[RESOLU] Certificat Let's Encrypt

[Nafel]

Bonjour à tous,

j'essaie temps bien que mal, de générer un certificat Let's Encrypt via le panneau de configuration Synology, mais il me retourne tout le temps une erreur. Généralement, une fenêtre indique que le port 80 n'est pas ouvert, par moment que je dois redémarrer DSM
Alors oui, j'ai bien ouvert le port 80 sur le par feu du Diskstation, du routeur qui gère ce réseau et de la box orange pro( pas de mode bridge).

Il y a peut être quelque chose que j'ai zapé, mais tout fonctionne sauf le certificat....

Modifié le 8 novembre 2017 par Nafel

[RubberJam]

Hello,

Il faut faire une redirection de port sur ta box orange pour rediriger le port 80 sur l'adresse interne de ton Synology.

Personnellement, j'ai eu un problème avec le pare-feu de mon routeur qui n'acceptait que des connexions entrantes depuis certains pays et bien sûr pas celui où était celui du serveur Let's Encrypt.

[Nafel]

Actuellement j'ai sur

Livebox pro: Règle NAT/PAT port 80 sur le routeur Archer c9

Archer C9 : Port 80 sur ip du nas

Cette configuration est utilisée pour toutes mes règles de par feu du nas, et tout le restes fonctionnes

 

RESOLU

Il fallait juste que je change le nom de domaine..... rien à voir avec le port 80 mais bon...

Modifié le 8 novembre 2017 par Nafel

[Mic13710]

C'est effectivement une confusion dans le message d'alerte du NAS qui parle d'un problème sur le port 80 alors qu'il s'agit d'une erreur dans le nom de domaine.

[Albin Uberti]

Bonjour, votre experience m'interesse (étant aussi en livebox pro) que voulez vous dire par erreur dans le nom de domaine ? moi j essaie et je mets syno.***.fr , quelle est l erreur ?

je précise que mon nom de domaine est chez 1&1 et que la redirection fonctionne (par depuis chez moi mais ailleurs oui)

Modifié le 25 juillet 2018 par Albin Uberti
addition

[unPixel]

Il peut s'agir d'un soucis avec la résolution DNS à savoir un domaine qui n'existe pas dans ce dernier et donc la création échoue.

[goerges]

Personnellement, j'ai un domaine avec 6 sous-domaines et je dois toujours pour renouveler mes certificats le faire en ligne de commande avec Putty et plusieurs fois de suite.

A chaque fois je reçois un ou plusieurs messages d'erreur. Mais finalement ça fonctionne 😉

Et tout est bien configuré !

Mystère, mystère !

Modifié le 26 juillet 2018 par goerges

[unPixel]

Si tu n'as pas de certificat Wildcard, pas besoin de passer par la ligne de commande. Tu as le menu directement dans DSM qui te permet de le générer.

[Mic13710]

Il y a 6 heures, goerges a dit :

j'ai un domaine avec 6 sous-domaines et je dois toujours pour renouveler mes certificats .....

Fenrir dirait à juste titre qu'un sous-domaine n'existe pas. toto.fr est un domaine, titi.toto.fr est un autre domaine.

Bref, un seul certificat suffit et peut se faire directement dans DSM. Il faut indiquer le nom de domaine et dans la case autres noms, indiquer les autres noms associées séparés d'un ;

par exemple :

ndd : toto.fr

autres noms : titi.toto.fr;tata.toto.fr;etc.toto.fr;autre.nom.toto.fr;et.plus.encore.toto.fr......

[goerges]

Il y a 4 heures, InfoYANN a dit :

Si tu n'as pas de certificat Wildcard, pas besoin de passer par la ligne de commande. Tu as le menu directement dans DSM qui te permet de le générer.

Si c'est un réponse à mon post, je dirais que c'est une longue habitude... 😉

Néanmoins, je n'ai pas souvenir d'avoir vu quelque chose pour le renouveler dans DSM, je vais regarder à nouveau, à moins que tu aies un petit screenshot ?

il y a 14 minutes, Mic13710 a dit :

Fenrir dirait à juste titre qu'un sous-domaine n'existe pas. toto.fr est un domaine, titi.toto.fr est un autre domaine.

Bref, un seul certificat suffit et peut se faire directement dans DSM. Il faut indiquer le nom de domaine et dans la case autres noms, indiquer les autres noms associées séparés d'un ;

par exemple :

ndd : toto.fr

autres noms : titi.toto.fr;tata.toto.fr;etc.toto.fr;autre.nom.toto.fr;et.plus.encore.toto.fr......

