Aller au contenu

Ajouter un certificat en ligne de commande ? [Résolu]


Messages recommandés

Bonsoir et désolé si ma question est celle d'un néophyte.

 

J'ai commis une bévue en supprimant le certificat let's encrypt de mon NAS.
J'aimerai le remettre (j'ai sauvegardé quelque part le certificat et la clé privée), mais je n'accède pas au DSM : Le navigateur m'indique «Firefox ne fait pas confiance à ce site, car il utilise un certificat qui n’est pas valide pour nom.dunas:5001. Le certificat n’est valide que pour synology.»

Merci si vous pouvez me confirmer que ces deux données sauvegardées pourront rétablir, et me donner un moyen de les importer via la ligne de commande.

Cordialement.

 

Modifié par Dut Surleweb
Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Dut Surleweb a dit :

J'ai commis une bévue en supprimant le certificat let's encrypt de mon NAS.

Bonsoir,

Soit tu l'avais exporté, et tu pourras le réimporter. Soit tu peux faire une autres demande de certificats. (il faut 7 jours de mémoires entre 2 demandes pour le même nom de domaine)

 

Il y a 1 heure, Dut Surleweb a dit :

mais je n'accède pas au DSM : Le navigateur m'indique «Firefox ne fait pas confiance à ce site, car il utilise un certificat qui n’est pas valide pour nom.dunas:5001. Le certificat n’est valide que pour synology.»

C'est juste un avertissement, normalement on peut passer outre. (par ex sur firefox mac: Sur la page d'alerte > avancé... > Accepter les risque et poursuivre)

Lien vers le commentaire
Partager sur d’autres sites

Désolé, je ne peux pas passer outre car j'ai ce message :
 

Citation

 

Connexion bloquée : problème de sécurité potentiel

Firefox a détecté une menace potentielle de sécurité et a interrompu le chargement de nas.trucmuche.org, car ce site web nécessite une connexion sécurisée.

Que pouvez-vous faire ?

nas.trucmuche.org a recours à une stratégie de sécurité HTTP Strict Transport Security (HSTS), une connexion sécurisée est obligatoire pour y accéder. Vous ne pouvez pas ajouter d’exception pour visiter ce site.

 

Si je demande les options avancées :

Citation

Les sites web justifient leur identité par des certificats. Firefox ne fait pas confiance à ce site, car il utilise un certificat qui n’est pas valide pour nas.trucmuche:5001. Le certificat n’est valide que pour synology.
 
Code d’erreur : SEC_ERROR_UNKNOWN_ISSUER


 Donc, il faut que je puisse intaller le certificat pour mon site trucmuche. J'ai bien en ma possession un certificat et une clé privé, mais j'ignore comment les injecter sur la NAS, sans pouvoir utiliser pour cela l'interface DSM.

Merci de vos indication

Modifié par Dut Surleweb
Lien vers le commentaire
Partager sur d’autres sites

@Dut Surleweb

Bonjour,

  1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...
     
  2. Pour ton soucis, tu risques de tourner en rond car manifestement tu as activé le HSTS sur ton NAS.
    Activer HSTS pourrait être bien car cela force à n'utiliser que le HTTPS, mais il faut savoir aussi que cela demande d'avoir un certificat valide .... Donc, le moindre problème lors du renouvellement de certificat (ou autre, et c'est ton cas présentement), et ton HTTPS n'est plus accessible (le navigateur ne te propose pas/plus de forcer le certificat).
    Du coup, le HSTS est une option pas du tout recommandée (voir le TUTO ReverseProxy) car c'est le navigateur qui enregistre cette information pour le site visité et il ne laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé (HSTS coché puis décoché).

    Si on veut forcer le https, il vaut mieux passer par le fichier .htaccess via web station comme indiqué dans le TUTO suscité.

    Donc pour un particulier, le HSTS est plus une source de problème qu'autre chose ...

