Aller au contenu

Messages recommandés

Posté(e)

Bonjour,

 

Le sujet a sans doute déjà été abordé mais je n'ai pas trouvé de réponse à mon problème. Mon certificat Let's Encrypt est censé se renouveler automatiquement tous les 90j, ça doit faire 2 ans maintenant et ça a toujours fonctionné sans problème. Mais depuis quelques jours il ne s'est pas renouvelé, chose qui m'inquiète car j'ai du mal a comprendre pourquoi. Néanmoins il y a une manipulation que j'ai faite il y a quelques semaines qui pourrait sans doute expliquer le pourquoi du comment.

Avant pour me connecter à mon NAS je tapais : https://mondomaine.com:5001 Mais le problème c'est qu'en pointant directement vers le port 5001 le proxy de mon taff me bloquait l'accès à mon serveur. Du coup pour contourner cette censure, j'ai fais une redirection de port sur ma box du 80 vers le 5000 et du 443 vers le 5001, ça a parfaitement fonctionné, je pouvais accéder au NAS depuis la taff avec une belle URL sans le ":port". 

Et je pense du coup que c'est pour cette raison que le certificat ne se renouvelle pas, car j'ai oui dire qu'il fallait que le port 80 soit ouvert, hors si il est ouvert, il me permet de me connecter au DSM du NAS, et donc y a peut être conflit ? 

L'idée étant de savoir si mon diagnostique est bon ? et si oui comment faire ?

 

D'avance merci pour vos réponse,

 

Merci

 

Lbrth 

 

Posté(e)

Salut,

c'est pas mal comme diagnostique: Let's Encrypt utilise le port 80 pour le renouvellement.

De plus il ne faut pas rediriger http vers https dans les paramètres réseaux du DSM.

Il y a une solution c'est de faire les renouvellements en ssh avec les conditions ci-dessus remplies (port 80 et redirection)

en tapant en root:

/usr/syno/sbin/syno-letsencrypt renew-all

 

Posté(e)

Hello @pluton212+,

Merci pour réponse,

J'ai effectivement essayé de renouveler à la mano en SSH via cette ligne de commande, mais sans succès pour l'instant. Je vais réessayer mais en modifiant mes histoires de port. Du coup, est-ce  que je dois couper temporairement la redirection du 80 vers 5000 pour permettre le renouvellement ? ou quelles manip je dois faire exactement coté router et/ou DSM ?

 

Merci,

 

Lbrth 

Posté(e)
il y a une heure, lbrth a dit :

 ... j'ai fais une redirection de port sur ma box du 80 vers le 5000 et du 443 vers le 5001 ...

 

tu as réellement besoin du port 5000 à distance ? le 5001 (sécurisé) ne te suffit pas ?

Auquel cas, tu conserves le 80 pour Let's Encrypt

Posté(e)

Hello @StéphanH,

Effectivement, en soit ça n'est pas d'une grande utilité. Je le gardais si jamais j'avais besoin de me passer du certificat ssl, notamment pour DS Vidéo et DS Audio et l'interface avec la ChromeCast qui pouvait  parfois mal marcher avec la connexion https. 

Mais oui clairement je vais couper cette redirection pour laisser le 80 ouvert pour le renouvellement du certificat Let's Encrypt.

Merci,

 

Lbrth

Posté(e)

Tu peux également "affiner" en ne permettant que deux adresses "Let's Encrypt" sur le port 80.

Je sais qu'il y a un post qui traite de ce sujet sur le forum mais je ne parviens pas à mettre la main dessus...

(pour les contributeurs)

Les adresses sont:

66.133.109.36

64.78.149.164

 

Posté(e)

Sans redirection du 80 vers le 80 du NAS, impossible de faire un renouvellement Let's Encrypt, que ce soit en manuel ou en auto. Attention de bien refermer le port une fois le renouvellement effectué. Pour info, le certificat est renouvelé à partir du 61eme jour.

On peut aussi n'ouvrir le 80 que pour les IP Let's Encrypt, ce qui offre l'avantage de pouvoir les laisser en permanence.

Posté(e)

Hello à tous,

 

Merci pour vos conseils. J'ai donc fermé la redirection qui encombrait sur le port 80 et relancé en ligne de commande le renouvellement du certificat et ca fonctionne. 

 

Merci,

 

Lbrth

Posté(e)

@Einsteinium par curiosité pourquoi penses-tu que ce n'est pas sérieux ? Parce-que le port 80 est en http donc pas chiffré ? Peuvent-il faire autrement ? 
Pardon pour ma naïveté mais je suis pas un expert dans le domaine,

lbrth 

Posté(e)

Non le fait que l’on force l’utilisateur à  ouvrir un port de service non sécurisé, pour sécurisé... Maintenant le port 80 certes c’est du http de base, mais rien n’empêche d’y faire transité des données cryptées ;-)

Posté(e)
Il y a 4 heures, Einsteinium a dit :

Non le fait que l’on force l’utilisateur à  ouvrir un port de service non sécurisé, pour sécurisé... Maintenant le port 80 certes c’est du http de base, mais rien n’empêche d’y faire transité des données cryptées ;-)

Pense tu que ce soit le cas avec Let'sEncrypt ?

  • 5 mois après...
Posté(e)

Est-on obligé de désactiver la redirection automatique de HTTP vers HTTPS afin de bénéficier du renouvellement des certificats ?

Ce qui est assez bizarre, mes certificats ne se sont pas remis à jour, mais quand je les ai forcé, ça a fonctionné sans problème (et avec la redirection)

  • 2 mois après...
Posté(e)

Je déterre ce topic, je vois que j'avais posé ma question il y a environ 2 mois,

Depuis, je me pose cette question, mes certificats se sont renouvelés automatiquement semble-t-il.

Ma question est la suivante.

Est-il possible de voir dans les log, la data à laquelle le renouvellement a été effectué ?

Merci

Posté(e)

Ce n'est pas affiché dans les journaux. Cependant, en allant sur le certificat utilisé par le navigateur (cadenas vert dans la barre d'adresse dans Firefox), vous pouvez retrouver la date de début du certificat (qui correspond à la date de renouvellement) dans la période de validité.

Posté(e) (modifié)
Il y a 4 heures, Mic13710 a dit :

Ce n'est pas affiché dans les journaux. 

J'ai trouvé ça au moment du renouvellement auto:

$ grep builtin-dyn-syno-letsencrypt-syno-letsencrypt messages                                                              
2018-10-02T21:59:45+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:20 synoservice: reload [nginx].
2018-10-02T21:59:52+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:46 synoservice: finish reload [nginx].
2018-10-02T21:59:56+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:20 synoservice: reload [nginx].
2018-10-02T22:00:05+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:46 synoservice: finish reload [nginx].
2018-10-02T22:01:20+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:20 synoservice: reload [nginx].
2018-10-02T22:01:25+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:46 synoservice: finish reload [nginx].
2018-10-02T22:01:25+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:20 synoservice: reload [synorelayd].
2018-10-02T22:01:25+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:46 synoservice: finish reload [synorelayd].
2018-10-02T22:01:25+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:20 synoservice: reload [synorelayd].
2018-10-02T22:01:25+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:46 synoservice: finish reload [synorelayd].

C'est dans /var/log/messages

Modifié par CoolRaoul
  • 2 semaines après...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.