Aller au contenu

[Résolu]Impossible de créer un certificat Let's Encrypt

EtRhI

Par EtRhI
dans Installation, Démarrage et Configuration

 Partager

Messages recommandés

EtRhI Newbie

EtRhI

Posté(e)
Posté(e)

Bonjour à tous,

Je fais face au message "Echec de la connexion à Let's Encrypt. Assurez-vous que le nom de domaine est valide" j'ai beau avoir suivi les tutos présent sur le forum à ce sujet rien ni fait !

  • Pour la partie nom de domaine j'ai suivi le tuto de @unPixel : [TUTO] Pourquoi et comment utiliser un nom de domaine ?
  • Pour la partie reverse proxy j'ai suivi le tuto de @Kawamashi : [Tuto] Reverse Proxy
  • Et pour parfaire mes connaissances j'ai lu et appliqué certaines partie du tuto de @Fenrir : [TUTO] Sécuriser les accès à son nas

Malgré toutes ces lectures impossible de résoudre mon problème, maintenant je vous présente mon cas.
J'ai acheté une domaine chez OVH (lesthierry.fr), j'ai une IP fixe (Fibre Free, full stack), que j'ai renseigné dans la Zone DNS. Sur https://www.whatsmydns.net/  tout est au vert !

J'ai bien les ports 443 et 80 ouverts sur ma box et qui pointe sur mon Syno. Et j'ai mis les règles dans le firewall du Syno pour ces deux ports.

J'ai testé ce matin depuis mon boulot, j'arrive bien sur mon syno (évidemment en acceptant le certificat foireux !)

Par contre rien à faire quand j'essaye d'utiliser le wizard du Syno pour créer mon certificat Let's Encrypt toujours le même message d'erreur. Je suis même allé checker les log du Syno, mais aucune trace de la tentative d'acquisition du certificat !

Ca fait bien 2 semaines que je tourne en rond, si vous avez une idée magique je suis preneur !

Merci d'avance pour votre aide !

EtRhI

P.S: j'espère avoir poster mon sujet au bon endroit !

Lien vers le commentaire
Partager sur d’autres sites
.Shad. Grand Master

.Shad.

Posté(e)
Posté(e)

Tu peux créer un certificat LE avec le nom de domaine fourni par Synology, ça permettra d'aiguiller vers un problème de configuration du NAS ou plutôt vers un problème dans la zone DNS d'OVH.
Mais je rejoins l'hypothèse de @Mic13710, au vu de ton descriptif les réglages semblent OK du côté LAN.

Lien vers le commentaire
Partager sur d’autres sites
EtRhI Newbie

EtRhI

Posté(e)
  • Auteur
Posté(e)
Il y a 11 heures, Mic13710 a dit :

Est-ce que tous les noms de domaines que vous renseignez dans le SAN (autres noms) sont tous enregistrés chez OVH ? Si l'un des noms n'est pas valide, la demande n’aboutit pas.

Le message d’erreur est aussi présent si je ne remplis pas la partie SAN ! Et comme j’ai suivi le tuto sur le reverse proxy, j’ai dans ma zone DNS le *.lesthierry.fr pour gérer les sous domaines (si j’ai bien compris). 

@.Shad. j’ai déjà un domaine fonctionnel avec Synology. Je voulais passer par un NDD perso pour ne plus avoir le message d’avertissement pour un certificat SSL non vérifié. 

Est ce que le problème serait du à la présence de mon nom de domaine issu de Synology ?

EtRhI

Lien vers le commentaire
Partager sur d’autres sites
.Shad. Grand Master

.Shad.

Posté(e)
Posté(e)

Tu confonds certificat Synology par défaut et certificat LE pour ton domaine Synology.
Le certificat par défaut est un certificat auto-signé qui n'est reconnu par aucune autorité, ce qui impose donc que tes clients aient ajouté le certificat dans leur magasin (dans ton tel, dans tes navigateurs, etc...) pour que la connexion soit reconnue comme sécurisée.
Un certiticat LE a l'avantage d'être délivré par une autorité reconnue, et donc par défaut, dans les navigateurs classiques, tu disposes d'un magasin de certificats qui va rapidement identifier et avaliser l'autorité ayant délivré le certificat pour ton nom de domaine.

Si tu as bien créé un certificat LE avec ton nom de domaine Synology, il n'y aucune raison que tu aies un message d'avertissement quand tu t'y connectes.

Maintenant je ne te dis pas de ne pas utiliser celui d'OVH, juste tester avec le ndd Synology pour voir si tu as aussi une erreur, pour écarter ou non un problème lié à la configuration de la zone DNS d'OVH.
Et tu peux avoir une pléthore de certificats tu ne peux en appliquer qu'un seul par service exposé.

C'est d'ailleurs aussi une cause d'erreur, une fois le certificat obtenu : il faut cliquer sur Configurer dans l'onglet Certificat du Panneau de configuration, et choisir le bon certificat pour chaque service défini.

