mbdrlp Posté(e) le 30 juillet 2020 Posté(e) le 30 juillet 2020 (modifié) Salut, j'ai un problème de certificat https que je n'arrive pas à résoudre. Probablement un problème de configuration dans ce domaine que je ne maitrise pas... J'ai un nom de domaine chez OVH, NDD.OVH. J'ai une adresse IP dynamique, j'ai donc créé un Dynhost nas.ndd.ovh et le DDNS de mon Synology est configuré pour envoyer mon adresse IP externe à OVH, tout fonctionne bien. J'ai également créé un CNAME domotique.ndd.ovh qui pointe ver nas.ndd.ovh , car j'ai une machine virtuelle qui heberge ma domotique et je veux y acceder à distance. J'ai créé un certificat Let's Encrypt avec comme nom de domaine nas.ndd.ovh . J'ai maintenant un beau certificat qui fonctionne pour nas.ndd.ovh. Le problème c'est que pour domotique.ndd.ovh le certificat n'est pas valide (normal). Comment est ce que je peux faire pour que mon certificat couvre les deux noms de domaine? Modifié le 30 juillet 2020 par mbdrlp 0 Citer
CyberFr Posté(e) le 30 juillet 2020 Posté(e) le 30 juillet 2020 (modifié) Bonjour, Lorsque tu crées un certificat Let's Encrypt, on te demande si tu veux rajouter des noms de domaine supplémentaires. Par exemple, si ton nom de domaine est ndd.ndd tu peux ajouter nas.ndd.ndd. Les noms de domaine supplémentaires doivent se terminer par la racine ndd.ndd. Mais comme tu as commencé par nas.ndd.ndd, tu es coincé. Crée un certificat ndd.ovh et au moment de la création du certificat, ajoute l'alias nas.ndd.ovh. Modifié le 30 juillet 2020 par CyberFr Explications plus claires 0 Citer
oracle7 Posté(e) le 30 juillet 2020 Posté(e) le 30 juillet 2020 (modifié) @mbdrlp Bonjour, J'attire ton attention sur le fait que l'on ne peut pas ajouter indéfiniment des domaines supplémentaires (alias) au domaine principal dans un certificat Let'sEncript. Sur le NAS la chaîne de noms d'hôtes ("autres noms de l'objet") est limitées à 255 caractères par Synology. La solution est alors de créer un certificat Let'sEncrypt dit "wilcard" du type "*.ndd.tld" et là tu n'auras plus de limitations, idéal pour la domotique. Cependant, il te faudra tout de même créer autant de CNAME que de domaines "xxxxx.ndd.tld" dans ta zone DNS chez OVH. Cordialement oracle7😏 Modifié le 30 juillet 2020 par oracle7 0 Citer
mbdrlp Posté(e) le 30 juillet 2020 Auteur Posté(e) le 30 juillet 2020 Il y a 4 heures, CyberFr a dit : Bonjour, Lorsque tu crées un certificat Let's Encrypt, on te demande si tu veux rajouter des noms de domaine supplémentaires. Par exemple, si ton nom de domaine est ndd.ndd tu peux ajouter nas.ndd.ndd. Les noms de domaine supplémentaires doivent se terminer par la racine ndd.ndd. Mais comme tu as commencé par nas.ndd.ndd, tu es coincé. Crée un certificat ndd.ovh et au moment de la création du certificat, ajoute l'alias nas.ndd.ovh. il y a 50 minutes, oracle7 a dit : @mbdrlp Bonjour, J'attire ton attention sur le fait que l'on ne peut pas ajouter indéfiniment des domaines supplémentaires (alias) au domaine principal dans un certificat Let'sEncript. Sur le NAS la chaîne de noms d'hôtes ("autres noms de l'objet") est limitées à 255 caractères par Synology. La solution est alors de créer un certificat Let'sEncrypt dit "wilcard" du type "*.ndd.tld" et là tu n'auras plus de limitations, idéal pour la domotique. Cependant, il te faudra tout de même créer autant de CNAME que de domaines "xxxxx.ndd.tld" dans ta zone DNS chez OVH. Cordialement oracle7😏 Je ne peux pas créer de certificat ndd.ovh. J'ai le message d'erreur suivant: Je pense que ça vient du fait que j'ai un Dynhost du coté OVH, à cause de mon IP dynamique. Si je faisais en dur un ndd.ovh qui pointe vers mon IP dynamique alors je pense que la demande de certificat fonctionnerait. J'ai essayé d'ajouter mon domotique.ndd.ovh comme autre nom de l'objet. Mais maintenant lorsque j'essaye d'accéder à ma page domotique j'ai l'erreur suivante: Je commence à me melanger les pinceaux et je n'arrive pas à comprendre pourquoi le certificat joue sur la redirection de page 0 Citer
