D34 Angel Posté(e) le 14 juillet 2019 Partager Posté(e) le 14 juillet 2019 (modifié) Bonjour Pour la mise en place du reverse proxi, j'ai été amené à créer mon certif wildcard. Je n'ai pas rencontré de gros problèmes mais j'ai, tout de même, quelques remarques. 1 - TTL = 1 seconde Le 21/03/2018 à 16:37, Zeus a dit : 3. Comme on peut le voir ci-dessous, ça nous dit ce qu'il faut ajouter deux entrées TXT dans notre zone DNS (chez notre fournisseur de domaine). J'ai personnellement mit 60 et non 1 en TTL. De toute façon, OVH n'en veut pas du 1 4. On peut ensuite vérifier que l'entrée a bien été prise en compte en cliquant sur "Verify _acme-challenge.ndd.tld". Comme toi, je n'ai pas pu mettre 1 s en TTL, j'ai du mettre 1 mn (je suis chez 1&1) Lors du "Verify _acme-challenge.ndd.tld", j'ai eu un message en gras et en rouge me disant que du fait que j'avais pas mis "60", il fallait attendre 60 s Attendre quoi ? Je n'ai pas compris ... J'ai refait le test quelques minutes plus tard mais ce message réapparaît toujours. Bref, j'ai laissé tombé le test et poursuivi ma démarche 2 - Adresses IP de Let's Encrypt Le 21/03/2018 à 16:37, Zeus a dit : 5. Une fois terminé, on clique sur "Donwload SSL Certificate" et le certificat va se générer. Il ne reste plus qu'à le placer dans son NAS en l'important dans le panneau de configuration 😉 On peut donc retirer les règles du pare-feu relatives aux IP de Let's Encrypt (on n'en a plus besoin), c'est bien ça ? 3 - Certificat par défaut Ce n'est pas dit dans le tuto : Il faut penser à mettre ce certificat "par défaut" De plus, même après avoir mis ce certif "par défaut", j'ai vu dans le navigateur des messages relatifs à un "risque potentiel de sécurité". Je suis donc allé dans l'onglet configuration (des certificats) et j'ai vu que certains services avaient gardé l'ancien certificat. => J'ai donc réajusté tous les services sur ce nouveau certificat puis je n'ai plus eu de message relatif à la sécurité Voilà, peut-être serait-il pertinent de compléter le tuto (notamment le troisième point). Cordialement Modifié le 14 juillet 2019 par D34 Angel 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 14 juillet 2019 Auteur Partager Posté(e) le 14 juillet 2019 Bonjour, Ok, je vais ajouter les détails de la mise en place d'un certificat et son activation par défaut pour tous les services. Citation On peut donc retirer les règles du pare-feu relatives aux IP de Let's Encrypt (on n'en a plus besoin), c'est bien ça ? Ou du moins les désactiver mais oui, tu peux les retirer. Si tu as créé ton compte sur SSLFORFREE, tu devrais recevoir un mail à échéance te précisant que tu peux le renouveler. Il suffira alors si mes souvenirs sont bons d'aller dans ton compte sur SSLFORFREE et de demander le renouvellement, puis téléchargement à nouveau du certificat puis pour finir, une nouvelle importation en remplaçant le précédent ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 14 juillet 2019 Auteur Partager Posté(e) le 14 juillet 2019 Mise à jour en ce jour : ajout des explications pour ajouter un certificat ou le renouveler et régler le soucis d'avertissement de sécurité sur son navigateur si il y a lieu. 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
D34 Angel Posté(e) le 14 juillet 2019 Partager Posté(e) le 14 juillet 2019 il y a 18 minutes, Zeus a dit : Ou du moins les désactiver mais oui, tu peux les retirer. Si tu as créé ton compte sur SSLFORFREE, tu devrais recevoir un mail à échéance te précisant que tu peux le renouveler. Je les désactivais déjà (et ne les réactivais que pour le renouvellement). Mais bon ... si je n'en ai plus besoin, autant les supprimer. Oui, j'ai créé un compte chez SSLFORFREE. J'avais lu ton conseil dans le tuto Citation : "Vous avez aussi la possibilité avant de commencer de créer un compte pour être averti de l'expiration de votre certificat." PS : Je viens de voir ta mise à jour du tuto. C'est bien ; c'est très complet. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 14 juillet 2019 Auteur Partager Posté(e) le 14 juillet 2019 Bon et bien parfait 🙂 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
