[TUTO OBSOLÈTE] Certificat TLS/SSL - Let's Encrypt "Wildcard"

[unPixel]

/!\ Cette méthode ne fonctionne plus gratuitement. /!\

Je vous recommande de faire comme moi et passer directement par SSH via ACME !

 

Bonjour,

En attendant de trouver mieux comme méthode, je vous propose un petit tuto rapide pour créer votre certificat Let's Encrypt Wildcard.

Pour rappel, un certificat Wildcard permet de prendre en compte les sous domaine en enregistrant simplement notre domaine avec *. Comme ça, plus besoin d'ajouter les sous domaine (limités en plus) lors de la création de notre certificat.

Exemple avec google.com :

• mail.google.com
• drive.google.com
• video.google.com

Etc...

Prérequis :

• Avoir un nom de domaine.
• Avoir déjà configuré une entrée CNAME avec "*.ndd.tld" chez son provider.
• Avoir déjà configuré son serveur DNS sur son NAS (ou ailleurs) avec l'entrée "*.ndd.tld".

Temps d'application : moins de 5 minutes !

Difficulté : facile

 

1. Se rendre sur le site SSL For Free (reconnu et conseillé par Let's Encrypt). Vous avez aussi la possibilité avant de commencer de créer un compte pour être averti de l'expiration de votre certificat.

https://www.sslforfree.com/

 

2. Inscrivez votre domaine comme ceci "*.domaine.tld domaine.tld" comme sur la capture ci-dessous puis cliquer sur "Create Free SSL Certificate".

 

Une fois le certificat validé, on arrive sur ce message :

 

En gros, ça nous dit qu'il faut ajouter une entrée TXT dans notre zone DNS chez notre provider. On clique alors sur "Manually Verify Domain" et ça nous ajoute en dessous de ce texte d'autres données.

Ne pas prendre en compte la remarque sur l'IP a autoriser dans notre pare feu !

3. Comme on peut le voir ci-dessous, ça nous dit ce qu'il faut ajouter deux entrées TXT dans notre zone DNS (chez notre fournisseur de domaine). J'ai personnellement mit 60 et non 1 en TTL. De toute façon, OVH n'en veut pas du 1

4. On peut ensuite vérifier que l'entrée a bien été prise en compte en cliquant sur "Verify _acme-challenge.ndd.tld".

5. Une fois terminé, on clique sur "Donwload SSL Certificate" et le certificat va se générer. Il ne reste plus qu'à le placer dans son NAS en l'important dans le panneau de configuration 😉

 

Mise en place du certificat :

On se rend sur le NAS dans le panneau de configuration.

Panneau de configuration > Sécurité > Certificat

On clique sur le bouton "Ajouter".

Si c'est le premier certificat Let's Encrypt qu'on a obtenu, on clique sur "Ajouter un nouveau certificat". Si par contre, c'est un renouvellement même sur un certificat non Wildcard, on clique sur "Remplacer un certificat existant".

Ensuite, dans les deux cas, on sélectionne l'option "Importer le certificat".

 

Et enfin, on va chercher les fichiers téléchargés dans l'archive que vous aurez décompressé.

 

Il suffit ensuite de valider via le bouton "OK".

Si vous rencontrez un avertissement de sécurité sur votre navigateur, alors vous devez mettre le nouveau certificat par défaut. Ça n'est normalement pas à faire si c'est un renouvellement !

Mettre son certificat Let's Encrypt par défaut :

On sélectionne son certificat et on clique sur "Modifier".

 

Ensuite, dans la nouvelle fenêtre, on coche l'option par défaut et on valide.

Pour finir, on va vérifier que tous nos domaines sont bien prit en compte par l'option par défaut. Dans le cas contraire, on change le certificat et on valide.

On sélectionne à nouveau le certificat et on clique sur le bouton "Configurer".

 

 

Modifié le 5 août 2020 par unPixel

[Balooforever]

Une question bête, on peut avoir confiance dans sslforfree ?

[unPixel]

Bah écoute, je ne sais pas mais ils ne te demandent rien d'autres que ton ndd pour créer le certificat donc aucune données personnelles et le certificat est bien reconnu sur les navigateurs.

 

[Einsteinium]

Hum j’ai perso une confiance toute relative en cette méthode du tier ^^

Synology proposera bientôt la maj pour prendre en compte cette nouveauté, la question c’est quand...

[unPixel]

Ça pourrait faire quoi ?!