Lien vers le commentaire
Partager sur d’autres sites
EtRhI Newbie

EtRhI

Posté(e)
  • Auteur
Posté(e)

@.Shad. Merci pour les explications, en effet je n'ai pas demandé de certificat LE pour mon domaine Synology et utilise celui auto-signé d'où l'avertissement.
J'essaye donc de le faire ce soir pour m'assurer que je n'ai pas un soucis de configuration du côté du Syno.
@Einsteinium Juste pour être sûr du terme, wildcard fait référence au *.lesthierry.fr que j'ai cité plus haut ? Si oui, alors il me semble que ton message contredit ce qui est proposé dans le tuto sur le reverse proxy de @Kawamashi ??

EtRhI

Lien vers le commentaire
Partager sur d’autres sites
DaffY Collaborator

DaffY

Posté(e)
Posté(e)

Bonjour,

oui le certificat à couverture wilcard (tout le domaine incluant les sous domaines à venir) ne peut se faire pour le moment depuis le NAS.

En revanche on peut préciser les sous domaines dans la création du certificat depuis le NAS en les séparant par des ";"

En prenant un NDD chez synology (en gratuit) le wildcard étant géré, les sous domaines sont acceptés dans la création du certificat si on les précise comme indiqué ci-dessus.

Ne pas oublier de mettre le certificat par défaut et de vérifier la configuration (association des services avec le bon certificat).

Bon courage.

Lien vers le commentaire
Partager sur d’autres sites
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)
Il y a 6 heures, EtRhI a dit :

Si oui, alors il me semble que ton message contredit ce qui est proposé dans le tuto sur le reverse proxy de @Kawamashi ??

Pas de contradiction. Le wildcard est bien un enregistrement à faire chez le registar (en l’occurrence OVH). Par contre, on ne peut pas pour le moment créer un certificat LE avec un wildcard sur nos NAS. Il faut impérativement nommer chaque domaine dans le SAN (un toto.ndd.fr est un domaine, pas un sous-domaine comme on le voit trop souvent écrit. Un sous-domaine, ça n'existe pas).

Lien vers le commentaire
Partager sur d’autres sites
EtRhI Newbie

EtRhI

Posté(e)
  • Auteur
Posté(e)

Tout d'abord merci pour tous vos messages, je vais me coucher moins con ce soir 😁 !!

Alors pour commencer, j'ai essayer de créer le certificat LE à partir du domaine gratuit de synology et ça a marché ! La preuve en image le premier syno

certificat_syno.png.b98cf6b3d1c90856b086dcc4a3a308a0.png

en haut c'est la demande faite ce soir et en bas c'est celle que j'ai depuis un moment.

Par contre il y a un truc que je pige pas, dans le details du domaine que j'ai depuis longtemps je retrouve les SAN que j'ai mis lors de mes demandes pour mon NDD perso !!! Je comprends pas comment ils ont pu être transféré sur le NDD syno !!

certificat_syno2.png.190470924547f0c0ebfbd0b250aa799f.png

Par contre avec la nouvelle demande que j'ai faite ce soir (qui est celle par défaut maintenant), j'ai toujours l'avertissement pour le certificat qui s'affiche (donc je dois merder quelque part !)

Si j'essaye d'accéder à un domaine tel que dsvideo.lesthierry.fr, j'ai un message du certificat qui pointe vers des machine OVH

message_bad_certificat.png.999fbf5e70ae9102e9d06b435a7e519c.png

et si j'accepte le risque je me retrouve sur la page par défaut d'OVH ! Donc à mon avis j'ai un problème de configuration côté OVH !

Au final je me sens pas plus avancé avec mes tests, mais ça va surement vous donner du grain à moudre !!

Merci d'avance pour vos éclaircissements !!

EtRhI

 

Lien vers le commentaire
Partager sur d’autres sites
EtRhI Newbie

EtRhI

Posté(e)
  • Auteur
Posté(e) (modifié)

Bien vu @.Shad. j'avais zappé la configuration !
Donc je confirme que avec le domaine synology.me, je peux accéder à mon nas avec un certificat valide, j'ai aussi essayé d'autres services et c'est tout bon !
Maintenant "quid" de mon NDD chez OVH ?? Car le problème vient surement de sa config !
Quel infos pourrais-je vous transmettre pour éclaircir le problème ?

Merci d'avance

EtRhI

Modifié par EtRhI
Lien vers le commentaire
Partager sur d’autres sites
.Shad. Grand Master

.Shad.

Posté(e)
Posté(e)

Du côté d'OVH c'est assez simple, vu que tu es en IP fixe encore plus.