DaG33K Posté(e) le 27 août 2019 Partager Posté(e) le 27 août 2019 Salut à tous ! Déjà, merci @Zeus pour ton tuto ! 😉 Pour ma part, je bloque à l'étape où il faut créer deux enregistrements TXT. J'ai précédemment suivi le tuto de Fenrir sur le serveur DNS, et mon syno est SOA et NS. Je suis chez Gandi.net pour mon ndd.tld, et ayant indiqué des NS manuellement, Gandi désactive l'enregistrement DNS sur leurs plateformes. J'ai donc pensé à créer ces deux enregistrements directement sur mon NAS, dans ma zone publique. Mais voilà, quand je veux faire la vérification il ne trouve pas les enregistrements TXT... Citation No TXT Record Found. Make to set the TTL to 1 second or if you cannot set the TTL then you must wait the TTL (in seconds) so it updates before verifying the domain. Contact your DNS provider if unsure. J'ai fait une rapide recherche sur ce sujet, et j'ai lu ce topic mais personne n'en a parlé avant à priori. Comment je peux faire pour intégrer ces enregistrement TXT afin de passer l'étape de vérif ? Je peux sauter cette étape à votre avis ? (pas certain pour ma part) Merci pour votre aide 😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PPJP Posté(e) le 28 août 2019 Partager Posté(e) le 28 août 2019 Bonjour, Je viens de faire la maj DSM 6.2.2-24922 Update 3. La mise à jour pour le protocole de Let's Encrypt to ACME V2 pouvait laisser penser que les certificats génériques étaient maintenant pris en compte. Je viens de faire l'essai de création d'un certificat générique: impossible le * n'est pas accepté. Dommage! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 28 août 2019 Partager Posté(e) le 28 août 2019 Il y a 3 heures, PPJP a dit : Bonjour, Je viens de faire la maj DSM 6.2.2-24922 Update 3. La mise à jour pour le protocole de Let's Encrypt to ACME V2 pouvait laisser penser que les certificats génériques étaient maintenant pris en compte. Je viens de faire l'essai de création d'un certificat générique: impossible le * n'est pas accepté. Dommage! Bonjour, ça ne concerne que les domaines Synology je crois bien. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PPJP Posté(e) le 28 août 2019 Partager Posté(e) le 28 août 2019 Bonjour, Il y a 5 heures, shadowking a dit : Bonjour, ça ne concerne que les domaines Synology je crois bien. Cela n'a jamais été limité aux domaines Synologyy. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 28 août 2019 Partager Posté(e) le 28 août 2019 (modifié) En effet @PPJP, je confonds avec SRM : Je passe maintenant par le package acme sur pfSense pour gérer le renouvellement automatique des certificats, mais par exemple pour un nom de domaine chez OVH, pour que ça se fasse de manière automatique, il faut préciser les accès à l'API sinon les deux enregistrements TXT pour la vérification ne peuvent être inscrits dans la zone DNS... Est-ce que DSM les demande dans sa dernière version ? Je n'ai pas encore eu le temps de l'installer, je ne peux pas vérifier... La fonctionnalité venant tout juste d'être ajoutée à SRM pour les DDNS Synology, je doute qu'ils la proposent pour un nom de domaine quelconque sur DSM. S'ils ne demandent rien, c'est qu'à mon humble avis, ça ne concerne que les domaines Synology, ce qui en soit serait déjà une bonne nouvelle. Modifié le 28 août 2019 par shadowking 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 28 août 2019 Auteur Partager Posté(e) le 28 août 2019 En effet, il n'y a rien de nouveau même avec cette dernière MAJ. Je ne sais par contre pas si ils ont intégré le wildcard comme ils l'ont faut sur SRM. @ DaG33K : Désolé mais je n'ai pas reçu de notifications de ta demande. Non tu ne peux pas sauter cette étape. Et il te faut l'inscrire chez ton registrar. Gandi dans ton cas. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