Perso, je l'utilise pas pour le moment, j'ai juste testé. Comme on ne peut pas créer un certificat Wildcard avec ndd.tld et *.ndd.tld, j'ai abandonné en espérant qu'avec une prochaine maj de Synology ça passe.

[Kiroha]

Ils utilisent la fonctionnalité Wildcard ajouté récemment par Lets Encrypt :)

 

Ca m'a d'ailleurs permis de débloquer mon problème de génération pas le NAS et de signer mon domaine perso en Wildcard. 

[Mic13710]

Ils (Syno) ne pourront le faire que par la méthode du DNS-01, ce qui exige soit de faire une identification avec un enregistrement TXT (ce tuto), soit de passer par les API du registar. Et comme chaque registar a sa propre gestion des API, il va falloir aller plus loin que la simple méthode http-01 actuellement en place sur nos NAS. Bref, à mon avis ce n'est pas demain la veille qu'on verra des certificats wildcard sur nos Syno.

[unPixel]

Bon en faite, je vais modifier demain le tuto. J'ai mal lu le site et j'ai fini par comprendre ou était mon erreur.

 

Au lieu de "*.ndd.tld", il faut mettre dans la barre d'adresse "*.ndd.tld ndd.tld" et là, ça prend en compte les sous domaines de ndd.tld ET le domaine ndd.tld. Je viens de générer un nouveau certificat et après test, ça fonctionne.

Dans ma zone DNS sur OVH et dans mon serveur DNS sur le NAS, j'ai "*.ndd.fr" pour gérer automatiquement les sous domaine que je rajoute.

Modifié le 18 décembre 2018 par Zeus

[unPixel]

Juste pour information, je suis toujours à la recherche d'une automatisation du certificat via ssh.

J'ai trouvé un tuto sur la toile (https://forum.synology.com/enu/viewtopic.php?f=265&t=141181&p=523064&hilit=wildcard#p523064) mais je n'arrive pas dans la ligne de commande à ajouter mon ndd.tld et mon *.ndd.tld en même temps.

Pour rappel, si on enregistre un certificat juste avec *.ndd.tld, le ndd.tld n'est pas prit en compte alors que sur SSL for Free, je peux enregistrer les deux pour obtenir un seul certificat.

 

 

Le 21/03/2018 à 21:08, Balooforever a dit :

Une question bête, on peut avoir confiance dans sslforfree ?

 

Le 21/03/2018 à 23:01, Einsteinium a dit :

Hum j’ai perso une confiance toute relative en cette méthode du tier ^^

Synology proposera bientôt la maj pour prendre en compte cette nouveauté, la question c’est quand...

 

Pour vraiment répondre, c'est Let's Encrypt directement depuis leur site qui propose de passer par ce service SSL for Free. Voici d'ailleurs la liste officielle qui utilise l'API pour les certificats Wildcard.

https://letsencrypt.org/docs/client-options/

[unPixel]

Le 21/03/2018 à 23:48, Mic13710 a dit :

Ils (Syno) ne pourront le faire que par la méthode du DNS-01, ce qui exige soit de faire une identification avec un enregistrement TXT (ce tuto), soit de passer par les API du registar. Et comme chaque registar a sa propre gestion des API, il va falloir aller plus loin que la simple méthode http-01 actuellement en place sur nos NAS. Bref, à mon avis ce n'est pas demain la veille qu'on verra des certificats wildcard sur nos Syno.

Je te relance Mic car je sais que tu cherches toi aussi à avoir un certificat Wildcard et à l'automatiser pour son renouvellement. As-tu des pistes ?

Penses-tu qu'en partant de ce tuto et en utilisant acme.sh , on puisse faire la même chose sur nos NAS ?

https://ungeek.fr/letsencrypt-api-ovh/

[Mic13710]

Je ne cherche pas spécialement à avoir un certificat wildcard. Mon intervention avait simplement pour but de signaler que l'opération n'est pas triviale. C'est sur que pour une première mise en oeuvre, le wildcard permet de ne pas avoir à lister tous les domaines et de pouvoir en créer à l'infini. Néanmoins, je préfère cibler les domaines auxquels j'accède. Sauf cas particuliers, on en crée pas tous les jours non plus. Une fois la liste en place, les renouvellements automatiques évitent de devoir y toucher.

J'ai dû utiliser la méthode DNS-01 pour le NAS de mon frère car le port 80 est bloqué par son FAI. Je suis passé par l'API OVH et j'ai créé un certificat standard avec tous les SAN dont il a besoin.

