Aller au contenu

Certificat let's encrypt


Messages recommandés

Bonjour à tous,

 

Je viens d'acquérir mon propre non de domaine sur OVH, est me voila bloqué pour recréer un certificat let's encrypt avec mon nouveau non de domaine.

Quand je valide mon certificat, voici le message d'erreur :

 

image.png.1dd9599f02e70de4146c16ff2bb7adbd.png

 

J'ai bien ouvert dans le pare-feu le port 80 vers les Etats-Unis.

 

image.png.67814a36ee7cde063ebf5f2da1f2fc20.png

 

Auriez-vous une solution à m'apporter ?

 

Merci d'avance

 

Anthotho 🙃

 

 

Lien vers le commentaire
Partager sur d’autres sites

@Anthotho

Bonjour,

il y a 7 minutes, Anthotho a dit :

Petite question faut-il obligatoirement mettre un sous domaine dans la section DynHost ?

Non, en plus le champ n'est pas obligatoire !

  1. Si tu laisses vide ce champ, alors ton DynHOST  sera tout simplement du type "MonDomaine.tld" qui pointera sur ton @IPexterne. Donc, à l'usage tes sous-domaines seront du type "sousDomaine.MonDomaine.tld".--> par ex : "fichier.ndd.tld", "monNAS.ndd.tld". Au final tu auras bien la correspondance entre ton domaine "MonDomaine.tld" et ton @IPexterne.
     
  2. Par contre si tu renseignes un "sous-domaine" ton DynHost sera du type "sousDomaine.MonDomaine.tld" (ce qui ne sera pas du tout la même racine) avec la conséquence que lorsque tu voudras utiliser des "sous-domaines" ils seront alors forcément du type "sousDomaine.sousDomaine.MonDomaine.tld". Ce qui est bien plus long à saisir à l'usage. --> Soit par exemple : "fichier.sousndd.ndd.tld", "monNAS.sousndd.ndd.tld". Au final, tu n'auras pas la correspondance entre ton domaine "MonDomaine.tld" et ton @IPexterne car ce sera le domaine "sousDomaine.MonDomaine.tld" qui seul pointera sur ton @IPexterne. Tu me suis ?

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

Merci @oracle7 pour ta réponse 🙂

Mais la plus rien ne fonctionne.. 😅

J'ai plus accès a mes sous domaine, video.ndd, fichier.ndd ect..

J'ai tous supprimé sur OVH , et la je n'arrive plus à créer un Dynhost, si je mets pas de sous-domaine il me l'accepte pas.

 

image.png.97ef9069fe8ba69e9194aa2580b7ee0f.png

 

image.thumb.png.d4d18c29bd955bc2e701e375ea16060c.png

L'ajout d'un DDNS sur mon NAS ne fonctionne plus aussi.

 

image.png.f678dddf291e2a1e215adc50692fdf62.png

 

Help s'il vous plait 😬

Lien vers le commentaire
Partager sur d’autres sites

@Anthotho

Bonjour,

Ne t'intièques pas , on va reprendre :

  1. Si tu ne supprimes pas le DynHost précédemment créé, il est normal que tu ne puisses en créer un nouveau sur ton domaine. Donc, supprimes le.
    iLlKLoo.png
     
  2. Ensuite tu recrées ton DynHost (voir le TUTO ici).
    1. Dans le premier écran (Create a DynHost username) de l'étape 1, tu saisis notamment un "subdomain" (tu n'as pas le choix le champ est obligatoire) sachant qu'il n'a rien à voir avec celui de l'étape 2 (c'est juste une même appelation de champs).
       
    2. Dans le second écran (Create a DynHost) de l'étape 2, pour le champ "subdomain" (qui est non obligatoire) tu ne saisis rien (ou bien essaies simplement en saisissant une " * ").
      Normalement, tu devrais retomber sur quelque chose qui ressemble à l'image ci-dessus. avec ton domaine "ndd.tld" qui pointe vers ton @IPexterne (celle de ta box).
       
  3. Ensuite dans ta zone DNS, tu crées un enregistrement de type CNAME tel que : " *.ndd.tld.   0    CNAME   ndd.tld. " (ne pas oublier les " . " à la fin des ndd.tld. Cela te permettra de créer/utiliser autant de "sous-domaines" que tu auras besoins au niveau du NAS.

