat est invalide (car blacklisté), avec un certificat valide mais non reconnu tu as juste un avertissement (ce qui n'est pas bien non plus)

=>c'est pour ça que j'ai indiqué qu'il fallait installer l'autorité, de la même manière que digicert, verisign ... sont "pré" installés dans les navigateurs

il y a 39 minutes, pitch78 a dit :

3) c'est dangereux dans le sens ou ça peut être usurpé ?

ni plus ni moins qu'avec un autre certificat "valide" (digicert&co), la seule différence c'est que dans un cas tu te fais confiance et dans l'autre tu fais confiance à un organisme tiers (cf les soucis de google avec comodo ou plus récemment la fraude de starcom qui t'a emmené ici)

=>c'est pour ça que j'ai indiqué qu'il fallait installer l'autorité, de la même manière que digicert, verisign ... sont "pré" installés dans les navigateurs

==============

Il y a 1 heure, Fenrir a dit :

À titre personnel, j'utilise les 2, le wildcard de ma propre autorité pour les appli "interne" (qui ne parlent pas à tes humains, sauf moi) et letsencrypt pour tout ce qui est public

Dit autrement :

  • pour les sites qui doivent être accédés par diverses personnes, j'utilise des certificats reconnu par défaut (signés par une autorité reconnu en standard)
  • pour le reste (tout ce qui n'est accédé que par moi ou des équipements que je maitrise), j'utilise un certificat signé par mon autorité

nb : un certificat d'autorité racine est TOUJOURS autosigné mais ce n'est pas un certificat "autosigné" dans le sens qu'on trouve un peu partout sur le net

Par exemple l'autorité AddTrust est :

  • valide pour CN=AddTrust Class 1 CA Root,OU=AddTrust TTP Network,O=AddTrust AB,C=SE
  • signé par : CN=AddTrust Class 1 CA Root,OU=AddTrust TTP Network,O=,AddTrust AB,C=SE

Par contre les certificats que tu utilises sont très rarement signés par une autorité racine, généralement il y a un ou plusieurs intermédiaire, qui eux sont signés par la racine.

https://www.qwant.com/?q=certificate hierarchy&t=images

Pour aller plus loin il faudrait faire un cours sur les PKI, donc je vais m'abstenir :lol:

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Bonjour,

Le pb que j'ai eu precedement : non redemarage du service suite a passage en DSM6 était  causer par le fait que  toutes les lignes du fichier dans rc.d etaient en "commenté". Je pensais que c'etait de mon fait, hors je me retrouve avec le meme pb a chaque mise a jour. Avez vous les memes effets, sinon d'ou cela peut-il venir

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, alca2k2 a dit :

toutes les lignes du fichier dans rc.d etaient en "commenté". Je pensais que c'etait de mon fait, hors je me retrouve avec le meme pb a chaque mise a jour. Avez vous les memes effets,

Pas constaté chez moi, mais faut dire que mon script de démarrage dans "/etc/local/etc/rc.d" est en réalité un lien symbolique vers un fichier situé ailleurs. C'est peut-être grâce à ça que j'ai été épargné.

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Bonjour,

petit retour concernant mes questions précédentes.

Merci, car j'ai découvert grâce à vous les certificats multi domaines avec le champ SAN. Je pensais avant que seul l'utilisation de certificats wildcard pouvait gérer plus de 1 domaine.

j'ai pu grâce à celà utiliser un certificat let's encrypt pour une vingtaine de domaine.

un préfixe de domaine = un service pour chez moi, d'ou le nombre, car je me développe plein de petits services tout con mais très pratiques.

Petite information, vu le nombre de domaines que j'avais, je pouvais soit utiliser le client en ligne de commande, mais j'ai pas trouvé dans celui intégré à DSM comment bien gérer le champ SAN,

soit utiliser l'IHM de DSM qui présentait l'avantage de gérer seul le renouvellement du certificat, sauf que ma liste était trop longue :cry:

je me pensais foutu, et puis j'ai tenté... et ça à marché !

il suffit en effet de supprimer l'attribut maxlength du champ html INPUT de "Autres nom de l'objet" qui est par defaut à 256 caractères max et ça passe

pour ceux qui ne savent pas faire, utilisez l'inspecteur de votre navigateur, selectionnez le champ html et editez ou supprimez l'attribut maxlength

si ça peux aider... 

Modifié par pitch78
Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, Fenrir a dit :

tu peux avoir plusieurs certificats

ce qui offre aussi l'avantage d'en créer par type d'utilisation.

Perso j'en ai 4 :

1 pour le ns, le www, le mail. C'est celui par défaut.

1 pour les applications : multimedia, download, file station etc...

1 pour Domoticz sur le NAS et les Rasp

1 pour CardDAV et CalDAV, que je vais probablement jumeler avec le principal

Lien vers le commentaire
Partager sur d’autres sites

Le 27/04/2017 à 15:43, Fenrir a dit :

Tu peux aussi faire ta demande en plusieurs fois (tu peux avoir plusieurs certificats).

oui, mais ça m’embêtais un peu, surtout vis à vis du renouvellement. avoir un seul certificat voulais dire un seul renouvellement et donc ouvrir une seule fois le port 80 (d'ailleurs, peut-on scripter "proprement" cette ouverture ? je pense sinon analyser les logs de lets encrypt pour détecter une demande de renouvellement...).

Par rapport au reverse proxy, encore un problème :

à l'extérieur de chez moi, DSM met plus de 10 secondes à s'afficher. Pas chez moi, alors que j'utilise la même URL. ET pas non plus à l'extérieur si je n'utilise pas la config reverse proxy, juste du port forwarding.

Après quelques recherches, j'ai isolé le problème :

un accès à entry.cgi (je sais il y en a à foison)  avec les arguments api=SYNO.Core.Desktop.Initdata&method=get&version=1

hors le json retourné fait quasiment 1Mo (d'ou les 10s avec une connexion ADSL à 100ko/s en up).

pour le reste du chargement de la page c'est peut-être pareil, mais comme c'est plus petit, c'est moins quantifiable.

c'est comme si, avec le reverse proxy j’empêchais d'utiliser le cache ?

Avez vous déjà été confronté à ça ?

D'avance merci

Modifié par pitch78
Lien vers le commentaire
Partager sur d’autres sites

Bon trouvé...

J'ai pas mal joué avec la config nginx et notamment pour augmenter la sécurité (dhparam,...)

toujours est-il que dans le fichier proxy_default.conf, le paramètre

Citation

proxy_http_version 1.1;

était commenté, suite à une modification ou par erreur je ne saurais pas le dire, toujours est-il que

  • avec le paramètre actif entry.cgi  avec les arguments api=SYNO.Core.Desktop.Initdata&method=get&version=1 semble lu depuis un cache local et la page complète pèse environ 300ko,
  • sans, entry.cgi avec ces mêmes paramètres est entièrement retéléchargé chaque fois et le site pèse environ 1,3Mo, d'ou un temps de chargement à +10 secondes.

Attention donc... en espérant que ça en aide d'autre,

Bonne journée !

 

Modifié par pitch78
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.