oracle7 Posté(e) le 19 octobre 2020 Auteur Posté(e) le 19 octobre 2020 @Pinpon_112 Bonjour, Le certificat créé sur le NAS est renouvelé automatiquement sans aucune intervention de ta part. Si tu as d'autres NAS et /ou un routeur Synology alors tous les trois mois il te faudra récupérer les fichiers "ndd.tld.key", "ndd.tld.cer" et "ca.cer" présents dans "/volume1/Certs/ndd.tld/" pour les réimporter sur les autres NAS et/ou ton routeur Synology. Désolé mais on ne sait pas faire autrement aujourd'hui dans ce cas précis. Cordialement oracle7😉 0 Citer
Jeff777 Posté(e) le 19 octobre 2020 Posté(e) le 19 octobre 2020 (modifié) il y a une heure, oracle7 a dit : Désolé mais on ne sait pas faire autrement aujourd'hui dans ce cas précis. Bonjour @oracle7 A signaler que si on contrôle sa propre zone on peut automatiser la mise à jour du certificat sur le serveur où se trouve cette zone et le déployer automatiquement avec la commande déploy sur un autre NAS avec le script de @.Shad.. Je me demande pourquoi ce ne serai pas possible dans ton cas de faire de même avec deploy ?🙂 Mais je laisse @.Shad. argumenter. Modifié le 19 octobre 2020 par Jeff777 0 Citer
oracle7 Posté(e) le 19 octobre 2020 Auteur Posté(e) le 19 octobre 2020 @Jeff777 Bonjour, il y a 2 minutes, Jeff777 a dit : A signaler que si on contrôle sa propre zone Justement dans mon cas et comme pour beaucoup, la zone DNS contrôlée se limite à la zone locale du fait de ne pas disposer d'@IP externe fixe et d'un second serveur DNS. Ce qui à ma connaissance ne permet pas un multiple déploiement automatique. Mais je peux me tromper. Sauf peut-être à relancer périodiquement manuellement la commande de déploiement en adaptant au passage les variables d'environnement SYNO_Scheme, SYNO_Hostname, Syno_Port, SYNO_Username, SYNO_Password et SYNO_DID. En plus, chaque déploiement viendrait modifier le fichier ndd.tld.conf qu'il faudrait ensuite alors remettre à jour pour le prochaine renouvellement sur le NAS originel. Pas simple tout çà ... Très franchement ne n'ai pas testé cela et je me contente pour l'instant d'une réimportation manuelle des fichiers du certificat. Ce qui somme toute est assez simple et rapide mais à faire, je te l'accorde, tous les T0+60J minimum. Peut-être qu'avec DSM7 le script de déploiement Synology_DSM.sh aura été mis à jour dans ce sens. J'ai lu sur github que Neil Pang devait implémenter le multi-déploiement (multiple deploy-hook) mais il disait cela hier en 2017, alors ... Cordialement oracle7😉 0 Citer
Audio Posté(e) le 21 octobre 2020 Posté(e) le 21 octobre 2020 Le 18/10/2020 à 19:02, Jeff777 a dit : Bonjour @Audio, Si tu sélectionnes "remplacer" sur la dernière image puis importer tu n'as pas besoin de redémarrer le serveur ni de détruire l'ancien certificat. Soit tu n'avais qu'un certificat alors celui-ci est remplacé et est d'office par défaut, soit tu en as plusieurs, il faut alors spécifier lequel tu veux remplacer et si nécessaire cocher par défaut. Bonjour @Jeff777, Effectivement en choisissant "remplacer" on devrait pas être obligé de redémarrer le serveur web et de détruire l'ancien certificat. J'avais pas intuité ! Cordialement 0 Citer
nebelnic Posté(e) le 30 novembre 2020 Posté(e) le 30 novembre 2020 Bonjour, Le script ne semble plus disponible au chargement. Merci!! 0 Citer
bruno78 Posté(e) le 1 décembre 2020 Posté(e) le 1 décembre 2020 @nebelnic bonjour, a priori le script est bien disponible en page 1, chap 6 du tuto Bruno78 0 Citer
nebelnic Posté(e) le 1 décembre 2020 Posté(e) le 1 décembre 2020 Bonjour Oui je l'avais bien vu, mais je ne sais pas pourquoi le lien ne fonctionnait plus hier soir . Il y avait même la mention "unavailable " dessus. Mais c'est revenu ensuite. Merci en tout les cas. 0 Citer
nebelnic Posté(e) le 1 décembre 2020 Posté(e) le 1 décembre 2020 j'essaye donc de suivre ce tuto et je suis direct bloqué à l'install de ACME. (Désolé je suis loin d’être totalement compétent) Voila: root@zeptonet:/volume1/Certs/Acme_install/acme.sh-master# ./acme.sh --install --nocron --home "$ACME_HOME" --cert-home "$CERT_HOME" -- accountemail "monemailcomplété" [Tue Dec 1 13:32:38 CET 2020] Unknown parameter : -- Ya un truc qui m'echappe. Vous avez une idée du problème? D'avance merci pour votre aide! 0 Citer