    Seule solution pour supprimer l’information HSTS du navigateur, il faut vider le cache HSTS du navigateur, pour réaliser cela :

  • Dans Chrome, taper chrome://net-internals/#hsts
    • Entrer le nom de domaine dans le champ texte de la section "Delete domain security policies"

    • Cliquer sur le bouton Delete

    • Entrer le nom de domaine dans le champ texte de la section "Query HSTS"

    • Cliquer sur le bouton Query
    • La réponse doit être "Not found" (non trouvé)

  • Avec Safari, commencer par fermer le navigateur

    • Effacer le fichier ~/Library/Cookies/HSTS.plist

    • Rouvrir Safari

  • Avec Firefox, fermez tous les onglets

    • Ouvrir le menu de Firefox et cliquer sur Historique / Afficher l’historique.

    • Rechercher la page dont vous voulez supprimer les préférences HSTS

    • Effectuer un clic droit sur une des entrées lui correspondant

    • Choisir Oublier ce site

Une fois fait cela, tu pourras te reconnecter au NAS  désactiver le HSTS dans le NAS et réimporter tes fichiers de certificat comme te l'a dit @maxou56 précédemment.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Oracle7, merci de ton indication, qui m'a permis d'avancer grandement.

Après avoir oublié l'adresse du NAS dans firefox, j'ai pu me connecter au DSM et ajouter le couple cléprivé/certificat via l'interface graphique

Je remarque que dans les paramètre le HSTS n'était pas activé, mais la redirection des connexions HTTP vers HTTPS oui, donc j'ai décoché cette option.

 

Je suis décoincé, mais  j'ai encore le soucis suivant : Malgré un redemarrage du NAS. et le seul certificat apparaissant dans l'interface étant *.trucmuche.org, j'ai encore le message
 

Citation

Le certificat n’est valide que pour synology.

Que manque t'il pour que le certificat joker soit pris en compte ? Est-ce le fait que ce soit un joker qui pose problème ? Désolé de la relance.

Lien vers le commentaire
Partager sur d’autres sites

@Dut Surleweb

Bonjour,

Tu peux STP faire une copie d'écran de ton onglet certificat car je ne comprends pas, il y a une incohérence entre le message que tu cites et, je te cite : "le seul certificat apparaissant dans l'interface étant *.trucmuche.org".

Par ailleurs, saches que les certificats Let'sEncript créés à partir de l'interface de DSM ne peuvent pas être "wilcard" càd du type "*.synology.me" car tu n'a pas la main sur le domaine synology.me, il ne t'appartient pas tout simplement. Pour avoir un "vrai" certificat wilcard, il faut d'une part un domaine personnel "monDomaine.tld" et d'autre part créer le certificat Let'sEncript par un autre moyen. Je t''invite à lire ce TUTO d'une part et ensuite par exemple celui-ci. Tu comprendras mieux.

PS : astuce --> Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

 

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Merci @oracle7, je laisse tomber l'utilisation de wildcard, car je ne souhaite pas me lancer pour l'instant dans le tuto.

Par contre, je suis perplexe car j'ai demandé la création d'un certificat Let's Encrypt depuis le NAS. Que celui-ci est le seul visible dans la liste des certificats, mais que pour autant quand me me connecte au NAS, j'ai un avertissement car le certificat affiché est celui de Synology. J'ai vidé l'historique et redemarré le NAS, bien-sûr.

Capture du 2020-09-25 18-55-17.png

Modifié par Dut Surleweb
Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, Dut Surleweb a dit :

Que celui-ci est le seul visible dans la liste des certificats, mais que pour autant quand me me connecte au NAS, j'ai un avertissement car le certificat affiché est celui de Synology

Bonjour,

Quand tu clique sur configurer c'est bien le bon certificats pour les différents service.

Car sur le NAS tu peux avoir plusieurs certificats.

Pourquoi avoir supprimé celui de Synology, il ne gêne pas, tu l'as sauvegardé?

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

@Dut Surleweb

Bonjour,

Il est possible que ton navigateur n'ai pas pris en compte ton nouveau certificat et il a encore en cache l'ancien soit le Synology.

Donc pour corriger cela :

  1. Déconnectes toi du NAS (ferme ta session sur le navigateur)
  2. Vides le cache de ton navigateur
  3. Reconnectes toi au NAS avec le navigateur, là il devrait avoir pris en compte ton nouveau certificat.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7 J'ai tout bien viré comme tu dis, mais toujours ce même message.
C'est d'autant plus troublant que le certificat Synology (celui par défaut) n'apparait pas dans la liste.