Oui bon, c'est exact, mais n'ergotons pas.

J'ai un domaine et 6 autres domaines si tu préferes mais je dois quand même renouveler 7 certificats car mon certificat n'est pas "wildcard".

Et, bien qu'il y ait un tuto, je ne veux pas passer en wildcard tant qu'il n'y a pas une procédure automatique car je suis du genre:"Quand ça fonctionne, tu touches pas à ça petit con" ;-))

Et finalement, cela ne me dit toujours pas pourquoi le renouvellement ne se fait pas en auto ! 😞

Georges

Modifié le 26 juillet 2018 par goerges

[Mic13710]

Il y a 2 heures, goerges a dit :

J'ai un domaine et 6 autres domaines si tu préferes mais je dois quand même renouveler 7 certificats car mon certificat n'est pas "wildcard".

Ca n'a rien à voir et je n'ai pas non plus parlé de wildcard. Il suffit d'un seul certificat pour gérer tous les domaines d'un domaine principal. Let's encrypt autorise jusqu'à 100 SAN (autres noms), mais DSM a limité la longueur du SAN à 256 caractères de mémoire. C'est bien suffisant pour y mettre 6 domaines.

Mais bien entendu vous pouvez toujours faire compliqué quand c'est simple.

[Mic13710]

Il y a 3 heures, goerges a dit :

Et finalement, cela ne me dit toujours pas pourquoi le renouvellement ne se fait pas en auto ! 😞

Il ne se renouvelle pas automatiquement parce qu'il n'a pas été créé directement dans DSM

[goerges]

il y a 51 minutes, Mic13710 a dit :

Ca n'a rien à voir et je n'ai pas non plus parlé de wildcard. Il suffit d'un seul certificat pour gérer tous les domaines d'un domaine principal. Let's encrypt autorise jusqu'à 100 SAN (autres noms), mais DSM a limité la longueur du SAN à 256 caractères de mémoire. C'est bien suffisant pour y mettre 6 domaines.

Mais bien entendu vous pouvez toujours faire compliqué quand c'est simple.

Wow wow wow calme l'ami, faut pas s'énerver.

On n'est pas ici pour apprendre ?

Poste le lien de ton tuto, je vais me faire un plaisir de corriger tout cela.

il y a 32 minutes, Mic13710 a dit :

Il ne se renouvelle pas automatiquement parce qu'il n'a pas été créé directement dans DSM

Pourtant, il a bien été créé directement dans DSM.

Georges.

[Mic13710]

il y a 25 minutes, goerges a dit :

Wow wow wow calme l'ami, faut pas s'énerver.

Je ne pense pas m'être énervé et je m'excuse si j'ai choqué votre susceptibilité. J'ai simplement expliqué qu'il suffisait d'un seul certificat, mais que rien ne vous empêchait de compliquer les choses en en faisant plusieurs. Ca vous regarde au final.

Désolé si vous me pensez vieux jeu, mais le français est une belle langue qui fait la différence entre le "tu" et le "vous". Employons les. Je ne vous tutoie pas et je souhaite que vous en fassiez de même en me répondant. Jusqu'à preuve du contraire, on ne se connait pas. Les familiarités me dérangent.

Maintenant, concernant un tuto pour la mise en oeuvre du certificat, je vous invite à aller consulter mon intervention sur le tuto de Fenrir concernant le serveur DNS.

Vous allez directement à la partie Certificat où vous trouverez toutes les explications.

 

[unPixel]

Comme l'explique Mic, il n'y a pas besoin de 7 certificats pour 7 domaines. Il faut simplement instruire son serveur DNS et sa zone DNS chez notre provider de tous les domaines souhaités et ainsi demander un certificat Let's Encrypt via DSM en ouvrant bien entendu le port 80 sur les USA.

Et là, Let's Encrypt en recevant la demande va checker sur les domaines existent bien sur le serveur DNS du NAS et chez le provider dans la zone DNS et si tout est ok alors il pour créer le certificat qui ensuite sera renouvelé automatiquement.

 

Et là, je ne te parle pas de certificat wildcard qui au contraire est plus simple à mettre en place au niveau zone DNS. Mais Mic n'aime pas trop le wildcard 😜

[Mic13710]

il y a 15 minutes, InfoYANN a dit :

Mais Mic n'aime pas trop le wildcard 😜

Ce n'est effectivement pas ma tasse de thé 😎☕

[goerges]

Merci pour ta réponse InfoYANN, je vais regarder cela.

Georges.

