Aller au contenu

Messages recommandés

Posté(e) (modifié)

Bonjour,

 

Je rencontre des difficultés à faire le renouvellement de mon certificat. J'ai fait quand même pas mal le tour du forum avant de poser la question.

les infos :

J'ai un ds716+II, qui est branché derrière un switch qui lui même au cul de la freebox.

J'accède à mon nas depuis l’extérieur sans problème via un nom de domaine acheté chez OVH. Ma freebox est en IP-fixe.

 

Mon certificat devait être renouvelé avant fin de mars...manque de bol j'ai zappé. 

Le certificat était fonctionnel, je n'avais aucun problème. J'ai vérifié aussi chez ovh si il n'y avait pas un problème. Mais dans tout les cas j'accède à mon nas correctement depuis l'éxterieur.

Seul le problème, reste ce certificat.

Un copie du par-feu syno:

image.thumb.png.769afaaf2867b52a476a74e6e4dfddbd.png

Les deux ip sont celle de letsEcnrypt.

Sur la freebox les ports sont bien ouvert et redirigés lan80>wan80, lan443>wan443 ainsi que le port pour y accéder.

 

Depuis putty (loggé en root) je peux récupérer les infos de letsEncrypt :

curl https://acme-v02.api.letsencrypt.org/

me retourne le <!DOCTYPE html>....[...]

 

Dans les log :

sudo grep letsencrypt /var/log/messages

>>>

2020-05-03T15:45:50+02:00 nas synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[4476]: certificate.cpp:973 syno-letsencrypt failed. 102 [Failed to new certificate.]
2020-05-03T15:50:30+02:00 nas syno-letsencrypt: utils.cpp:503 fopen failed. [No such file or directory][/usr/syno/etc/certificate/_archive/JUPWml/cert.pem]
2020-05-03T15:50:31+02:00 nas syno-letsencrypt: syno-letsencrypt.cpp:116 Failed to do new authorization, may retry with another type. [{"error":200,"file":"client_v2.cpp","msg":"During secondary validation: Fetching http://monUrl.ovh/.well-known/acme-challenge/loOGVQSt243_okaEjOG6yN2lUC5jPJxfUMXPkdkYz0s: Timeout during connect (likely firewall problem)"}
2020-05-03T15:50:34+02:00 nas syno-letsencrypt: utils.cpp:503 fopen failed. [No such file or directory][/usr/syno/etc/certificate/_archive/JUPWml/cert.pem]
2020-05-03T15:50:39+02:00 nas syno-letsencrypt: syno-letsencrypt.cpp:116 Failed to do new authorization, may retry with another type. [{"error":200,"file":"client_v2.cpp","msg":"do new auth by path: failed to do challenge."}
2020-05-03T15:53:54+02:00 nas syno-letsencrypt: syno-letsencrypt.cpp:414 can not find renew.json. [No such file or directory][/usr/syno/etc/certificate/_archive/JUPWml/renew.json]
2020-05-03T16:05:52+02:00 nas syno-letsencrypt: syno-letsencrypt.cpp:414 can not find renew.json. [No such file or directory][/usr/syno/etc/certificate/_archive/JUPWml/renew.json]
2020-05-03T21:28:42+02:00 nas syno-letsencrypt: syno-letsencrypt.cpp:414 can not find renew.json. [No such file or directory][/usr/syno/etc/certificate/_archive/JUPWml/renew.json]

 

Un listDir du dossier ou il ne trouve pas le fichier  :

root@nas:~# ls /usr/syno/etc/certificate/_archive/JUPWml/
cert.pem  chain.pem  fullchain.pem  privkey.pem

 

J’espère avoir donné le maximum d'infos.

Merci pour votre aide, car je suis perdu.

Modifié par jeremy16
Sujet résolu
Posté(e) (modifié)

HA !!!

Impeccable, c'était bien ça le problème...bon et bien à chaque renouvellement j'activerai les port 80 et 443 😉

 

merci, beaucoup.

Bonne soirée

Modifié par jeremy16
Posté(e)

C'est déjà fait 😉 

 

Ca va être une manip' à faire à chaque renouvellement...au prix des certif' ssl pour du perso.