Capture du 2020-09-25 19-20-44.png

Quand j'affiche le certificat, j'ai bien un certificat pour Synology, donc l'alerte est logique

J'ajoute qu'en cliquant sur le message, j'ai ce message, que je ne comprends pas

Capture du 2020-09-25 19-38-27.png

Modifié par Dut Surleweb
Lien vers le commentaire
Partager sur d’autres sites

@Dut Surleweb

Bonjour,

J'ai l'impression que l'on tourne en rond. Y-a un truc bizarre ...

Si j'étais toi, je ferai un ménage complet. A savoir :

  1. Commencer par refaire un certificat LE pour nas.trucmuche.org (pour reprendre ta notation précédente) en le déclarant par défaut.
  2. Configurer ce certificat pour l'affecter à tous les services.
  3. Éventuellement faire un certificat nas.synology.me mais ne pas le déclarer par défaut.
  4. Supprimer purement et simplement tous les autres certificats.

Par ailleurs, pour comprendre, qu'est-ce que tu tapes exactement dans ton navigateur pour te connecter au NAS ? Car dans ton premier post tu parles, je te cite, de  "nom.dunas:5001" et là cela ne me paraît pas clair du tout.

Autant si c'était quelque chose comme "nas.trucmuche.org:5001" ou comme "nas.synology.me:5001" je comprendrais mais cette formulation "nom.dunas:5001" n'est pas correcte du tout. D'où ma question précédente. Tu me suis ?

Edit : au fait tu disposes bien ou pas d'un domaine personnel du style "trucmuche.org" ?

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

  1. Citation

     

    1. Commencer par refaire un certificat LE pour nas.trucmuche.org (pour reprendre ta notation précédente) en le déclarant par défaut.
    2. Configurer ce certificat pour l'affecter à tous les services.
    3. Éventuellement faire un certificat nas.synology.me mais ne pas le déclarer par défaut.
    4. Supprimer purement et simplement tous les autres certificats.

     

    @oracle7
    1 : J'ai fait
    2 : Je bute : quand je clique sur configurer, il ne me propose aucun choix (la fenêtre est vide :  juste l'entête service, certificat, pas de champs affiché ni modifiable)
    3 : Fait,
    4 : Pas d'autre certificat en vue

sur le navigateur je tapes bien nas.trucmuche.org:5001, désolé de l’imprécision, et je suis bien propriétaire du domaine trucmuche.org

Quand j'accède avec nas.synology.me, j'ai le même message qu'avec nas.trucmuche.org

Merci du temps que tu consacres à me répondre.

Lien vers le commentaire
Partager sur d’autres sites

@Dut Surleweb

Bonjour,

Il y a 13 heures, Dut Surleweb a dit :

2 : Je bute : quand je clique sur configurer, il ne me propose aucun choix (la fenêtre est vide :  juste l'entête service, certificat, pas de champs affiché ni modifiable)

Cà c'est pas normal, tu devrais avoir au moins cette ligne : "Paramètres système par défaut", et peut-être bien aussi celle-là : "Réception des journaux". Ensuite seulement si tu as aussi configuré des redirections dans le Proxy Inversé du NAS, tu devrais avoir aussi entre autres, une ligne du type "xxxxxx.trucmuche.org" pour chaque redirection définie.

Toujours pour ma compréhension et pour mieux cerner le problème, encore quelques questions si tu veux bien :