    Maintenant sur le NAS
  4. Dans Accès externe / DDNS tu dois avoir quelque chose du genre :
    2F7GcaV.png
    où "suffixe" = ce que tu as mis dans l'écran du point 2.1 ci-dessus.
    Puis fais un test de connexion : ton @IPexterne devrait s'afficher et avec le Statut "Normal" en vert si tout est OK.
     

Et là tout sera clair coté DDNS.

Cordialement

oracle7😉

 

 

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Voici ce que j'ai fais :

 

1) Créer un identifiant 

image.thumb.png.4175ceee8b558ef7c57ad458f148ddf3.png

 

2) Ajouter un Dynhost :

Impossible de créer un Dynhost sans sous-domaine..

J'ai donc créer avec un sous domaine, exemple "monnas", une fois ajouté -> j'ai fais modifier, -> supprimer le sous domaine -> enregistré ->  et la ça la bien pris en compte .

Je me retrouve donc avec .ndd.ovh

Ma cible correspond bien à mon adresse IP 

image.thumb.png.cea16e8fecf1f23a185c6f9c940b67c5.png

 

 

3) Par contre dans la zone DMS ce n'est pas clair pour moi 😕 

il y a 45 minutes, oracle7 a dit :

" *.ndd.tld.   0    CNAME   ndd.tld. "

Pourquoi une * au début ? 

Impossible de mettre un 0

Dans sous-domaine le "." à la fin n'est pas accepté. 

 

image.png.e5ca0c92e3d62075f040c97e7d6ca130.png

 

Merci à toi 🙂

 

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

@Anthotho

Bonjour,

il y a 14 minutes, Anthotho a dit :

Je me retrouve donc avec .ndd.ovh

Bah, voilà tu y es arrivé ... 🤗 C'est pas mieux comme cela ?

Dans l'écran "Modifier une entrée de la zone DNS" tu saisis :

  • Pour "Sous-domaine" : tu saisis simplement une " * " (le ". " sera automatiquement mis à la fin, ce qui donne --> " *.ndd.ovh. "
  • Pour "TTL" tu laisses "Par défaut" cela le mettra automatiquement  la valeur " 0 "
  • Pour "Cible" : tu saisis " TonDomaine.ovh. " (avec le " . " à la fin !)

Pourquoi une " * " pour le sous-domaine :  " * " se dit "wilcard" et cela remplace n'importe quel nom de sous-domaine. Donc cela t'évite d'avoir à créer une ligne de type CNAME pour chacun de tous les sous-domaines que tu utilises. 1 ligne au lieu de XXX, c'est quand même plus simple et plus léger qu'une longue liste, non ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@Anthotho

Bonjour,

Le message est pourtant clair, tu as bien saisi ton ndd.ovh pour le nom d'hôte ?

Peut-être qu'un coup de ménage est aussi à faire sur ton compte synology. https://account.synology.com/fr-fr/overview pour s'assurer qu'il n'a pas en mémoire autre chose.

Dans ce cas sur ton compte Synolmogy pour ton NAS qui doit être référencé normalement (sinon il te faut l'ajouter), déconnectes le DDNS enregistré voire supprimes le (menu 2 points verticaux à droite). Attention tu peux aussi en avoir un pour un DDNS sur un domaine en xxxx.synology.me. Dans ce cas ne supprimes pas ce dernier.

Puis relance le test de connexion depuis DSM. A ce niveau, vérifies que l'@IP externe renseigné&e est bien la même que celle déclarée pour le DynDNS chez OVH.

EDIT : je viens de voir ta réponse. Du coup, dans DSM supprimes carrément le DDNS sur OVH et recrées le.

Cordialement

oracle7😉

 

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

il y a 22 minutes, oracle7 a dit :

DDNS sur OVH et recrées le.

Le DDNS sur OVH ? ou sur synology ?

@oracle7

Je viens de tout refaire depuis le début ! j'ai même redémarré mon NAS.

Et j'ai enfin j'ai la connexion 👍 😃

image.png.9a107596e8ca663fd543e8f894e3b247.png

 

Je vais maintenant essayer de créer le Certificat let's encrypt

 

Merci beaucoup !

 

Modifié par Anthotho
Lien vers le commentaire
Partager sur d’autres sites

@Anthotho

Bonjour,

C'est souvent une action nécessaire et radicale (bonne initiative de ta part ! 🤗) car à force de configurer des choses dans tous les sens (et pas que des bonnes) on fini par empilé tout un tas de problèmes qui se masquent plus ou moins les uns les autres que cela fini par devenir inextricable.

