lbrth Posté(e) le 12 février 2018 Partager Posté(e) le 12 février 2018 Bonjour, Le sujet a sans doute déjà été abordé mais je n'ai pas trouvé de réponse à mon problème. Mon certificat Let's Encrypt est censé se renouveler automatiquement tous les 90j, ça doit faire 2 ans maintenant et ça a toujours fonctionné sans problème. Mais depuis quelques jours il ne s'est pas renouvelé, chose qui m'inquiète car j'ai du mal a comprendre pourquoi. Néanmoins il y a une manipulation que j'ai faite il y a quelques semaines qui pourrait sans doute expliquer le pourquoi du comment. Avant pour me connecter à mon NAS je tapais : https://mondomaine.com:5001 Mais le problème c'est qu'en pointant directement vers le port 5001 le proxy de mon taff me bloquait l'accès à mon serveur. Du coup pour contourner cette censure, j'ai fais une redirection de port sur ma box du 80 vers le 5000 et du 443 vers le 5001, ça a parfaitement fonctionné, je pouvais accéder au NAS depuis la taff avec une belle URL sans le ":port". Et je pense du coup que c'est pour cette raison que le certificat ne se renouvelle pas, car j'ai oui dire qu'il fallait que le port 80 soit ouvert, hors si il est ouvert, il me permet de me connecter au DSM du NAS, et donc y a peut être conflit ? L'idée étant de savoir si mon diagnostique est bon ? et si oui comment faire ? D'avance merci pour vos réponse, Merci Lbrth 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
pluton212+ Posté(e) le 12 février 2018 Partager Posté(e) le 12 février 2018 Salut, c'est pas mal comme diagnostique: Let's Encrypt utilise le port 80 pour le renouvellement. De plus il ne faut pas rediriger http vers https dans les paramètres réseaux du DSM. Il y a une solution c'est de faire les renouvellements en ssh avec les conditions ci-dessus remplies (port 80 et redirection) en tapant en root: /usr/syno/sbin/syno-letsencrypt renew-all 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
lbrth Posté(e) le 12 février 2018 Auteur Partager Posté(e) le 12 février 2018 Hello @pluton212+, Merci pour réponse, J'ai effectivement essayé de renouveler à la mano en SSH via cette ligne de commande, mais sans succès pour l'instant. Je vais réessayer mais en modifiant mes histoires de port. Du coup, est-ce que je dois couper temporairement la redirection du 80 vers 5000 pour permettre le renouvellement ? ou quelles manip je dois faire exactement coté router et/ou DSM ? Merci, Lbrth 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
StéphanH Posté(e) le 12 février 2018 Partager Posté(e) le 12 février 2018 il y a une heure, lbrth a dit : ... j'ai fais une redirection de port sur ma box du 80 vers le 5000 et du 443 vers le 5001 ... tu as réellement besoin du port 5000 à distance ? le 5001 (sécurisé) ne te suffit pas ? Auquel cas, tu conserves le 80 pour Let's Encrypt 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
lbrth Posté(e) le 12 février 2018 Auteur Partager Posté(e) le 12 février 2018 Hello @StéphanH, Effectivement, en soit ça n'est pas d'une grande utilité. Je le gardais si jamais j'avais besoin de me passer du certificat ssl, notamment pour DS Vidéo et DS Audio et l'interface avec la ChromeCast qui pouvait parfois mal marcher avec la connexion https. Mais oui clairement je vais couper cette redirection pour laisser le 80 ouvert pour le renouvellement du certificat Let's Encrypt. Merci, Lbrth 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
pluton212+ Posté(e) le 12 février 2018 Partager Posté(e) le 12 février 2018 Tu peux également "affiner" en ne permettant que deux adresses "Let's Encrypt" sur le port 80. Je sais qu'il y a un post qui traite de ce sujet sur le forum mais je ne parviens pas à mettre la main dessus... (pour les contributeurs) Les adresses sont: 66.133.109.36 64.78.149.164 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 12 février 2018 Partager Posté(e) le 12 février 2018 Sans redirection du 80 vers le 80 du NAS, impossible de faire un renouvellement Let's Encrypt, que ce soit en manuel ou en auto. Attention de bien refermer le port une fois le renouvellement effectué. Pour info, le certificat est renouvelé à partir du 61eme jour. On peut aussi n'ouvrir le 80 que pour les IP Let's Encrypt, ce qui offre l'avantage de pouvoir les laisser en permanence. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
lbrth Posté(e) le 12 février 2018 Auteur Partager Posté(e) le 12 février 2018 Hello à tous, Merci pour vos conseils. J'ai donc fermé la redirection qui encombrait sur le port 80 et relancé en ligne de commande le renouvellement du certificat et ca fonctionne. Merci, Lbrth 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