  1. Puisque tu es propriétaire du domaine "trucmuche.org", dans la zone zone DNS de ton domaine chez ton fournisseur de domaine, as-tu bien un enregistrement CNAME pour nas.trucmuche.org qui pointe vers trucmuche.org ?
  2. Pour situer les choses ton @IP externe est-elle fixe ou dynamique ?
    Si elle est dynamique, as-tu configuré un DynDNS chez ton fournisseur de domaine et le DDNS correspondant sur ton NAS ?
  3. Par ailleurs, ce qui est étonnant est le contenu de ton message d'erreur : "L'autorité de délivrance du pair n'est pas reconnue". Ce message est-il apparu après que tu ais ré importé la première fois le certificat à partir des fichiers de sauvegarde ou non ?
  4. Quand tu demandes les informations sur le certificat dans le navigateur (pour l'exemple ici Firefox + clic sur le cadenas à gauche de l'URL + connexion ... + plus d'informations), as-tu quelque chose qui ressemble à cela ? :
    firefox_20200926_11-54-18.jpg.839ee2422b52f93dddcaf7f3109544b1.jpg
    Le certificat est-il bien marqué vérifié par Let'sEncrypt ?
  5. Sinon, avant d'éventuellement pouvoir te proposer autre chose de bien plus "sioux" pour investiguer plus avant en "mettant alors les mains dans le cambouis" : sais-tu accéder par une session SSH sous root à ton NAS ET maîtrises-tu les lignes de commandes Shell ? Si tu ne sais pas, ce n'est pas grave, on continuera à chercher autrement sans passer par là.

Pas simple ton affaire ... mais on va bien trouver une solution ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Comme tu le constate @oracle7, je suis moins présent en fin de semaine... Je vais tenter de répondre dans la citation en surlignant. Indique-moi si c'est un choix malheureux ou pas l'usage sur ce forum.

Citation
  1. Puisque tu es propriétaire du domaine "trucmuche.org", dans la zone zone DNS de ton domaine chez ton fournisseur de domaine, as-tu bien un enregistrement CNAME pour nas.trucmuche.org qui pointe vers trucmuche.org ?
    J'ai dans ma zone DNS une simple entrée A nas 14400 ip_de_mon_nas
           
  2. Pour situer les choses ton @IP externe est-elle fixe ou dynamique ?
    Si elle est dynamique, as-tu configuré un DynDNS chez ton fournisseur de domaine et le DDNS correspondant sur ton NAS ?
    Je suis fibré chez Free avec une IP Fixe
  3. Par ailleurs, ce qui est étonnant est le contenu de ton message d'erreur : "L'autorité de délivrance du pair n'est pas reconnue". Ce message est-il apparu après que tu ais ré importé la première fois le certificat à partir des fichiers de sauvegarde ou non ?
    Oui, mais le certificat qu'il s'affiche est bien celui de Synology, pas celui de nas.trucmuche.org
  4. Quand tu demandes les informations sur le certificat dans le navigateur (pour l'exemple ici Firefox + clic sur le cadenas à gauche de l'URL + connexion ... + plus d'informations), as-tu quelque chose qui ressemble à cela ? :
    firefox_20200926_11-54-18.jpg.839ee2422b52f93dddcaf7f3109544b1.jpg
    Le certificat est-il bien marqué vérifié par Let'sEncrypt ?
    Non justement, j'obtiens cela :

    1436310688_Capturedu2020-09-2713-21-53.png.f99d92b7a51988c0003173d199794505.png

    et quand j'affiche le certificat
  5. 1368036077_Capturedu2020-09-2713-30-04.thumb.png.8ff82e980e273f372427c73b83a3b08a.png
  6. Sinon, avant d'éventuellement pouvoir te proposer autre chose de bien plus "sioux" pour investiguer plus avant en "mettant alors les mains dans le cambouis" : sais-tu accéder par une session SSH sous root à ton NAS ET maîtrises-tu les lignes de commandes Shell ? Si tu ne sais pas, ce n'est pas grave, on continuera à chercher autrement sans passer par là.
    Etant Linuxien, je me débrouille vaguement en ligne commande, j'ai déja accèdé au NAS en console avec le mot de passe admin. Donc, je suis en mesure de passer quelques commandes

J'ajoute que j'ai demandé, et renouvelé un certificat depuis l'interface DSM pour nas.trucmuche.org, alors que j'ai par ailleurs un certificat général pour mon domaine trucmuche.org et quelques autre extensions. C'est pas problèmatique, ça ?

Au plaisir de te lire.

 

Lien vers le commentaire
Partager sur d’autres sites

@Dut Surleweb

Bonjour,

Ce n'est pas spécialement les habitudes sur le forum mais personnellement cela me convient très bien car cela à le mérite d'être clair.