Je n'ai pas creusé d'avantage le projet acme.sh, mais il semblerait qu'il supporte l'ACME v2 wildcard certs. Voir https://github.com/Neilpang/acme.sh

Le tout est de savoir comment le mettre en place sur nos NAS.

[unPixel]

Oui j'ai plusieurs sources de tutos sur la toile qui effectivement me dirigent vers acme et l'api OVH mais je bloque sur l'installation de tout ça sur nos NAS car pas la même chose qu'une simple Debian...

Je cherche, je cherche...

 

J'ai le temps, prochain renouvellement  en juillet

Modifié le 4 avril 2018 par InfoYANN

[Mic13710]

Pour l'installation, j'ai utilisé ce tuto : https://github.com/Neilpang/acme.sh/wiki/Synology-NAS-Guide

Pour l'API OVH, celui-ci : https://github.com/Neilpang/acme.sh/wiki/How-to-use-OVH-domain-api

Je n'ai rien trouvé pour ce qui est du wildcard. Comme tu dis, il faut attendre que quelqu'un se penche sur le sujet et nous ponde un beau tuto .

Ceci étant dit, j'ai tout de même un soucis pour le renouvellement auto. Le cron a fonctionné mais le certificat n'a pas été mis à jour. Je vais en toucher un mot à l'auteur.

[unPixel]

Surtout que pour moi, c'est la partie la plus importante "le cron" dans le renouvellement de certificat. Parce que si c'est pour de la génération de certificat, je peux le faire via ce tuto en quelques secondes et l'importation aussi. Top chrono, ça me prendrait moins d'une minute en suivant le tuto que j'ai fait de faire un certificat et l'importer à la place de l'ancien.

Pour la création de WildCard, il y a ce tuto https://forum.synology.com/enu/viewtopic.php?f=265&t=141181&p=524247#p524247 mais il faut passer par l'API OVH je pense parce que je ne peux pas entrer les deux domaines pour le certificat dans ssh. Ça ne passe pas :(

Je vais regarder tes liens ;)

 

Pour l'API OVH, j'ai pas compris comment l'intégrer au NAS. Créer une clé, je l'ai fait via le site d'OVH mais je ne sais pas comment l'installer dans le NAS.

 

Modifié le 4 avril 2018 par InfoYANN

[Mic13710]

il y a 16 minutes, InfoYANN a dit :

je ne sais pas comment l'installer dans le NAS.

Tu suis simplement les points 2, 3 et 4 du lien que je t'ai donné.

Dans le message du 2, tu auras un lien du genre :

https://eu.api.ovh.com/auth/?credentialToken=n0Qbjm6wBdBr2KiSqIuYSEnixxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

que tu vas utiliser pour le 3. Si c'est OK, le point 4 devrait être OK aussi.

[unPixel]

Justement, c'est le point 2 qui me pose soucis.

Citation

# application key
export OVH_AK="your application key"

# application secret
export OVH_AS="your application secret"

Il faut que je fasse quoi exactement dans SSH avec ça ? Merci pour ton aide en tout cas.

Ci dessous, je l'ai bien compris, ça serait ça pour moi même :

Citation

acme.sh --issue -d   ndd.tld -d *.ndd.tld   --dns   dns_ovh

 

Modifié le 4 avril 2018 par InfoYANN

[Mic13710]

Il faut d'abord que tu obtiennes les clés en allant sur le lien du 1. Tu te connectes avec tes identifiants OVH et tu auras les clés que tu exportes dans le NAS comme c'est indiqué.

[unPixel]

Donc en faite c'est des lignes de commandes juste au dessus ?!


Envoyé de mon iPhone en utilisant Tapatalk

[Mic13710]

Oui.

export OVH_AK="ton application key donnée par OVH"
export OVH_AS="ton application secret donné par OVH"

Ne pas oublier les guillemets

[unPixel]

Ok, je te remercie. Je tente ça tout à l'heure et je reviendrai dire ce qu'il en est.

[Balooforever]

Pour info c'est ce que j avais fais depuis le syno, j'aurais dut me faire un tuto :D

C'est pas spécialement compliqué et ça marche très bien, par contre je n'ai pas encore fait de cron ..

Finalement il suffit juste de bien entrer les variables et tout roule :)

[Mic13710]

Je viens de reprendre le tuto Github et il y a à mon avis une erreur de dossier, ce qui a empêché la mise à jour.

Il est préférable d'utiliser la "Alternative method that preserves your Synology NAS system default certificate" car elle ne touche pas au certificat Synology (qu'on peut supprimer manuellement si besoin à partir de DSM) et qui utilise le même "Ramdom_Folder" que celui du script de renouvellement.