Un enregistrement de type A : 

lesthierry.fr        A        IP_fixe_Free

Puis soit des CNAME pour chacun de tes services : 

service1.lesthierry.fr        CNAME        lesthierry.fr
service2.lesthierry.fr        CNAME        lesthierry.fr
...

ou un CNAME wildcard : 

*.lesthierry.fr        CNAME        lesthierry.fr

Dans ce deuxième cas, il faut avoir créer un certificat wildcard en dehors du NAS, car Synology ne propose des certificats wildcard via son interface que pour les adresses synology.me que la société fournit à ses utilisateurs.
Direction ce tutoriel :

Vu que tu dis utiliser le proxy inversé, assures-toi ensuite que :

  • l'ouverture du port 443 est autorisé dans le pare-feu de ton NAS
  • ta box redirige son port 443 vers celui du NAS
  • tes services sont correctement configurés dans le proxy inversé
  • tes services sont bien rattachés au certificat wildcard (ou pas) OVH que tu auras importé dans le NAS (voir tutoriel ci-dessus).

Si tout ceci est respecté, tu ne devrais plus avoir aucun problème théoriquement.

Lien vers le commentaire
Partager sur d’autres sites
EtRhI Newbie

EtRhI

Posté(e)
  • Auteur
Posté(e)

Alors, j'ai bien tout qui fonctionne avec mon NDD de synology comme dis précédemment, j'ai même pu me connecter à VideoStation en étant hors de chez moi et j'ai bien la possibilité d'utiliser DSvideo en https (certificat valide maintenant).
Par contre pour OVH rien y fait j'ai toujours le message d'erreur quand je fais la demande de certificat !

J'ai bien créé sur OVH:
  

lesthierry.fr A IP_Fixe
services1.lesthierry.fr CNAME lesthierry.fr
...

Mais si je fais la demande LE depuis l'interface proposé par Synology, j'ai le message du NDD invalide avec ou sans le champs SAN de renseigné !
Je sèche ...

Lien vers le commentaire
Partager sur d’autres sites
Jeff777 Veteran

Jeff777

Posté(e)
Posté(e) (modifié)

Bonjour,

La création de certificats avec Let's Encrypt est gratuite mais limitée à un certain nombre de certificats par semaine. Si c'est la cause de ton problème il faudra attendre un peu. 😒

Edit : la limite est de 50 par semaine. C'est peu probable que tu en soit arrivé là !🤣

The main limit is Certificates per Registered Domain (50 per week). A registered domain is, generally speaking, the part of the domain you purchased from your domain name registrar. For instance, in the name www.example.com, the registered domain is example.com. In new.blog.example.co.uk, the registered domain is example.co.uk

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

dnslookup donne un résultat positif pour le nom de domaine. Pas de problème côté OVH. Cependant, l'url n'est pas résolue. un tracert est sensé renvoyer sur votre IP publique mais la requête n'aboutit pas. Normal dans ces conditions que LE ne puisse pas établir un certificat. Etes-vous sûr de votre IP publique ?

Edit : vous avez aussi un enregistrement AAAA donc un IPV6. Il pourrait y avoir un souci de ce côté là si votre IP publique est en IPV6.

Lien vers le commentaire
Partager sur d’autres sites
Jeff777 Veteran

Jeff777

Posté(e)
Posté(e) (modifié)
Il y a 3 heures, EtRhI a dit :

lesthierry.fr A IP_Fixe services1.lesthierry.fr CNAME lesthierry.fr

Essaie de faire  ton certificat qu'avec le lesthierry.fr en domaine et rien en SAN ? 

services1.lesthierry.fr

ne répond pas :    https://www.whatsmydns.net/#CNAME/services1.lesthierry.fr

 

Edit :  @Mic13710  j'ai aussi un enregistrement AAAA  et il me semblait que je l'avais déjà quand j'utilisais les certificats LE.

Maintenant j'ai une wildcard mais effectivement si je veux ajouter un certificat LE ce n'est pas possible j'obtiens la même réponse que EtRhl.

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites
EtRhI Newbie

EtRhI

Posté(e)
  • Auteur
Posté(e)

Petite update:

Il y a 3 heures, Mic13710 a dit :

Edit : vous avez aussi un enregistrement AAAA donc un IPV6. Il pourrait y avoir un souci de ce côté là si votre IP publique est en IPV6.

En effet j'avais bien un AAAA avec une IPv6 qui n'était pas celle de ma box, j'ai modifié avec celle de ma box et j'ai réussi à avoir le certificat LE !!! Tournée générale, c'est moi qui régale !!

Je suis vraiment pas familier avec l'utilisation d'IPv6, je dois me faire vieux et donc j'aime bien ma petite IPv4 !!

Merci @.Shad. @Mic13710 @daffy @Einsteinium et @Jeff777 pour votre aide qui fut très utile.

Toutes ces émotions, ça me donne envie d'aller farfouiller un peu plus le forum histoire d'apprendre plein de trucs intéressant !

Encore merci

EtRhI

P.S: que dois-je faire pour mettre le poste en résolu, juste éditer le titre ?

1
Lien vers le commentaire
Partager sur d’autres sites
Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.