DaG33K Posté(e) le 29 août 2019 Partager Posté(e) le 29 août 2019 Il y a 19 heures, Zeus a dit : Désolé mais je n'ai pas reçu de notifications de ta demande. Aucun problème n'en t'en fais pas. Il y a 19 heures, Zeus a dit : Non tu ne peux pas sauter cette étape. Et il te faut l'inscrire chez ton registrar. Gandi dans ton cas. Alors j'ai cherché, j'ai creusé, j'ai fouiné, et j'ai fini par trouvé la solution. C'est très simple, il suffit de savoir lire attentivement ... 😅 Dans la zone DNS public, il faut, avant tout, bien vérifier que l'enregistrement suivant soit bien présent : @ ndd.tld. IN A 86400 IP.PUBLIC.DE_LA.BOX @Fenrir pas taper ... j'ai éludé ce "petit détail" de ton tuto ... 😛😅 Enfin, on rajoute les enregistrement TXT demandé par SSL For Free puis on continue ton tuto au point N°4, et roule ma p.... heu enfin ça fonctionne ensuite quoi 😅 Merci pour ton temps et ton partage @Zeus 😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
mik@el Posté(e) le 29 août 2019 Partager Posté(e) le 29 août 2019 Bonjour, J'ai suivi le tuto pas à pas, et en simplifié pour un nom de domaine, avec simplement une entrée mail.ndd.fr et ndd.fr Si je cherche à me connecter en https sur mon nom de domaine directement sur le DSM avec le bon port ça à l'air de fonctionner bien. Mais invariablement si je veux me connecter sur le serveur web en https port 80, donc sur le site petit site que je mets en place, j'ai ce message d'erreur : PR_END_OF_FILE_ERROR Est ce que quelq'un pourrait m'indiquer des pistes pour élucider ce problème ? merci ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 29 août 2019 Auteur Partager Posté(e) le 29 août 2019 Bon et bien je ne pensais pas devoir ajouter cette précision dans le tuto mais oui il faut bien évidemment que le domaine soit déclaré sur l'IP. il y a 1 minute, mik@el a dit : Bonjour, J'ai suivi le tuto pas à pas, et en simplifié pour un nom de domaine, avec simplement une entrée mail.ndd.fr et ndd.fr Si je cherche à me connecter en https sur mon nom de domaine directement sur le DSM avec le bon port ça à l'air de fonctionner bien. Mais invariablement si je veux me connecter sur le serveur web en https port 80, donc sur le site petit site que je mets en place, j'ai ce message d'erreur : PR_END_OF_FILE_ERROR Est ce que quelq'un pourrait m'indiquer des pistes pour élucider ce problème ? merci ! Bonjour, Pourquoi t'embêter ? Pour deux domaines, autant passer par le service intégré à DSM. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
mik@el Posté(e) le 29 août 2019 Partager Posté(e) le 29 août 2019 Que le nom de domaine soit déclaré sur l’ip ?? je ne suis pas sûr de bien comprendre. Tout fonctionne bien en terme de redirection de ndd. Et j’ai bien renseigné tout ça chez mon provider. Le serveur dns du NAS fonctionne et j’ai pu crée des adresses mail avec mon nom de domaine et tout fonctionne. j’ai crée un certificat par le système interne du NAS mais j’avais la même erreur. C’est pour ça que j’ai tenté de passer par le biais de sslfree. Mais apparemment quelque chose coince en accès https sur le site (pas sur le port 5001 du NAS). 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 29 août 2019 Auteur Partager Posté(e) le 29 août 2019 Citation Que le nom de domaine soit déclaré sur l’ip ?? Je parlais de l'entrée A dans la zone DNS du registrar qui point le domaine sur une adresse IP. Tu peux m'envoyer ton domaine par MP que je regarde stp ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