Bonne continuation pour la suite.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Avec tous ces problèmes de DDNS je me suis un peut écarté de mon post initial😅  "Certificat let's encrypt" 

Quand j'essaie de créer mon certificat, j'ai ce message d'erreur

image.png.8594ecc9157370d5bd0f1c13ddfa4639.png

 

Voici mes paramètres, (ça m'a l'air d'être bien mais ça fonctionne pas..)

 

image.png.eac7dac66be7f6bbe4fecf2bd7aaca2a.png

 

image.thumb.png.9b9c450c0f9a198e9ab3624f6f94aa27.png

 

Serais tu d'où cela pourrais venir ? 

Lien vers le commentaire
Partager sur d’autres sites

@Anthotho

Bonjour,

Ton pare-feu et ton reverse proxy me semblent corrects. Juste dans le pare-feu, ton réseau local est bien en 192.168.0.0 et pas 192.168.1.0 par hasard ?

A ce propos je ne penses pas que tu ais à gérer plus de 65534 machines/@IP sur ton sous réseau local alors pour sécuriser un peu plus, réduis son masque à 255.255.255.0 au lieu de 255.255.0.0 cela te fera 254 machines donc @IP possibles ce qui est déjà pas mal, non ?

Sinon, je t'invites à suivre mon TUTO pour le certificat LE car là sauf erreur de ma part tu sembles vouloir utiliser/passer par DSM qui est plutôt fait pour les domaines en xxx.synology.me. Pour un domaine personnalisé comme le tien il faut faire autrement. Pour être complet dans le conseil, si tu maîtrises l'application "docker" sur le NAS, tu as aussi ce TUTO.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

il y a 12 minutes, oracle7 a dit :

réduis son masque à 255.255.255.0

Merci pour l'info je viens de faire la modification 🙂

Donc si je comprend bien, je ne peux pas demander un certificat LE avec un nom de domaine OVH ?? C'est pour ça que j'ai ce message d'erreur ?

Merci pour ton TUTO, (Super complet ! je sais pas si avec le peu de connaissances que j'ai, je vais réussir à aller jusqu'au bout 😅)

Lien vers le commentaire
Partager sur d’autres sites

@Anthotho

Bonjour,

Il y a 13 heures, Anthotho a dit :

C'est pour ça que j'ai ce message d'erreur ?

Sauf erreur de ma part, je crains bien que oui.

Il y a 13 heures, Anthotho a dit :

je sais pas si avec le peu de connaissances que j'ai, je vais réussir à aller jusqu'au bout

Du moment que tu sais te connecter en SSH au NAS et que tu suis les indications pour les commandes à exécuter, cela devrait le faire, tu n'est pas plus bête qu'un autre ...

Il te faut toutefois être très attentif à ce que tu tapes et bien faire attention aux C/C qui peuvent être problématiques dans leur résultats surtout si tu captures des caractères invisibles (blancs, fin de lignes, etc ..) qui perturbent le système ensuite. Donc soit rigoureux et attentif et tout ira bien. Enfin, ne passes à une étape suivante que lorsque tu as bien compris ce que tu faisais lors de l'étape courante.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Il y a 15 heures, oracle7 a dit :

tu sembles vouloir utiliser/passer par DSM qui est plutôt fait pour les domaines en xxx.synology.me.

 

Il y a 14 heures, Anthotho a dit :

Donc si je comprend bien, je ne peux pas demander un certificat LE avec un nom de domaine OVH ??

Alors là, les bras m'en tombent.

Bien sûr qu'on peut très bien demander via DSM un certificat LE pour OVH ou autre fournisseur !

La demande via DSM n'accepte pas le wildcard (qui n'est dispo que pour synology.me), mais rien ne nous empêche de créer un (ou plusieurs) certificats dans lequel les ndd sont inscrits en dur dans "autres noms" du certificat. Il faut pour cela que les domaines demandés dans "autres noms" soient inscrits en dur dans la zone DNS car si un seul nom n'existe pas ou est mal orthographié, la demande sera rejetée.

Le wildcard est bien entendu plus facile, mais c'est une porte grande ouverte qui demande plus de rigueur du côté du reverse proxy pour ne pas ouvrir à tout le net des domaines qu'on ne souhaite réserver que pour un usage privé.