C'est un moindre mal.

 

merci encore,

Posté(e) (modifié)

Bonsoir,

je profite de ce topic pour reposer une question à laquelle je n’ai jamais eu de réponde. 
 

Quel risque avons nous de laisser la redirection des ports 80/443 de la box vers le NAS et l’ouverture de ces mêmes ports sur le NAS H24, 7J/7 ?

Modifié par alan.dub
Posté(e)

Bonjour,

Pour faire court, les ports ouverts sont autant de portes d’accès.

Maintenant au même titre qu’une porte de maison chez soi, elle dispose de verrou (service, identifiant et mot de passe).

LE intègré sur nos NAS dispose d’un logiciel qui se lance tous les 3 mois pour renouveler le certificat. Ce dernier a besoin des ports 80 et 443 pour cette opération.

Par ailleurs ces ports sont souvent utilisés pour des services web classiques en clair et en chiffré, pour permettre des accès externes au NAS

Je m’arrête volontairement là, pour ne pas repartir sur les solutions proposés ici ou là, y compris sur ce forum pour les sécurisations associés.

En conclusion, à chacun de mesurer sa part de risque versus la fermeture des ports.

Quelques soit la solution, aucune n’est sûre à 100% et ne saurait éliminer la surveillance régulière des éléments techniques concernés.

Posté(e)

Conseillez-vous de supprimer la redirection et l’ouverture du port http 80 et de laisser la redirection et l’ouverture du port https 443 uniquement sur la France (pour le reverse proxy) lorsque nous n’avons pas besoin de refaire le certificat ?

Posté(e) (modifié)

Oui il est préférable de ne laisser la redirection du 443 sur la France pour le reverse proxy et n'activer celle du 80 qu'au moment du renouvellement de certificats Let's Encrypt.

Modifié par Thierry94
Posté(e) (modifié)

Je crois que depuis peu Let's Encrypt autorise les renouvellements de certificat en https via le port 443 ! mais cela reste à confirmer !
J'essayerai en juin pour le renouvellement du mon certificat

Modifié par Thierry94
  • 3 semaines après...
  • 1 mois après...
Posté(e)

Bonjour,

De mon coté, le port 80 est fermé et le port 443 ouvert à tous.

Constat factuel d'il y a quelques jours : les certificats LE Synology.me et autres LE créés à partir de DSM, se sont renouvelés d'eux même sans aucune autre intervention de ma part.

Cordialement

oracle7😉

Posté(e)

Je vais de mon côté fermer le port 80 aussi. Mon renouvellement doit avoir lieu au mois d’août.

On verra bien, tout en sachant que LE n’attend jamais le dernier jour pour mettre à jour le certificat.

Ça laissé une marge 😉

Posté(e) (modifié)
Il y a 7 heures, alan.dub a dit :

Je vais de mon côté fermer le port 80 aussi. Mon renouvellement doit avoir lieu au mois d’août.

Bonjour,

Il est possible de renouveler manuellement le certificat quand on veut* (On repart alors pour 3 mois), on n’est pas obligé d’attendre le renouvellement automatique.

 

Édit: * Il semble y avoir une limite de 5 certificats renouvelés manuellement par semaine.

https://letsencrypt.org/fr/docs/rate-limits/

Modifié par maxou56
Posté(e) (modifié)

Je ne reçois plus de mail depuis que j'ai laissé les ports 80 et 443 ouverts (depuis an tout juste).

La grande question aujourd'hui c'est si on bloque le port 80, est-ce que la MAJ auto sera toujours possible.

Mais oui, si le fait de bloquer le port 80 bloque la MAJ auto, LE devrait me renvoyer un mail d'avertissement 😉 

2020/08/16 est la date limite du mon certificat, je verrais donc fin juillet pour bloquer le port 80.

Là j'ai la flemme de le faire donc j'attends le dernier moment 😅

 

Modifié par alan.dub
Posté(e)

Bonjour,

Heureux ceux qui reçoivent un eMail d'avertissement, pour ma part je n'en ai jamais reçu 😟

A moins que j'ai raté un quelconque paramétrage ...

Cordialement

oracle7😉

  • 1 an après...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.