  1. Bon, on va commencer par remettre de l'ordre dans ta zone DNS :
    a) Tu modifies ton enregistrement "A" pour que ce soit "trucmuche.org" et non pas "nas" qui pointe vers @IP_de_ton_NAS
    b) Tu ajoutes un enregistrement de type "CNAME" avec "nas.trucmuche.org" qui pointe vers "trucmuche.org" (laisses le "TTL" par défaut).

     
  2. Pour être sûr, précédemment lorsque tu as recréé un certificat Let'sEncrypt pour "trucmuche.org" tu as bien renseigné le champ "Autre nom de l'objet" avec "nas.trucmuche.org" ?
    Si ce n'est pas le cas, supprime ce certificat et recrées le ainsi : "Domaine" = "trucmuche.org", "Autre nom de l'objet" = "nas.trucmuche.org".
    Nota : Au préalable, les ports 80 et 443 doivent être transférés de ta box vers le NAS (via NAT/PAT) et ces même ports doivent être autorisés dans le pare-feu du NAS.
     

De cette façon, en tapant simplement "nas.trucmuche.org:5001" dans un navigateur tu devrais atteindre ton NAS sans alerte de sécurité.

Il y a 3 heures, Dut Surleweb a dit :

J'ajoute que j'ai demandé, et renouvelé un certificat depuis l'interface DSM pour nas.trucmuche.org, alors que j'ai par ailleurs un certificat général pour mon domaine trucmuche.org et quelques autre extensions. C'est pas problèmatique, ça ?

Tu peux préciser STP, c'est quoi ce "certificat général" et ces "quelques autres extensions" ? Je comprends un certificat pour "trucmuche.org" et des sous-domaines "xxxxx.trucmuche.org" ? J'ai bon ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7
Je doute que ma Zone DNS soit en cause, elle n'a pas bougé depuis des années, que j'accède au DSM sans soucis (autre que le certificat) et que c'est le premier renouvellement qui me pose problème.

Si je reviens en arrière, je me rends compte que j'avais tenté de faire deux certificats différents, suite à l'impossiblité de créer un certificat unique pour l'ensemble de mes sous domaines. J'avais un message de ce type pour le sous domaine nas. associé à mon Syno

Challenge_not_reachable.png.693011814176221222b401915d126b48.png

Or il se trouve que j'ai changé récemment mes disques durs de NAS et je constate que le serveur web utilisé par Syno est nginx (précédemment c'était apache il me semble).

Je n'ai pas de repertoire .well-known sur mon arborescence web.

J'ai suivi les conseils en pied de ce fil (https://community.synology.com/enu/forum/17/post/96812)

en créant les répertoires, je leur ai donné les user:group http:http , l'autorisation maximum à acme-challenge (777)

J'ai aussi ajouté dans le fichier /etc/nginx/nginx.conf

location ^~ /.well-known {
  allow all;
  auth_basic off;
  alias /volume1/web/.well-known/;
}

pour tenter que le répertoire soit accessible au challenge

Rien n'y a fait.

Est-ce que ces éléments sont de nature à changer ton analyse du problème. As-tu une suggestion pour devenir quitte de ce soucis ?

 

 

Lien vers le commentaire
Partager sur d’autres sites

@Dut Surleweb

Bonjour,

il y a 28 minutes, Dut Surleweb a dit :

Or il se trouve que j'ai changé récemment mes disques durs de NAS et je constate que le serveur web utilisé par Syno est nginx (précédemment c'était apache il me semble).

Tu le dis toi même, aussi je crains à mon humble avis que les manipulations suivantes que tu as faites à propos du répertoire ".well-known" aient été inutiles, voire même qu'elles risquent maintenant de perturber le système du NAS. Mais c'est toi qui maîtrise ton NAS ... J'ai recherché (peut-être mal) ce répertoire dans toute ma configuration mais je n'ai rien trouvé (la chaine "well-known" n'existe nul part sur mon NAS) d'où je reste assez dubitatif sur le bien fondé de cette solution.

il y a 41 minutes, Dut Surleweb a dit :

Je doute que ma Zone DNS soit en cause, elle n'a pas bougé depuis des années, que j'accède au DSM sans soucis

Tu as dis précédemment que dans ta zone DNS chez ton fournisseur de domaine que le seul enregistrement présent était : " nas  A   14400 @IP_de_mon_nas ". Aussi comme "nas" n'est pas un nom de domaine au format FQDN (Full Qualified Domain Name), peux-tu STP alors m'expliquer comment tu accèdes à DSM. Que tapes-tu exactement comme URL dans ton navigateur ? Je souhaiterai simplement comprendre ... Cela n'engage que moi, mais je crois que telle quel cela ne peut marcher (configuration DNS à mon sens anormale et non standard) d'où ma précédente préconisation de correction.