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

D'accord très bien, si je n'arrive vraiment pas à demander un certificat LE via DSM, je suivrais ton TUTO 😉

 

@Mic13710

Ce qui est bizarre, j'ai essayé de créer le certificat LE, juste avec mon ndd (qui est bien référencé dans la zone DNS de OVH), sans les sous domaine et j'ai toujours le message d'erreur :

 

image.thumb.png.2068f38f375bf4ce0c2bfecb92d3d7cc.png

 

image.png.2c603986babde28f2344e30a5c4ae67a.png

Lien vers le commentaire
Partager sur d’autres sites

@Mic13710Bonjour,

Ok je me suis mal exprimé. Merci d'avoir relevé la chose.

Comme pour moi il est évident qu'il faut créer un certificat pour un domaine avec son wilcard pour éviter (entre autres) dans DSM d'être limité au niveau de la zone "Autre nom de l'objet" en citant tous les "sous-domaines" dont on a besoin. En effet, à mon sens on atteint très vite pour la chaine ainsi constituée, la limite des 255 caractères imposée par Synology.

De plus, la création d'un wilcard évite avantageusement d'avoir à compléter la zone DNS chez le fournisseur de domaine à chaque fois qu'on a besoin de gérer un nouveau "sous-domaine".

J'ai donc voulu dire qu'avec une demande de certificat dans DSM ce n'était pas possible de déclarer un wilcard pour un domaine tiers et que l'on ne pouvait le faire qu'avec un domaine en xxx.synology.me. C'est tout.

Donc @Anthotho désolé si mon assertion incomplète (ma pensée a été plus rapide que ma main à l'écrire), a pu te perturber.

@Anthotho Chez OVH comme tu as une @IP externe dynamique et que par conséquent tu as défini un DynDNS alors dans la zone DNS il faut supprimer l'enregistrement de type A qui fait pointer ton domaine sur ton @IPexterne (vu qu'il semble exister à la vue ta copie d'écran précédente) car cet enregistrement vient en conflit si je puis dire, avec la définition de DynDNS par ailleurs.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7 Aucun soucis, de toute façon heureusement que vous êtes la sinon j'y serais pas arrivé..

Donc je viens de supprimer l'enregistrement de type A dans la zone DNS chez OVH, j'ai demandé un certificat juste avec mon nnd, et ça fonctionne ! 👍

Par contre avec les sous domaine ça ne fonctionne pas. Donc d'après vos explications il faut que j'ajoute chaque sous domaine chez OVH (si j'ai bien compris), mais il faut que je l'ajoute dans la zone DNS type CNAME ? ou dans la partie DynHost ?

 

Merci à vous 🙂

Lien vers le commentaire
Partager sur d’autres sites

@Anthotho

Bonjour,

il y a 26 minutes, Anthotho a dit :

j'ai demandé un certificat juste avec mon nnd, et ça fonctionne ! 

Parfait, tu avances ! 👍😀

il y a 26 minutes, Anthotho a dit :

Par contre avec les sous domaine ça ne fonctionne pas. Donc d'après vos explications il faut que j'ajoute chaque sous domaine chez OVH (si j'ai bien compris), mais il faut que je l'ajoute dans la zone DNS type CNAME ? ou dans la partie DynHost ?

Il te faut simplement ajouter un enregistrement de type CNAME avec un wilcard qui pointe sur ton domaine dans la zone DNZ OVH, càd au final quelque chose comme cela :

*.ndd.tld.   0   CNAME   ndd.tld.

(Voir le point 3 d'une de mes réponses précédentes lorsqu'on a repris la configuration du DynHost).

N'oublies pas que les mises à jour de domaine chez OVH prennent jusqu'à 24h pour se répliquer sur tous les serveurs DNS du monde. Donc, ne t'étonnes pas si cela ne semble pas marcher immédiatement. Tu peux suivre cette diffusion en entrant ton domaine sur ce site https://www.whatsmydns.net

Attention tu ne verras rien pour le type CNAME, c'est normal. Essaies pour voir, les autres types dans le popup.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

 

il y a 4 minutes, oracle7 a dit :

(Voir le point 3 d'une de mes réponses précédentes lorsqu'on a repris la configuration du DynHost).

Je l'avais bien enregistré hier dans la zone DNS

Comme tu dis, ça n'a pas du le prendre encore en compte alors..

image.thumb.png.76163d8c141415e815ef08d02904c657.png

 

Effectivement sur https://www.whatsmydns.net le type CNAME son tous avec une croix, mais pour pour d'autre, "validé"

 

Je vais donc attendre ce soir au demain pour redemander un certificat avec les sous domaines 😉

 

Anthotho 🙃

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.