jeremy16 Posté(e) le 3 mai 2020 Posté(e) le 3 mai 2020 (modifié) Bonjour, Je rencontre des difficultés à faire le renouvellement de mon certificat. J'ai fait quand même pas mal le tour du forum avant de poser la question. les infos : J'ai un ds716+II, qui est branché derrière un switch qui lui même au cul de la freebox. J'accède à mon nas depuis l’extérieur sans problème via un nom de domaine acheté chez OVH. Ma freebox est en IP-fixe. Mon certificat devait être renouvelé avant fin de mars...manque de bol j'ai zappé. Le certificat était fonctionnel, je n'avais aucun problème. J'ai vérifié aussi chez ovh si il n'y avait pas un problème. Mais dans tout les cas j'accède à mon nas correctement depuis l'éxterieur. Seul le problème, reste ce certificat. Un copie du par-feu syno: Les deux ip sont celle de letsEcnrypt. Sur la freebox les ports sont bien ouvert et redirigés lan80>wan80, lan443>wan443 ainsi que le port pour y accéder. Depuis putty (loggé en root) je peux récupérer les infos de letsEncrypt : curl https://acme-v02.api.letsencrypt.org/ me retourne le <!DOCTYPE html>....[...] Dans les log : sudo grep letsencrypt /var/log/messages >>> 2020-05-03T15:45:50+02:00 nas synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[4476]: certificate.cpp:973 syno-letsencrypt failed. 102 [Failed to new certificate.] 2020-05-03T15:50:30+02:00 nas syno-letsencrypt: utils.cpp:503 fopen failed. [No such file or directory][/usr/syno/etc/certificate/_archive/JUPWml/cert.pem] 2020-05-03T15:50:31+02:00 nas syno-letsencrypt: syno-letsencrypt.cpp:116 Failed to do new authorization, may retry with another type. [{"error":200,"file":"client_v2.cpp","msg":"During secondary validation: Fetching http://monUrl.ovh/.well-known/acme-challenge/loOGVQSt243_okaEjOG6yN2lUC5jPJxfUMXPkdkYz0s: Timeout during connect (likely firewall problem)"} 2020-05-03T15:50:34+02:00 nas syno-letsencrypt: utils.cpp:503 fopen failed. [No such file or directory][/usr/syno/etc/certificate/_archive/JUPWml/cert.pem] 2020-05-03T15:50:39+02:00 nas syno-letsencrypt: syno-letsencrypt.cpp:116 Failed to do new authorization, may retry with another type. [{"error":200,"file":"client_v2.cpp","msg":"do new auth by path: failed to do challenge."} 2020-05-03T15:53:54+02:00 nas syno-letsencrypt: syno-letsencrypt.cpp:414 can not find renew.json. [No such file or directory][/usr/syno/etc/certificate/_archive/JUPWml/renew.json] 2020-05-03T16:05:52+02:00 nas syno-letsencrypt: syno-letsencrypt.cpp:414 can not find renew.json. [No such file or directory][/usr/syno/etc/certificate/_archive/JUPWml/renew.json] 2020-05-03T21:28:42+02:00 nas syno-letsencrypt: syno-letsencrypt.cpp:414 can not find renew.json. [No such file or directory][/usr/syno/etc/certificate/_archive/JUPWml/renew.json] Un listDir du dossier ou il ne trouve pas le fichier : root@nas:~# ls /usr/syno/etc/certificate/_archive/JUPWml/ cert.pem chain.pem fullchain.pem privkey.pem J’espère avoir donné le maximum d'infos. Merci pour votre aide, car je suis perdu. Modifié le 3 mai 2020 par jeremy16 Sujet résolu 0 Citer
Thierry94 Posté(e) le 3 mai 2020 Posté(e) le 3 mai 2020 Les adresses ip de let's encrypt ne marchent plus. Maintenant il faut ouvrir le port 80 voir le 443 sans limitation d'adresse ip pour renouveller le certificat 1 Citer
jeremy16 Posté(e) le 3 mai 2020 Auteur Posté(e) le 3 mai 2020 (modifié) HA !!! Impeccable, c'était bien ça le problème...bon et bien à chaque renouvellement j'activerai les port 80 et 443 😉 merci, beaucoup. Bonne soirée Modifié le 3 mai 2020 par jeremy16 0 Citer
Thierry94 Posté(e) le 3 mai 2020 Posté(e) le 3 mai 2020 (modifié) Cool ... N'oublie pas de refermer les ports 80 et 443 si tu ne les utilises pas pour autre chose Modifié le 3 mai 2020 par Thierry94 0 Citer
jeremy16 Posté(e) le 3 mai 2020 Auteur Posté(e) le 3 mai 2020 C'est déjà fait 😉 Ca va être une manip' à faire à chaque renouvellement...au prix des certif' ssl pour du perso. C'est un moindre mal. merci encore, 0 Citer
alan.dub Posté(e) le 3 mai 2020 Posté(e) le 3 mai 2020 (modifié) Bonsoir, je profite de ce topic pour reposer une question à laquelle je n’ai jamais eu de réponde. Quel risque avons nous de laisser la redirection des ports 80/443 de la box vers le NAS et l’ouverture de ces mêmes ports sur le NAS H24, 7J/7 ? Modifié le 3 mai 2020 par alan.dub 0 Citer
Thierry94 Posté(e) le 4 mai 2020 Posté(e) le 4 mai 2020 (modifié) Ce sont des portes d'entrée ouvertes sur le nas ... si elle ne sont pas utilisées autant les laisser fermées ! Modifié le 4 mai 2020 par Thierry94 0 Citer