bruno78 Posté(e) le 1 décembre 2020 Posté(e) le 1 décembre 2020 il y a un espace entre le -- et accountemail => supprimer ce caractère espace 0 Citer
nebelnic Posté(e) le 1 décembre 2020 Posté(e) le 1 décembre 2020 (modifié) Je n'ai pas continué très longtemps.... Nouveau blocage. Désolé pour mon incompétence! j'en suis ici: root@zeptonet:/usr/local/share/acme.sh# export OVH_END_POINT=ovh-eu root@zeptonet:/usr/local/share/acme.sh# export OVH_AK="ma clé generée " root@zeptonet:/usr/local/share/acme.sh# export OVH_AS="ma clé generée" root@zeptonet:/usr/local/share/acme.sh# export OVH_CK="ma clé generée" root@zeptonet:/usr/local/share/acme.sh# cd $ACME_HOME root@zeptonet:/usr/local/share/acme.sh# export CERT_DOMAIN="mon domaine" root@zeptonet:/usr/local/share/acme.sh# export CERT_WDOMAIN="*.mondaine" root@zeptonet:/usr/local/share/acme.sh# export CERT_DNS="dns_ovh" root@zeptonet:/usr/local/share/acme.sh# ./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" --dns"$CERT_DNS" [Tue Dec 1 15:08:29 CET 2020] Unknown parameter : --dnsdns_ovh J'imagine que je devais rentrer une valeur à root@zeptonet:/usr/local/share/acme.sh# export CERT_DNS="dns_ovh" mais quoi? Je me trompe? Je ne vois pas sinon. Une nouvelle fois merci! Modifié le 1 décembre 2020 par nebelnic 0 Citer
Jeff777 Posté(e) le 1 décembre 2020 Posté(e) le 1 décembre 2020 Tu as encore oublié l'espace peut-être ! après --dns 0 Citer
nebelnic Posté(e) le 1 décembre 2020 Posté(e) le 1 décembre 2020 Oh oui désolé... quel nul! Bon ça progresse!! : certificat généré et déployé sur le NAS. Je reste bloqué maintenant sur quelque-chose qui va vous paraitre bien simple... Mais pas encore moi. Comment copier le script depuis mon mac vers le dossier /volume1/Scripts sur le NAS? je n'y suis pas arrivé avec le terminal. Encore merci pour votre aide précieuse! 0 Citer
nebelnic Posté(e) le 1 décembre 2020 Posté(e) le 1 décembre 2020 Bon et bien désolé pour le dérangement. Je suis finalement arrivé au bout du tuto! Un énorme merci pour celui-ci qui, même pour un noobs total dans mon genre, m'a permis de m'en sortir! (erreur de syntaxe mis à part..) 1 Citer
oracle7 Posté(e) le 1 décembre 2020 Auteur Posté(e) le 1 décembre 2020 @nebelnic Bonjour, Il y a 1 heure, nebelnic a dit : Comment copier le script depuis mon mac vers le dossier /volume1/Scripts sur le NAS? Copier le script "acme_renew.py" dans un répertoire partagé de ton NAS accessible depuis ton MAC via le finder (par ex : "MonDossierPartage"). Dans un terminal taper la commande : cp -p /volume1/MonDossierPartage/acme_renew.py /volume1/Scripts Cordialement oracle7😉 0 Citer
nebelnic Posté(e) le 1 décembre 2020 Posté(e) le 1 décembre 2020 merci beaucoup. C'est finalement ce que j'ai fait. 0 Citer
ssj4gokusama Posté(e) le 5 décembre 2020 Posté(e) le 5 décembre 2020 (modifié) Bonjour, j'ai voulu tester le déploiement d'un certificats avec une clé ecdsa 384 bits, mais voila ce qu'il m'affiche : Citation ./acme.sh --deploy --ecc -d "$CERT_DOMAIN" --deploy-hook synology_dsm [Sat Dec 5 15:32:53 CET 2020] Logging into localhost:XXXX [Sat Dec 5 15:32:54 CET 2020] Getting certificates in Synology DSM [Sat Dec 5 15:32:54 CET 2020] Generate form POST request [Sat Dec 5 15:32:54 CET 2020] Upload certificate to the Synology DSM [Sat Dec 5 15:32:55 CET 2020] Unable to update certificate, error code {"error":{"code":5529},"success":false} [Sat Dec 5 15:32:55 CET 2020] Error deploy for domain:mondomaine.ltd [Sat Dec 5 15:32:55 CET 2020] Deploy error. Une idée? Merci Edit : Bon j'ai cherché et testé, et c'est que DSM 6 ne prends pas (ou plus) en charge ce type de certificats. Modifié le 6 décembre 2020 par ssj4gokusama Trouvé la raison 0 Citer
xofox Posté(e) le 6 décembre 2020 Posté(e) le 6 décembre 2020 Merci beaucoup pour ce tuto très complet et bien expliqué (for dummies 🙂 ) Je l'ai adapté pour la gestion DNS Cloudfare, au top ! 1 Citer
