oracle7 Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 @Jeff777 Bonjour, il y a 41 minutes, Jeff777 a dit : mais je dois bien être le seul à l'utiliser Je crains bien que OUI. Cela dit, n'y a-t-il pas moyen de faire en sorte que les serveurs LE viennent directement dans ta zone DNS publique pour faire leurs contrôles de validité du domaine plutôt que d'aller toi par script recopier les fichiers _acme-challenge_ndd.tlt chez toi ? Ne serait-ce pas plus simple ? Ce n'est qu'une hypothèse ... Maintenant, ton script de ce que j'en ai vu, ne fait qu'automatiser ce que je fais moi manuellement mais en utilsant la procédure manuelle acme au lieu du mode DNS d'acme. J'ai bon ? Et du coup, tes problèmes ne viendraient-ils pas de là ? Je me demande mais je peux me tromper. Cordialement oracle7😉 0 Citer
Jeff777 Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 il y a 33 minutes, oracle7 a dit : Cela dit, n'y a-t-il pas moyen de faire en sorte que les serveurs LE viennent directement dans ta zone DNS publique pour faire leurs contrôles de validité Et bien c'est bien ce qui se passe. Le script ne fait qu'utiliser la méthode manuelle (où tu dois enregistrer manuellement dans ta zone les TXT générés) en automatisant cette procédure. Je ne crois pas que le soucis de configuration VPN avec le certificat .pfx vienne de la façon dont le certificat est généré. C'est un pb de mot de passe mais je n'arrive pas à le résoudre. A ce propos, y a t'il des limitations dans le mot de passe a utiliser pour générer le .pxf et à quoi sert ce mot de passe s'il n'est pas utilisé par la suite ?? Le mot de passe demandé par Android pour extraire les certifificat doit-il être le même que ce dernier ? Tu me parle du mot de passe de l'utilisateur qui a généré le .pfx sous windows, pour moi il est différent ! 0 Citer
oracle7 Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 @Jeff777 Bonjour, il y a 29 minutes, Jeff777 a dit : A ce propos, y a t'il des limitations dans le mot de passe a utiliser pour générer le .pxf et à quoi sert ce mot de passe s'il n'est pas utilisé par la suite ?? Pour moi il n'y a pas de limitations sauf à respecter pour les caractères des lettres minuscules, majuscules et chiffres uniquement, la longueur n'a pas d'importance mais plus il est long mieux c'est pour la sécurité. Dans tous les cas il faut bannir les caractères dit spéciaux. Ce MdP de ce que j'en ai compris, mais je peux me tromper, sert à ouvrir la clé privée associée au certificat pour vérifier la concordance avec la clé publique ou quelque chose comme cela. il y a 33 minutes, Jeff777 a dit : Le mot de passe demandé par Android pour extraire les certifificat doit-il être le même que ce dernier ? Oui. il y a 34 minutes, Jeff777 a dit : Tu me parle du mot de passe de l'utilisateur qui a généré le .pfx sous windows, pour moi il est différent ! Bah voilà alors le problème. Utilises le même et je penses que cela ira tout de suite mieux. Cordialement oracle7😉 0 Citer
Jeff777 Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 (modifié) il y a 55 minutes, oracle7 a dit : Utilises le même et je penses que cela ira tout de suite mieux. Et bien non! Je suis désolé de te voir passer autant de temps sur mon pb ! Je résume comment je m'y suis pris si jamais tu voyais une grosse bêtise: Sur le PC utilisation de openssl (Win64OpenSSL_Light-3_0_0.exe) en mode administrateur. Je vais dans le dossier qui contient les certificats .pem j'utilise la commande : openssl pkcs12 -export -out mondomaine.pfx -inkey privkey.pem -in fullchain.pem -certfile cert Mot de passe demandé : je mets le MdP de la session actuelle de mon PC dont l'utilisateur fait partie du groupe admin. Le mot de passe de 9 caractères n'utilise que des lettres minuscules et chiffres. Le certificat mondomaine.pfx est bien généré dans le même dossier. Je le transfère sur ma tablette Android. Sur la tablette je lance Openvpn connect qui est configuré avec un profil qui marche très bien avec "continue" mais cette fois-ci j'essaie d'installer le certificat .pfx créé. Un mot de passe est demandé, je remet le même: Comme d'hab, Mot de passe erroné. Si je recrée le profil, il m'est demandé un utilisateur et mot de passe. J'utilise ceux du nas qui héberge VPN serveur. Le nom d'utilisateur est identique mais pas le mot de passe. Il ne faut pas qu'il soit aussi le même.......au point où on en est 🙄 Modifié le 17 novembre 2021 par Jeff777 0 Citer