oracle7 Posté(e) le 30 juillet 2020 Posté(e) le 30 juillet 2020 @mbdrlp Bonjour, Effectivement comme tu le dis, tu te mélanges un peu les pinceaux.🤪 Ton DynDNS chez OVH devrait pointer sur "ndd.ovh" ainsi quand ton @IP externe changera "nnd.ovh" pointera à nouveau sur celle-ci. "ndd.ovh" sera alors ta "référence" pour ton @IP externe (celle de ta box/routeur). Maintenant sur le NAS, pour assurer la communication correcte avec les serveurs de LE, vérifies que tu as bien les ports 80 et 443 d'ouverts dans le pare-feu sur ton NAS et que ces mêmes ports sont bien transférés de ta box/routeur vers le NAS (paramètres NAT/PAT sur la box/routeur). Ensuite seulement tu peux créer ton certificat "wilcard" depuis l'interface de DSM sur le NAS pour ton domaine "ndd.ovh" et en complément pour "*.ndd.ovh". N'oublies pas de créer autant de CNAME que de domaines "xxxxx.ndd.tld" dans ta zone DNS chez OVH. Voilà rien de bien compliqué en somme. PS : Si ce n'est déjà fait, je t'invites à lire et suivre au minimum, le TUTO sur la sécurisation des accès à ton NAS, c'est important !. Il y a aussi d'autres TUTOs qu'il est conseillé de suivre aussi (DNS Server, Reverse proxy, etc ...) à toi de voir selon tes besoins ... Accessoirement tu as aussi cette méthode pour créer ton certificat "wilcard". Cordialement oracle7😏 0 Citer
mbdrlp Posté(e) le 30 juillet 2020 Auteur Posté(e) le 30 juillet 2020 @oracle7 Merci pour ta réponse. J'ai modifié mon Dynhost coté OVH et ca fonctionne. Je pensais qu'il fallait absolument un sous domaine... Je peux donc maintenant crée mon certificat pour ndd.ovh, avec comme autre nom nas.ndd.ovh et domotique.ndd.ovh Ca fonctionne bien pour nas.ndd.ovh, par contre j'ai perdu le lien vers domotique.ndd.ovh 0 Citer
oracle7 Posté(e) le 30 juillet 2020 Posté(e) le 30 juillet 2020 @mbdrlp Bonjour, il y a 56 minutes, mbdrlp a dit : par contre j'ai perdu le lien vers domotique.ndd.ovh Que veux-tu dire avec "j'ai perdu le lien vers domotique.ndd.ovh" ? désolé je ne comprends pas. ???? tu parles de "domotique.ndd.ovh" et ton message d'erreur indique "domo.xxxx.ovh" : chercher l'erreur ???? il te faut être cohérent avec ce que tu as mis pour le certificat LE. As-tu créé une redirection dans le reverse proxy du NAS du style "https://domo.ndd.ovh:443" vers "http://@IPdetaVMdomotique" ? Cordialement oracle7😏 0 Citer
mbdrlp Posté(e) le 30 juillet 2020 Auteur Posté(e) le 30 juillet 2020 @oracle7 Désolé pour la confusion. Effectivement je parle de domotique.ndd.ovh depuis le début mais en fait c'est domo.ndd.ovh. Lorsque je vais sur http://domo.ndd.ovh j'ai cette page la: Le reverse proxy du NAS est bien configuré: de meme que ma redirection de ports Je n'avais pas de problèmes avant de refaire mon certificat. Je n'arrive pas à comprendre le lien 0 Citer
oracle7 Posté(e) le 30 juillet 2020 Posté(e) le 30 juillet 2020 @mbdrlp Bonjour, Dans ta redirection du reverse proxy il te faut mettre "http://192.168.0.20" tout court, pas de port car ton reverse proxy écoute sur le port 443 lui même sécurisé, pas besoin d'en "rajouter". Par curiosité, quelle est l'utilité des 3 premières redirections de ports 2000, 2001 et 2002 ? Vu le nom du service attribué, celles pour les ports 2000 et 2001 me paraissent redondantes avec respectivement NAS 80 et NAS 443, mais je peux me tromper ne connaissant pas ce qu'à besoin ta VM. Cordialement oracle7😏 0 Citer
mbdrlp Posté(e) le 30 juillet 2020 Auteur Posté(e) le 30 juillet 2020 (modifié) @oracle7 J'ai supprimé la redirection en https pour du http uniquement mais ce n'est pas mieux. les ports 2000 et 2001 sont mes accès en HTTP et HTTPS à DSM. Le 2000 pourrait être supprimé car je redirige automatiquement vers 2001. Le 2002 c'est mon CardDav en HTTPS Je perd le nord completement. Dans le doute je viens d'essayer d'acceder à domo.ndd.ovh depuis mon smartphone avec une connexion 4G. Et ca fonctionne! Donc ca ne fonctionne pas en interne sur mon WIFI mais ça fonctionne en externe depuis ma 4G. Qu'est ce qui explique ça? Edit: Je viens de redemarrer le PC et ça fonctionne. Surement des choses qui restaient en cache. En tout cas merci beaucoup pour ton aide! Modifié le 30 juillet 2020 par mbdrlp 0 Citer
oracle7 Posté(e) le 30 juillet 2020 Posté(e) le 30 juillet 2020 @mbdrlp Content d'avoir pu t'aider à solutionner ce problème. Si tout est clair alors ajoutes [RESOLU] au titre de ton premier post. Cordialement oracle7😏 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.