Tu n'as pas non plus répondu à ma question du point 2 ni d'ailleurs aux dernières. Libre à toi, mais alors tu comprendras aisément qu'il soit difficile de t'aider plus avant ...

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Je suis désolé d'abuser de ta patience de te fourvoyer à cause de mes imprécisions. J'ai ré-initialisé le DSM pour que mes différentes manip soient annulées et partir d'une version «saine».

Ce well-known, c'est un jeton que le service let's encrypt tente de poser sur le serveur web pour s'assurer qu'il est accessible. https://letsencrypt.org/fr/docs/challenge-types/

Concernant la zone DNS de mon trucmuche.org, elle contient de nombreuses entrées, dont je te mets quelques éléments significatifs en pièce jointe.1856879600_Capturedu2020-10-0117-36-15.thumb.png.33070607f950642b9e37ffbc88618481.png

J'accède à l'interface web DSM en tapant : https://nas.trucmuche.org:5001

Concernant l'autre question :

Citation

Pour être sûr, précédemment lorsque tu as recréé un certificat Let'sEncrypt pour "trucmuche.org" tu as bien renseigné le champ "Autre nom de l'objet" avec "nas.trucmuche.org" ?
Si ce n'est pas le cas, supprime ce certificat et recrées le ainsi : "Domaine" = "trucmuche.org", "Autre nom de l'objet" = "nas.trucmuche.org".
Nota : Au préalable, les ports 80 et 443 doivent être transférés de ta box vers le NAS (via NAT/PAT) et ces même ports doivent être autorisés dans le pare-feu du NAS.

J'ai créé le certificat let's encrypt depuis l'interface de gestion de mon hebergement (Direct admin). Nom principal : trucmuche.org, autres noms bla.trucmuche.org, bli.trucmuche.org, nas.trucmuche.org. C'est quand j'ajoute le nas.trucmuche que j'ai une erreur car le service lets encrypt me dit qu'il n'arrive pas à vérifier le jeton de challenge. (le site nas.trucmuche.org est pourtant bien accessible avec une page par défaut Hello Welcome to Synology)

Si je tente de créer le certificat via l'interface du NAS, avec tous les noms, il me donne :
«Echec de la connexion à Let's Encrypt: Assurez-vous que le domaine est valide»

les ports 80 et 443 de ma box pointent bien sur ma box en TCP

Je bute.

 


 

 

 

Lien vers le commentaire
Partager sur d’autres sites

@Dut Surleweb

Bonjour,

Tu n'abuses pas de ma patience, tu conviendras toutefois que sans réponse à mes questions, ce doit difficile pour moi de te donner des pistes de résolutions.

Cela dit :

Quelques remarques par rapport à ta zone DNS et son contenu :

  • Je vois une ligne "A   xxxxxxxx.org.  14400   xxx.yyy.zzz.53" : je comprends que c'est ton domaine trucmuche.org qui pointe vers ton @IP externe. Si c'est cela, c'est bien ! tu confirmes ?
  • Mais alors, les lignes "A   ftp/mail/pop/smtp    14400   xxx.yyy.zzz.53" ne devraient-elles pas être plutôt du style "CNAME     ftp/mail/pop/smtp.xxxxxxxx.org.    14400    xxxxxxxxx.org." ? En clair tu ne devrais avoir qu'une et une seule ligne de type "A" pointant sur ton @IP externe. Normalement pour gérer les sous-domaine on utilise plutôt des CNAME.
  • A quoi correspond la ligne "A   nas    14400   xxx.yyy.zzz.155" ? C'est ton NAS ?
    Si oui alors j'ai du mal à comprendre comment tu peux y accéder en tapant "nas.trucmuche.org:5001". J'aurais compris si tu avais eu une ligne du type "CNAME   nas.xxxxxxxx.org.    14400   xxxxxxxxx.org." (si toutefois ma première assertion est bonne !) mais là avec en plus une @IP (xxx.yyy.zzz.155) différente de ce que je suppose être ton @IP externe, j'ai du mal ...
  • il y a 34 minutes, Dut Surleweb a dit :

    le site nas.trucmuche.org est pourtant bien accessible avec une page par défaut Hello Welcome to Synology

    Cette page par défaut, tu parles bien de la page de login à DSM ?