oracle7 Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 @Jeff777 Bonjour, il y a une heure, Jeff777 a dit : openssl pkcs12 -export -out mondomaine.pfx -inkey privkey.pem -in fullchain.pem -certfile cert là déjà je crois que la syntaxe n'est pas bonne, cela devrait être : openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem il y a une heure, Jeff777 a dit : Mot de passe demandé : je mets le MdP de la session actuelle de mon PC là, moi je mets le MdP de l'utilisateur du NAS qui a créer le certificat et qui est aussi mon utilisateur courant du NAS. il y a une heure, Jeff777 a dit : Sur la tablette je lance Openvpn connect qui est configuré avec un profil qui marche très bien avec "continue" mais cette fois-ci j'essaie d'installer le certificat .pfx créé. Un mot de passe est demandé, je remet le même: Dans ce profil OpenVPN Connect, pour le mot de passe moi je mets le même qu'au point 2. il y a une heure, Jeff777 a dit : Si je recrée le profil, il m'est demandé un utilisateur et mot de passe. J'utilise ceux du nas qui héberge VPN serveur. Le nom d'utilisateur est identique mais pas le mot de passe. Là aussi, j'utilise l'utilisateur et son MdP qui a créer le certificat sur le NAS. En clair, tout au long de la chaîne, j'utilise le même Id d'utilisateur et le même MdP associé. Je ne suis pas sûr que tes changement de MdP même si tu reprends le même Id d'utilisateur, soit une bonne chose et donc que ce soit la source de ton problème. Pourquoi n'harmonises-tu pas ? Maintenant ce n'est que mon avis ... Cordialement oracle7😉 0 Citer
Jeff777 Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 (modifié) il y a 28 minutes, oracle7 a dit : là déjà je crois que la syntaxe n'est pas bonne, cela devrait être : En tout cas ça m'a fait un certificat. Je vais essayer ta méthode il y a 28 minutes, oracle7 a dit : là, moi je mets le MdP de l'utilisateur du NAS Et là j'ai des caractères spéciaux ! va falloir que je change tout!!!! Note que tu m'avais dit plus haut que c'était correct d'utiliser le mot de passe de l'utilisateur Windows qui générait le .pfx sauf que pour toi c'est le même mot de passe que l'utilisateur du nas qui a généré le certificat. 🤣 il y a 28 minutes, oracle7 a dit : Dans ce profil OpenVPN Connect, pour le mot de passe moi je mets le même qu'au point 2. comme tous tes mots de passe sont les mêmes je ne sais pas lequel je doit mettre ...à moins de faire comme toi ! Mais là c'est logique de se connecter à VPN serveur avec un utilisateur nas et son MdP. il y a 28 minutes, oracle7 a dit : Je ne suis pas sûr que tes changement de MdP même si tu reprends le même Id d'utilisateur, soit une bonne chose ça ne me semble pas anormal d'avoir un mot de passe différent sur mon nas, ma tablette et mon PC même si j'utilise le même nom d'utilisateur. Non ? Bon, si j'ai bien compris, comme il faut utiliser partout le mot de passe de l'utilisateur nas qui a créer le certificat et qu'il ne faut pas de caractères spéciaux, il ne me reste plus qu'à changer ce mot de passe et récréer le certificat du nas avant de créer mon .pfx. Gros boulot...je crois que je vais rester comme cela. Merci pour tous tes efforts @oracle7 Modifié le 17 novembre 2021 par Jeff777 0 Citer