[unPixel]

De rien. Tiens nous au courant.

[inz]

Bonjour, je poste sur ce sujet car il correspond à mon problème actuel, obtenir un certificat par Let'Encrypt. les discussions au-dessus, correspondent aux problèmes liés APRES une connexion avec certificat, Mon problème se situe AVNT la connexion ...😰

Je débute sur Synology, et j'essaie de mettre en place une configuration correcte, en suivant les recommandations de Fenrir...

J'ai suivi les tutoriaux pour obtenir un certificat par Let's Encrypt, et à la connexion je dois ajouter une exception de sécurité pour me connecter? 

J'avais le cas auparavant car je m'étais créé un certificat auto-signé, donc le navigateur m'obligeait à rajouter une exception de sécurité pour la connexion, mais j'ai supprimé ce certificat auto-signé et je n'ai plus que celui de Let's encrypt, et pourtant j'ai le même message.

Mes questions:

• Pourquoi dois-je toujours ajouter une exception de sécurité pour me connecter? (je suis en https, mais avec un logo warning)
• J'ai fourni une adresse mél lors de la demande de certificat, dois-je attendre ce certificat sur ma boite mél?

 

cdlt

Patrick

[Mic13710]

Pour la mise en oeuvre du certificat, vous pouvez vous inspirer du petit tuto que j'ai fait dans le tuto de Fenrir sur le serveur DNS et dont j'ai donné le lien un peu plus haut. Vous allez dans la partie Certificat.

Il y a 3 heures, inz a dit :

J'ai suivi les tutoriaux pour obtenir un certificat par Let's Encrypt, et à la connexion je dois ajouter une exception de sécurité pour me connecter? 

Ben non, si le certificat est réellement en place et que l'organisme de certification (en l'occurence Let's Encrypt) est reconnu par votre navigateur internet, vous n'avez pas à mettre d'exception.

 

Il y a 3 heures, inz a dit :

Mes questions:

• Pourquoi dois-je toujours ajouter une exception de sécurité pour me connecter? (je suis en https, mais avec un logo warning)
• J'ai fourni une adresse mél lors de la demande de certificat, dois-je attendre ce certificat sur ma boite mél?

1. Parce que votre certificat n'est pas en place ou non valide

2. Non. C'est seulement l'adresse à laquelle seront envoyées les requêtes de Let's Encrypt en cas de besoin, ainsi que les notifications pour la fin de validité des certificats. Vous ne recevrez rien lorsque le certificat sera établi.

[inz]

Bonsoir, je reviens sur le sujet car je n'ai pas avancé, bien qu'entre temps j'ai acheté un nom de domaine (bon ça ne m'a pas couté un bras...).

J'ai toujours le même message d'erreur :" Échec de la connexion à Let's Encrypt. Assurez vous que le nom de domaine est valide."

• J'ai une freebox révolution, sur laquelle j'ai forwardé en TCP  le port 80 sur l'IP du NAS
• mon nom de domaine est accessible par PuTTy nslookup
• j'ai ouvert le port 80 sur mon NAS

Comment trouver la cause de ce message d'erreur?  je pense qu'un échange par MP me serait profitable, à moins qu'un tuto existe, j'ai vu celui de mic13710, mais il me semble porter plus en "aval" une fois que le certificat est obtenu.

 

Cordialement

Patrick

[unPixel]

Le but d'un forum n'est pas de faire du dépannage via message privé mais de le faire en public afin d'aider "tout le monde". Dis toi qu'un jour peut-être, quelqu'un sera dans la même situation que toi et trouveras peut-être ce sujet qui l'aidera à son tour.

Est-ce que sur ton NAS, tu as bien autorisé le port 80 pour les USA ? Sinon, tu peux créer une règle pour ces deux IP :

Ce sont les serveur de Let's Encrypt ou la demande de création ou de renouvellement de certificat est faite.

[inz]

J'ai effectivement créé un profil de pare-feu type "tuto_securité_fenrir", mais j'ai ensuite remis le profil par défaut dans lequel j'ai rajouté "tous/tous/tous autoriser",  j'obtiens le même résultat.

Loin de moi l'idée de faire du privé uniquement, je suis avide des informations pour "tout le monde".

C'est simplement que la partie "debug" nécessite un partage d'informations qui -à mon avis- ne doivent pas être divulguées. J'avais dans l'idée de résumer -en cas de succès- les détails.

cordialement

Patrick

[unPixel]

Alors cache les informations que tu souhaites avant de "divulguer"...

Montres nous stp un screen de ta configuration pare feu. Merci

[inz]