mik@el Posté(e) le 31 août 2019 Partager Posté(e) le 31 août 2019 Merci à Zeus qui a résolu mon problème. Un port non ouvert... voilà qui est fait ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
kasimodem Posté(e) le 23 octobre 2019 Partager Posté(e) le 23 octobre 2019 (modifié) Bonjour, Merci pour ce tuto très utile. Pour ma part, j'ai généré mon certificat wildcard ovh en installant certbot en docker DSM, ça marche impec, j'ai juste à l'allumer tous les 90 jours. Et pour le CRON, ce sera un évènement de calendrier trimestriel à l'ancienne 😁 En attendant que tout ça soit nativement géré dans l'interface DSM... Modifié le 23 octobre 2019 par kasimodem 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 23 octobre 2019 Partager Posté(e) le 23 octobre 2019 Il te suffit de créer un script dans le planificateur de tâche DSM qui lance le container certbot un peu moins de tous les 90 jours. Avec un chmod u+x ça devrait marcher nickel. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 27 avril 2020 Partager Posté(e) le 27 avril 2020 @unPixel et @PPJP Bonjour, Désolé de "déterrer" le sujet mais maintenant après quelques mois, où en êtes vous de l'automatisation du renouvellement de certificat wilcard LE à l'aide du script 'majcertificat-5.sh' ? Quel est votre retour d'expérience d'exploitation ? Bon, pas bon ? Vu que vous n'échangez plus sur ce fil à ce propos, je m'avance peut-être, mais cela semble vouloir dire que vous êtes satisfaits. En conséquence, considérerez-vous que l'on peut l'implémenter sans risques et qu'il est aussi suffisamment abouti pour nous permettre de renouveler nos certificats wilcard LE créés par la méthode acme.sh ? Votre avis d'experts est important. Merci de vos réponses. Cordialement oracle7 😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PPJP Posté(e) le 27 avril 2020 Partager Posté(e) le 27 avril 2020 Bonsoir @oracle7 Il y a 6 heures, oracle7 a dit : Vu que vous n'échangez plus sur ce fil à ce propos, je m'avance peut-être, mais cela semble vouloir dire que vous êtes satisfaits. Je crois plutôt que cela veut dire que personne ne l’utilise. Il y a un an il était fonctionnel chez unPixel et chez moi. Depuis je n’ai eu aucun retour et n’en ai pas l’usage chez moi. Je ne l’ai donc pas maintenu et il n’est probablement plus opérationnel actuellement. Quand j’aurai un peu de temps libre, et s’il vous intéresse , je pourrais le vérifier et le mettrai à jour. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 28 avril 2020 Partager Posté(e) le 28 avril 2020 @PPJP Merci de votre réponse aussi rapide. Personnellement j'attendais un éventuel feu vert de votre part ou de @unPixel puisque ce dernier avait explicitement demandé d'attendre avant de utiliser ce script car le sujet était à l'époque expérimental. D'où maintenant ma demande de situation après quelques mois. Sinon effectivement, je suis intéressé par sa mise en œuvre. Je vais tester avec la dernière version du script 'majcertificat-5.sh' que vous aviez diffusé alors et comme vous le dites qui était fonctionnelle (du moins chez vous et chez lui). J'ai examiné le code et pense avoir compris le fonctionnement et le processus suivi même si j'ai un peu de mal à identifier le pourquoi de certains passages. Mais là, je met cela sur le compte de ma méconnaissance de l'organisation des fichiers de gestion du NAS. C'est bien aussi d'un autre coté car en décortiquant le code j'apprends aussi sur cette gestion. Vous dites que ce script n'est probablement plus opérationnel actuellement. Qu'est-ce qui aurait changé ? Dû à une gestion des packages/services différentes suite aux màj récentes de DSM ? Au passage, comme @unPixel au début de ses tests, la