pluton212+ Posté(e) le 13 février 2018 Partager Posté(e) le 13 février 2018 Super ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 13 février 2018 Partager Posté(e) le 13 février 2018 Dans tous les cas... un renouvellement de certificat sur le port 80... c’est pas sérieux... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
lbrth Posté(e) le 13 février 2018 Auteur Partager Posté(e) le 13 février 2018 @Einsteinium par curiosité pourquoi penses-tu que ce n'est pas sérieux ? Parce-que le port 80 est en http donc pas chiffré ? Peuvent-il faire autrement ? Pardon pour ma naïveté mais je suis pas un expert dans le domaine, lbrth 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 13 février 2018 Partager Posté(e) le 13 février 2018 Non le fait que l’on force l’utilisateur à ouvrir un port de service non sécurisé, pour sécurisé... Maintenant le port 80 certes c’est du http de base, mais rien n’empêche d’y faire transité des données cryptées ;-) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
pluton212+ Posté(e) le 13 février 2018 Partager Posté(e) le 13 février 2018 Il y a 4 heures, Einsteinium a dit : Non le fait que l’on force l’utilisateur à ouvrir un port de service non sécurisé, pour sécurisé... Maintenant le port 80 certes c’est du http de base, mais rien n’empêche d’y faire transité des données cryptées ;-) Pense tu que ce soit le cas avec Let'sEncrypt ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 13 février 2018 Partager Posté(e) le 13 février 2018 Bah je me suis jamais penché là dessus, mais je l’espère, car si cela passe en claire... autant ne rien faire 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 1 août 2018 Partager Posté(e) le 1 août 2018 Est-on obligé de désactiver la redirection automatique de HTTP vers HTTPS afin de bénéficier du renouvellement des certificats ? Ce qui est assez bizarre, mes certificats ne se sont pas remis à jour, mais quand je les ai forcé, ça a fonctionné sans problème (et avec la redirection) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 3 octobre 2018 Partager Posté(e) le 3 octobre 2018 Je déterre ce topic, je vois que j'avais posé ma question il y a environ 2 mois, Depuis, je me pose cette question, mes certificats se sont renouvelés automatiquement semble-t-il. Ma question est la suivante. Est-il possible de voir dans les log, la data à laquelle le renouvellement a été effectué ? Merci 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 3 octobre 2018 Partager Posté(e) le 3 octobre 2018 Ce n'est pas affiché dans les journaux. Cependant, en allant sur le certificat utilisé par le navigateur (cadenas vert dans la barre d'adresse dans Firefox), vous pouvez retrouver la date de début du certificat (qui correspond à la date de renouvellement) dans la période de validité. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 3 octobre 2018 Partager Posté(e) le 3 octobre 2018 (modifié) Il y a 4 heures, Mic13710 a dit : Ce n'est pas affiché dans les journaux. J'ai trouvé ça au moment du renouvellement auto: $ grep builtin-dyn-syno-letsencrypt-syno-letsencrypt messages 2018-10-02T21:59:45+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:20 synoservice: reload [nginx]. 2018-10-02T21:59:52+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:46 synoservice: finish reload [nginx]. 2018-10-02T21:59:56+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:20 synoservice: reload [nginx]. 2018-10-02T22:00:05+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:46 synoservice: finish reload [nginx]. 2018-10-02T22:01:20+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:20 synoservice: reload [nginx]. 2018-10-02T22:01:25+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:46 synoservice: finish reload [nginx]. 2018-10-02T22:01:25+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:20 synoservice: reload [synorelayd]. 2018-10-02T22:01:25+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:46 synoservice: finish reload [synorelayd]. 2018-10-02T22:01:25+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:20 synoservice: reload [synorelayd]. 2018-10-02T22:01:25+02:00 fserv builtin-dyn-syno-letsencrypt-syno-letsencrypt - renew: service_reload.c:46 synoservice: finish reload [synorelayd]. C'est dans /var/log/messages Modifié le 3 octobre 2018 par CoolRaoul 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 3 octobre 2018 Partager Posté(e) le 3 octobre 2018 Par curiosité, ça correspond à quoi "synorelayd" si quelqu'un sait svp ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 15 octobre 2018 Partager Posté(e) le 15 octobre 2018 Magré la redirection activée de HTTP vers HTTPS, mes certificats se sont bien renouvelés ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.