Donc si tu pouvais STP éclaircir ces points.

il y a 36 minutes, Dut Surleweb a dit :

Si je tente de créer le certificat via l'interface du NAS, avec tous les noms, il me donne :
«Echec de la connexion à Let's Encrypt: Assurez-vous que le domaine est valide»

Là c'est normal d'avoir ce message car il ne trouve pas d'enregistrement CNAME pour nas.trucmuche.org dans ta zone DNS : c'est un peu beaucoup le pourquoi des remarques précédentes, tu me suis ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

L'adresse en .53 est celle de mon domaine déclaré chez mon hébergeur. L'adresse en 155 est mon IP fixe à mon domicile, là où se trouve le NAS.
Comme c'est une IP fixe, mon hébergeur précédent m'a indiqué de mettre des A et pas des CNAME. Je suis un garçon peu contrariant et je n'avais surtout pas d'argument contraire.

l'adresse nas.trucmuche.org affiche la page web par défaut , c'est accédé en port 80 et ça montre que le Syno sert bien des pages web et que le port est ouvert.

2127069064_Capturedu2020-10-0119-13-02.png.e3d995145fcca6030c3dfdae8e0133f7.png

OK, je vais tenter d'ajouter un CNAME, mais je me demande bien pourquoi cela s'avèrerait necessaire maintenant seulement.

OK. J'ai mis un CNAME à la place de A, sans amélioration.

Lien vers le commentaire
Partager sur d’autres sites

@Dut Surleweb

Bonjour,

il y a 51 minutes, Dut Surleweb a dit :

L'adresse en .53 est celle de mon domaine déclaré chez mon hébergeur. L'adresse en 155 est mon IP fixe à mon domicile, là où se trouve le NAS.

Là tu me déconcertes un peu (beaucoup) avec ces deux @IP.

Habituellement l'@IP externe est attribuée par le fournisseur d'accès Internet (FAI) et correspond à l'@IP de la Box/modem qui nous relie à l'Internet.

Ensuite lorsque l'on est "propriétaire" d'un nom de domaine comme toi pour trucmuche.org, chez le fournisseur de domaine dans la zone DNS du dit domaine on a un enregistrement "A" qui fait pointer le domaine en question vers l'@IP externe (celle de la Box) et des enregistrements CNAME pour chaque sous-domaine géré pointant eux vers le domaine.

Ni plus ni moins. Je ne parles pas ici des enregistrements supplémentaires liés aux boites mails hébergés chez le fournisseur de domaine, c'est un autre débat ...

Donc pour clarifier les choses dans le contexte ci-avant (je le répète, j'essaie de comprendre ton architecture exacte) :

  • l'@IP en .53, est-elle celle de ta box ou bien est-ce l'@IP en .155 celle de ta box ?
  • Par ailleurs, tu dis que "l'@IP en .155 est ton IP fixe à ton domicile" dans ce cas est-ce l'@IP locale fixe (dans ton réseau local en 192.168.x.x par ex) de ton NAS que tu as définie par un bail DHCP statique dans ta Box ? OUI/ NON ? Je joue sur les mots mais il convient ici d'appeler correctement un chat, un chat c'est important pour la compréhension, tu en conviendras aisément.

Maintenant, où cela ne va pas c'est :

il y a une heure, Dut Surleweb a dit :

l'adresse nas.trucmuche.org affiche la page web par défaut , c'est accédé en port 80 et ça montre que le Syno sert bien des pages web et que le port est ouvert.

Si en tapant nas.trucmuche.org tu atteints cette page Web, c'est justement que tu n'as pas atteint la bonne page (celle de login au NAS) et il te renvoie automatiquement vers cette page du serveur Web. Tu me suis ?