DaffY Posté(e) le 4 mai 2020 Posté(e) le 4 mai 2020 Bonjour,Pour faire court, les ports ouverts sont autant de portes d’accès.Maintenant au même titre qu’une porte de maison chez soi, elle dispose de verrou (service, identifiant et mot de passe).LE intègré sur nos NAS dispose d’un logiciel qui se lance tous les 3 mois pour renouveler le certificat. Ce dernier a besoin des ports 80 et 443 pour cette opération. Par ailleurs ces ports sont souvent utilisés pour des services web classiques en clair et en chiffré, pour permettre des accès externes au NAS Je m’arrête volontairement là, pour ne pas repartir sur les solutions proposés ici ou là, y compris sur ce forum pour les sécurisations associés.En conclusion, à chacun de mesurer sa part de risque versus la fermeture des ports.Quelques soit la solution, aucune n’est sûre à 100% et ne saurait éliminer la surveillance régulière des éléments techniques concernés. 0 Citer
alan.dub Posté(e) le 4 mai 2020 Posté(e) le 4 mai 2020 Conseillez-vous de supprimer la redirection et l’ouverture du port http 80 et de laisser la redirection et l’ouverture du port https 443 uniquement sur la France (pour le reverse proxy) lorsque nous n’avons pas besoin de refaire le certificat ? 0 Citer
Thierry94 Posté(e) le 4 mai 2020 Posté(e) le 4 mai 2020 (modifié) Oui il est préférable de ne laisser la redirection du 443 sur la France pour le reverse proxy et n'activer celle du 80 qu'au moment du renouvellement de certificats Let's Encrypt. Modifié le 4 mai 2020 par Thierry94 0 Citer
Thierry94 Posté(e) le 4 mai 2020 Posté(e) le 4 mai 2020 (modifié) Je crois que depuis peu Let's Encrypt autorise les renouvellements de certificat en https via le port 443 ! mais cela reste à confirmer ! J'essayerai en juin pour le renouvellement du mon certificat Modifié le 4 mai 2020 par Thierry94 0 Citer
Thierry94 Posté(e) le 3 juillet 2020 Posté(e) le 3 juillet 2020 Non pour moi il n'est passé qu'avec le port 80 ... 0 Citer
oracle7 Posté(e) le 3 juillet 2020 Posté(e) le 3 juillet 2020 Bonjour, De mon coté, le port 80 est fermé et le port 443 ouvert à tous. Constat factuel d'il y a quelques jours : les certificats LE Synology.me et autres LE créés à partir de DSM, se sont renouvelés d'eux même sans aucune autre intervention de ma part. Cordialement oracle7😉 0 Citer
Thierry94 Posté(e) le 3 juillet 2020 Posté(e) le 3 juillet 2020 Ah bonne nouvelle ... il faudra que je vérifie ma config pour le prochain renouvellement. 0 Citer
alan.dub Posté(e) le 3 juillet 2020 Posté(e) le 3 juillet 2020 Je vais de mon côté fermer le port 80 aussi. Mon renouvellement doit avoir lieu au mois d’août. On verra bien, tout en sachant que LE n’attend jamais le dernier jour pour mettre à jour le certificat. Ça laissé une marge 😉 0 Citer
pluton212+ Posté(e) le 4 juillet 2020 Posté(e) le 4 juillet 2020 ils envoient un mail pour prévenir la maj un mois avant donc après deux mois. 0 Citer
maxou56 Posté(e) le 4 juillet 2020 Posté(e) le 4 juillet 2020 (modifié) Il y a 7 heures, alan.dub a dit : Je vais de mon côté fermer le port 80 aussi. Mon renouvellement doit avoir lieu au mois d’août. Bonjour, Il est possible de renouveler manuellement le certificat quand on veut* (On repart alors pour 3 mois), on n’est pas obligé d’attendre le renouvellement automatique. Édit: * Il semble y avoir une limite de 5 certificats renouvelés manuellement par semaine. https://letsencrypt.org/fr/docs/rate-limits/ Modifié le 4 juillet 2020 par maxou56 0 Citer
alan.dub Posté(e) le 4 juillet 2020 Posté(e) le 4 juillet 2020 (modifié) Je ne reçois plus de mail depuis que j'ai laissé les ports 80 et 443 ouverts (depuis an tout juste). La grande question aujourd'hui c'est : si on bloque le port 80, est-ce que la MAJ auto sera toujours possible. Mais oui, si le fait de bloquer le port 80 bloque la MAJ auto, LE devrait me renvoyer un mail d'avertissement 😉 2020/08/16 est la date limite du mon certificat, je verrais donc fin juillet pour bloquer le port 80. Là j'ai la flemme de le faire donc j'attends le dernier moment 😅 Modifié le 4 juillet 2020 par alan.dub 0 Citer
oracle7 Posté(e) le 4 juillet 2020 Posté(e) le 4 juillet 2020 Bonjour, Heureux ceux qui reçoivent un eMail d'avertissement, pour ma part je n'en ai jamais reçu 😟 A moins que j'ai raté un quelconque paramétrage ... Cordialement oracle7😉 0 Citer
TeddyLaFrite Posté(e) le 14 mars 2022 Posté(e) le 14 mars 2022 Bien le bonjour, Je déterre le topic pour savoir si le 80 peut être définitivement fermé ! J'utilise le 443 pour le reverse proxy et ça ferait une porte de moins sans le 80 ! Merci à tous 🙂 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.