oracle7 Posté(e) le 6 décembre 2020 Auteur Posté(e) le 6 décembre 2020 (modifié) @ssj4gokusama Bonjour, Le 05/12/2020 à 15:44, ssj4gokusama a dit : c'est que DSM 6 ne prends pas (ou plus) en charge ce type de certificats Cela doit être plutôt "ne prend plus" et de façon assez récente, car lors des tests de mises en place du TUTO avec le script de renouvellement automatique, aucun problème n'avait été rencontré sur ce point précis avec une version DSM 6.2.3. J'ai bien vu une fois sur Github un gars qui avait eut le même problème avec le même code d'erreur 5529 mais comme il n'a plus donné de signe de vie après avoir posté, on ne sait pas comment il a ou pas solutionné la chose. Donc difficile de t'en dire plus. PS : Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Cordialement oracle7😉 @xofox Bonjour, Très bien, content pour toi que tu ais pu adapter ce TUTO à Cloudfare. Comme quoi ... PS : Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Cordialement oracle7😉 Modifié le 6 décembre 2020 par oracle7 0 Citer
ssj4gokusama Posté(e) le 6 décembre 2020 Posté(e) le 6 décembre 2020 (modifié) Il y a 3 heures, oracle7 a dit : @ssj4gokusama Bonjour, Cela doit être plutôt "ne prend plus" et de façon assez récente, car lors des tests de mises en place du TUTO avec le script de renouvellement automatique, aucun problème n'avait été rencontré sur ce point précis avec une version DSM 6.2.3. J'ai bien vu une fois sur Github un gars qui avait eut le même problème avec le même code d'erreur 5529 mais comme il n'a plus donné de signe de vie après avoir posté, on ne sait pas comment il a ou pas solutionné la chose. Donc difficile de t'en dire plus. PS : Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Cordialement oracle7😉 Bon pour la présentation, je le ferai si j'ai un peu de temps et si je suis amené à revenir ici. Et merci de m'avoir répondu. Sinon c'est ridicule d'avoir retiré cette prise en charge. Espérons qu'ils la réintègre avec la 7.0...En attendant j'ai déployé en RSA, ce qui est déjà bien. Mais je vais voir si cela fonctionne en utilisant un nginx sous docker plutôt que de passer par celui intégré à DSM. Si cela fonctionne, Il me restera à créer un script pour lancer le renouvellement et relancer le nginx pour prendre en compte les nouveaux certifs. Modifié le 6 décembre 2020 par ssj4gokusama 0 Citer
Pinpon_112 Posté(e) le 7 décembre 2020 Posté(e) le 7 décembre 2020 @oracle7 @bruno78 Bonjour, Aujourd'hui était le jour du renouvellement de mon certificat. Comme il y a 3 mois, celui-ci n'a pas été renouvelé. Dès que je sais, je vous envoie en MP le log. 0 Citer
nebelnic Posté(e) le 10 décembre 2020 Posté(e) le 10 décembre 2020 (modifié) Bonjour, Mauvaise surprise pour moi à l'instant. Je viens de recevoir un rappel par email de Let's Encrypt m'indiquant que mon certificat va expirer le 20 décembre. Or sur la page de configuration du DSM le certificat est indiqué comme valide jusqu'au 3 mars. J'avais suivi le tuto jusqu'a bout. Je me suis meme assuré que tout allait bien en faisant une MaJ forcée manuelle. Cette semaine j'ai bien eu une alerte comme quoi le script s’était lancé et que le renouvellement n’était pas nécessaire. Avez-vous déjà eu des emails de Let's Encrypt comme moi malgré un certificat indiqué comme à jour? Merci pour votre aide. Si je dois vous donner un fichier log quelquonque dites le moi (et si possible ou aller le chercher) . D'avance merci!!! Edit : en lisant l'email de Let's Encrypt je vois indiqué : "In particular, note that this reminder email is still sent if you've obtained a slightly different certificate by adding or removing names. If you've replaced this certificate with a newer one that covers more or fewer names than the list above, you may be able to ignore this message." Or suivant le tuto un peu bêtement pas à pas j'ai indiqué: *.sousdomaine.votre-domaine.tld et sousdomaine.votre-domaine.tld au moment de créer le certificat . Voici d'ailleurs ce qu'indique le certificat renouvelé Le certificat a été créé a la base pour un sous domaine: sousdomaine.mondomaine.com. Il s'agit déjà d'un DNS d'un sous domaine . Pensez-vous que le problème vient du fait que j'ai suivi le tuto et que le certificat indique en plus maintenant *. sousdomaine.mondomaine.com ? SI oui , est-il nécessaire que je modifie le certificat créé? Autrement dit, est-ce que dans 2 mois je vais avoir un nouveau un message d'alerte de let's encrypt m'indiquant que le certificat n'a pas été renouvelé? ou alors c'est la seul fois que je vais avoir ce souci de fausse alerte (si cela en est une...!!) et qu'ensuite tout rentrera dans l'ordre car le certificat renouveler sera totalement identique? Suis-je completement à coté de la plaque dans mon analyse du probleme? Merci pour vos conseils!! Modifié le 10 décembre 2020 par nebelnic 0 Citer