Dans l'attente de tes réponses.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Je confirme que j'ai un hébergement sur un serveur (chez Scaleway) à l'adresse en .53.
J'ai déclaré un sous domaine nas dans ma zone DNS pour pointer vers mon domicile(adresse en .155), et plus spécifiquement vers mon NAS (port80/5001/443) . le bail de mon NAS est statique et les redirections se font bien.

nas.trucmuche.org affiche la page web de mon webstation, car quand on omet le port, le navigateur prend 80: par défaut,
nas.trucmuche.org:5001  pointe vers le DSM et me permet toutes les manips

tout fonctionne correctement, à l'exception de cette maudite histoire de certificat.

Modifié par Dut Surleweb
Lien vers le commentaire
Partager sur d’autres sites

@Dut Surleweb

Bonjour,

J'ai été voir la doc de ton fournisseur de domaine (soit dit en passant, c'est loin d'être facile pour s'y retrouver, mais là n'est pas le problème) et je pense et maintiens que ta zone DNS est mal renseignée.

Relis attentivement la doc pour t'en convaincre. Cette mauvaise définition explique que Let'sEncrypt ne trouve pas le sous-domaine nas.trucmuche.org lors de sa vérification et donc qu'il ne crée pas le certificat en conséquences. D'ailleurs, cela doit être pareil pour les autre sous-domaines bla.trucmuche.org, bli.trucmuche.org que tu cites plus haut.

De fait, en regardant ta copie d'écran de cette zone DNS, je ne vois pas de définition explicite du sous-domaine nas.trucmuche.org pointant vers ton domaine trucmuche.org. Si effectivement xxx.yyy.zzz.155 est ton @IP externe (celle de ta Box) alors pour moi tu devrais avoir a minima ces deux lignes dans ta zone DNS chez Scaleway :

  • A   trucmuche.org.  14400   xxx.yyy.zzz.155
  • CNAME   nas.trucmuche.org.    14400   trucmuche.org.

La ligne existante A   nas  14400   xxx.yyy.zzz.155 n'est pas correcte sur tous les points aussi bien en syntaxe qu'en valeurs des champs ! et de fait à la vue de la doc Scaleway je ne comprends pas comment tu dis pouvoir atteindre ton nas en tapant nas.trucmuche.org:5001. Ce n'est pas clair du tout !

A mon humble avis, la balle est dans ton camp pour remettre en forme correctement ta zone DNS (relis attentivement la doc pour cela) car dans l'état cela ne peut marcher correctement. C'est juste mon avis. Mais c'est toi qui voit ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Alors oui, les deux lignes ci-dessus (en ayant préalablement oté la ligne évoquée non correcte)  ne changent pas apparemment le comportement (même message abrupt)

Par contre, après que j'aie fait cette manipulation sur le DNS, si je crée .well-known/acme-challenge dans mon arborescence web, à côté de index.html, j'obtiens un message d'échec plus engageant  :

1942427466_Capturedu2020-10-0211-52-48.png.4a4dbccae99badca3d728dfdbe3cea8f.png

J'ignore la nature de cette autorisation (droit sur un fichier, au niveau du serveur nginx?)

Je constate donc que Scaleway a un fonctionnement plus strict que WebAlternative concernant le challenge, et j'aurai bien ça en tête pour la suite. et qu'il est evident que je n'ai pas suffisamment lu le manuel.

 

 

Lien vers le commentaire
Partager sur d’autres sites

@Dut Surleweb

Bonjour,

Là je crois que tu vas trop vite en besogne si je puis dire.

Je te rappelle que après toutes modifications dans la zone DNS d'un domaine, il faut en général attendre 24h pour quelles soient effectives. C'est à dire qu'elles aient été prises en compte par tous les serveurs DNS du monde.

Tu peux suivre ce déploiement en interrogeant régulièrement avec ton nom de domaine le site https://www.whatsmydns.net .

Donc soit patient et attends pour relancer la demande de certificat. De plus, Let'sEncrypt limite à 5 par semaine ce nombre de demandes (honorées ou pas). Donc si tu dépasses 5, alors tu seras bloqué et tu devras attendre une semaine complète à compter de la dernière demande pour pouvoir en relancer une.

C'est comme cela que cela marche !

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.