[Balooforever]

Oui effectivement, moi j ai juste fait la génération mais pas la partie copie.

J ai préféré importer à la main.

[unPixel]

Bon alors j'ai avancé un petit peu et voilà ce que j'ai fait :

Je me suis rendu sur la page https://eu.api.ovh.com/createApp/ pour créer une clé.

Ensuite, dans ssh (en root), j'ai tapé ceci :

wget https://raw.githubusercontent.com/Neilpang/acme.sh/master/acme.sh
chmod a+x acme.sh

Ensuite, j'ai tapé ça :

export OVH_AK="Notre Application Key"
export OVH_AS="Notre Application Secret"
acme.sh --issue -d   ndd.tld -d *.ndd.tld   --dns   dns_ovh

Ensuite, ça m'a mit un message d'erreur comme quoi il fallait que j'ajoute deux entrées TXT dans ma zone DNS puis recommencer en ajoutant "--renew" ce que j'ai fait et voici la nouvelle ligne de commande à taper :

acme.sh --issue -d   ndd.tld -d *.ndd.tld   --dns   dns_ovh --renew

Le certificat est validé et créé :

[Wed Apr  4 18:22:05 CEST 2018] Your cert is in  /root/.acme.sh/*****.fr/*****.fr.cer
[Wed Apr  4 18:22:05 CEST 2018] Your cert key is in  /root/.acme.sh/*****.fr/*****.fr.key
[Wed Apr  4 18:22:05 CEST 2018] The intermediate CA cert is in  /root/.acme.sh/*****.fr/ca.cer
[Wed Apr  4 18:22:05 CEST 2018] And the full chain certs is there:  /root/.acme.sh/*****.fr/fullchain.cer

C'est à partir de maintenant que ça se complique pour moi

J'ai cherché à copier ces clés par ssh avec un tuto que j'ai trouvé mais ça ne passe pas et la raison est "cp: cannot create regular file ‘/usr/syno/etc/ssl/ssl.crt/server.crt’: No such file or directory"

  cp "/root/.acme.sh/*****.fr/*****.fr.cer" "/usr/syno/etc/ssl/ssl.crt/server.crt"

Je suis donc allé voir via ssh et effectivement, je n'ai pas la même chose que le tuto anglais...

Je n'ai pas réussi à trouver ou se trouve le certificat une fois qu'il est activé dans le panneau de configuration de DSM. A noter que le tuto est fait à la base pour un routeur Synology...

En attendant, j'ai récupéré manuellement mon certificat (*****.key, *****.cer et fullchain.cer) via WinSCP dans : /root/.acme.sh/*****.fr puis je l'ai importé manuellement (panneau de configuration > certificat) pour voir si ça fonctionnait ce qui est bien le cas.

****************************************

Alors maintenant que ça c'est fait, j'aurai deux trois petites questions pour ceux qui seraient connaisseur. Car en l'état, je vois pas trop ce que je gagne de plus en passant par ssh plutôt que par le site mentionné plus haut dans mon tuto.

Je suppose que ce certificat créé via l'API d'OVH ne se renouvelle pas tout seul et qu'il y a quelque chose à faire. Je me trompe ?!

Connaissez-vous l'endroit ou sont stockés les certificats svp ?

Y'a-t-il une possibilité d'automatiser tout ça pour créer un certificat à l'expiration du précédent puis le copier dans le bon dossier ?

 

Merci par avance

[Mic13710]

@Balooforever

C'est ce que j'avais fait aussi parce que l'installation n'avait pas fonctionné. Et du coup le script de maj ne fonctionnait pas.

Je viens de refaire l'install complète en force et ça a l'air de fonctionner. Je verrai dans un mois si le renouvellement se fait.

il y a 5 minutes, InfoYANN a dit :

Ensuite, ça m'a mit un message d'erreur comme quoi il fallait que j'ajoute deux entrées TXT dans ma zone DNS puis recommencer en ajoutant "--renew" ce que j'ai fait et voici la nouvelle ligne de commande à taper :

Le message est normal.

Il fallait ensuite revenir dans OVH avec le lien pour le credential token qui était donné dans les messages. C'est ce qui permet de mettre en place l'api et évite de rajouter des txt dans la zone.

Pour la mise en place du certificat, il faut suivre l'alternative method du tuto https://github.com/Neilpang/acme.sh/wiki/Synology-NAS-Guide

Les certificats se trouvent dans /usr/syno/etc/certificate/_archive/"nom aléatoire du dossier que tu dois aller chercher"/