oracle7 Posté(e) le 10 décembre 2020 Auteur Posté(e) le 10 décembre 2020 (modifié) @nebelnic Bonjour, Bon, je dirais pas que tu est à coté de la plaque mais il y a des choses pas claires dans ce que tu présentes. Déjà, ta copie d'écran montre que ton certificat est émis par l'une autorité nommée "R3". Premier problème : cela devrait être : "Let's Encrypt Authority X3". D'où sort ce "R3" ? Il y a 1 heure, nebelnic a dit : Le certificat a été créé a la base pour un sous domaine: sousdomaine.mondomaine.com. Il s'agit déjà d'un DNS d'un sous domaine . a) Saches que cela ne sert à rien de créer un certificat pour un sous-domaine comme tu le dis (au passage la notion de sous-domaine n'existe pas, on parle toujours de domaine !) et d'autant plus si on utilise la notion de "wilcard" ou " * ". La notation wilcard "*.ndd.tld" recouvre tous les domaines de second niveau (du type "xxxxxx.ndd.tld"). De plus, faire "*.xxxxx.ndd.tld" n'a pas de sens, à part complexifier les choses car tu rallonges la chaine à saisir et donc les risques d'erreur de saisie. b) Par ailleurs, je crains que tu ne mélanges les notions quand tu dis "Il s'agit déjà d'un DNS d'un sous-domaine". Renseignes-toi bien sur ce qu'est un DNS (Domaine Name System). Pour la faire très courte : un DNS est un système de traduction de nom de domaine en @IP. Cherches ton erreur ... Vis à vis du message de Let's Encrypt, tu as dû certainement modifié ton certificat en ajoutant "*. sousdomaine.mondomaine.com" après sa création sans réintégrer le nouveau certificat dans DSM d'où l'eMail d'avertissement. Maintenant, à la vue de tout cela, si j'étais toi je reprendrai à zéro la création de ton certificat mais cette fois en indiquant simplement les domaines "*.mondomaine.com" et "mondomaine.com" tel que c'est expliqué dans le présent TUTO pour rester au premier niveau de domaine. Attention, penses à bien refaire tes clés OVH. Tu verras que le renouvellement se passera alors sans encombres le moment venu. Cordialement oracle7😉 Modifié le 10 décembre 2020 par oracle7 0 Citer
nebelnic Posté(e) le 10 décembre 2020 Posté(e) le 10 décembre 2020 (modifié) Il y a 3 heures, oracle7 a dit : @nebelnic Déjà, ta copie d'écran montre que ton certificat est émis par l'une autorité nommée "R3". Premier problème : cela devrait être : "Let's Encrypt Authority X3". D'où sort ce "R3" ? Ça a l'air d’être nouveau: https://letsencrypt.org/certificates/ Citation Maintenant, à la vue de tout cela, si j'étais toi je reprendrai à zéro la création de ton certificat mais cette fois en indiquant simplement les domaines "*.mondomaine.com" et "mondomaine.com" tel que c'est expliqué dans le présent TUTO pour rester au premier niveau de domaine. Attention, penses à bien refaire tes clés OVH. Tu verras que le renouvellement se passera alors sans encombres le moment venu. D'accord . je vais faire ça. merci beaucoup pour les conseils et explications. Nebelnic Modifié le 10 décembre 2020 par nebelnic 0 Citer
oracle7 Posté(e) le 10 décembre 2020 Auteur Posté(e) le 10 décembre 2020 @nebelnic Bonjour, Merci pour l'info et le lien Let'sEncrypt. Effectivement, la nouveauté est que les certificats auront maintenant une autorité d'origine dite "R3" (qui représente une unique paire de clefs publique/privée elle même certifiée par une racine “TrustID X3 Root”). Cette autorité intermédiaire "R3" va progressivement remplacer celle nommée actuellement "X3". Donc, oublies ma remarque précédente sur ce point, ce n'était pas une anomalie. Comme quoi on en apprend tous les jours ...😀 Cordialement oracle7😉 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.