génération de mes certificats se fait dans le répertoire caché 'root/.acme.sh' alors que ce répertoire n'est pas stable dans le temps, il ('/root' du moins)est réinitialisé à chaque mise à jour de DSM. Plus tard dans le fil des échanges, unPixel semblait avoir trouvé comment faire générer les fichiers dans le même répertoire que l'exécutable acme.sh ('/usr/local/share') mais il n'a pas dit comment il avait fait. J'ai peut-être une piste mais je n'en suis pas sûr, vous avez peut-être vous, une idée ? Cordialement oracle7 😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PPJP Posté(e) le 29 avril 2020 Partager Posté(e) le 29 avril 2020 @oracle7 Le script était décomposé en fonctions simples pour être plus compréhensible. Ce script n'est sans doute plus fonctionnel car il y a eu des modifications du DSM au niveau des certificats (et peut-être coté acme) Concernant l'installation de acme, elle se fait dans le dossier actif lors du wget, il suffit donc de se placer dans le dossier désiré avant d’exécuter cet wget Pour l'instant je n'ai pas les disponibilité pour me replonger sur ce script. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 29 avril 2020 Partager Posté(e) le 29 avril 2020 @PPJP Bonjour, Pour l'organisation en fonctions simples : c'est clair. il y a 3 minutes, PPJP a dit : Concernant l'installation de acme, elle se fait dans le dossier actif lors du wget, il suffit donc de se placer dans le dossier désiré avant d’exécuter cet wget Je n'ai pas de soucis de ce coté là, c'est ce que je faisais déjà. Non, le soucis est le résultat de la commande 'acme.sh --issue/renew/force ...." qui génère les fichiers de certificats dans le répertoire '/root/.acme.sh' au lieu de le faire dans le répertoire de lancement de la commande 'acme.sh --issue .....' qui est '/usr/local/share'. Mais je vais essayer un truc trouvé sur la toile, on verra bien ... il y a 8 minutes, PPJP a dit : Pour l'instant je n'ai pas les disponibilité pour me replonger sur ce script. Quand vous en aurez, ce serait sympa de votre part ... Je continue à regarder et tester de mon coté avec l'existant et vous ferais les éventuels retours nécessaires. MERCI encore de votre aide. J'espère aussi que @unPixel passera à nouveau par là pour fournir gracieusement un peu sa lumière. Cordialement oracle7 😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeff777 Posté(e) le 19 mai 2020 Partager Posté(e) le 19 mai 2020 (modifié) Bonjour à tous, Ce matin je reçois un mail de ssl for free "Dear SSL For Free Users, Great News! We are happy to let you know that SSL For Free has teamed up with ZeroSSL in an effort to offer you an even more easy-to-use, complete and still free platform for all your SSL certificate requirements. In a nutshell, you will now be able to enjoy the following features: Free 90-Day Certificates 1-Year Premium Certificates Wildcard & Multi-Domain SSL Domain Verification via Email Simple Management Console Straightforward REST API and more! Important: New Account Required Please note that you will not be able to use your previous SSL For Free account credentials to log in to the new platform. Instead, to keep using our product, please register for a new account using the "Get Free Access" button below." Comme mon certificat venait à expiration, j'ai tenté le coup et obtenu un certificat avec la méthode DNS par contre je n'arrive pas à l'installer avec la procédure habituelle d'installation (remplacer puis importer) . J'ai récupérer l'ancien certificat mais je pense que je vais devoir passer à zerossl à son expiration. Est-ce que quelqu'un est arrivé à installer un certificat zerossl. Par quelle méthode? Edit : aucun de vous n'a reçu ce mail ??? Modifié le 20 mai 2020 par Jeff777 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.