CyberFr Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 Il y a 1 heure, Jeff777 a dit : Mot de passe demandé : je mets le MdP de la session actuelle de mon PC dont l'utilisateur fait partie du groupe admin. Le mot de passe de 9 caractères n'utilise que des lettres minuscules et chiffres. C'est justement là qu'est le problème comme l'a déjà souligné @oracle7. Et d'ailleurs dans les manips que j'ai décrites pour créer le certificat sur Mac (cf ci-dessus), c'est la même logique, j'utilise un mot de passe cohérent avec celui qui a permis de créer/renouveler le certificat Let's Encrypt. Parce que le NAS n'a pas accès aux comptes créés sous Windows pour vérifier si le mot de passe que tu indiques est valide. il y a 4 minutes, Jeff777 a dit : Bon, si j'ai bien compris, comme il faut utiliser partout le mot de passe de l'utilisateur nas qui a créer le certificat et qu'il ne faut pas de caractères spéciaux, il ne me reste plus qu'à changer ce mot de passe et récréer le certificat du nas avant de créer mon .pfx. Gros boulot...je crois que je vais rester comme cela. Mais non, c'est la dernière ligne droite, tu ne vas pas flancher si près du but 🙃 0 Citer
Jeff777 Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 il y a 6 minutes, CyberFr a dit : Mais non, c'est la dernière ligne droite, tu ne vas pas flancher si près du but Tu me connais bien ...😉 il y a 8 minutes, CyberFr a dit : Et d'ailleurs dans les manips que j'ai décrites pour créer le certificat sur Mac J'ai vu Mac alors je n'ai même pas regardé ....mais j'aurai peut-être dû ! 0 Citer
Jeff777 Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 @oracle7 @CyberFrJe viens de faire un nouvel essai en employant la commande que vous donnez et en utilisant partout le mot de passe de l'utilisateur NAS qui a créer le certificat LE. Même résultat ! Mot de passe erroné. Je vais m'octroyer une pause ... 0 Citer
CyberFr Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 C'est dingue ! Ça veut dire que ça se passe ailleurs. Tu as bien raison de faire une pose pour envisager le problème à tête reposée. 0 Citer
Jeff777 Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 il y a 4 minutes, CyberFr a dit : Ça veut dire que ça se passe ailleurs Peut-être parce que ce mot de passe à des caractères spéciaux ! 0 Citer
oracle7 Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 @Jeff777 Bonjour, A mon humble avis ne cherches pas plus loin ! Les caractères spéciaux sont à bannir ! Cà passe peut-être pour des systèmes tels que Windows, (Mac je sais pas) mais en tout cas pour un système basé sur UNIX/Linux comme DSM, c'est sûr que ce n'est pas bon. UNIX/Linux, sont aussi très sensibles à la casse notamment dans les Ids, le noms de fichiers, les commandes shell, etc ... Aller, encore un p'tit effort à tête reposée et cela ira bien ... Le jeu en vaut la chandelle, non ? Cordialement oracle7😉 0 Citer
Jeff777 Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 il y a 5 minutes, oracle7 a dit : Mac je sais pas) mais en tout cas pour un système basé sur UNIX/Linux comme DSM, c'est sûr que ce n'est pas bon. jusqu'à présent cela ne m'avait pas posé de problème. Même le déploiement du certificat sur les deux nas lors du renouvellement se passe bien malgré les deux mots de passe avec caractères spéciaux. J'hésite et je me demande si le jeu en vaut la chandelle car je ne vois pas trop le gain par rapport à utiliser Openvpn avec "continue" qui fonctionne très bien. 0 Citer
CyberFr Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 @Jeff777 as-tu pensé à exporter à nouveau la configuration de VPN Server à la suite au changement du mot de passe de DSM pour l'intégrer dans ton fichier de config d'OpenVPN ? 0 Citer
Jeff777 Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 il y a 4 minutes, CyberFr a dit : as-tu pensé à exporter à nouveau la configuration de VPN Server à la suite au changement du mot de passe de DSM Pour l'instant j'hésite. Je n'ai pas changé mon mot de passe. Mais oui ce serait à faire...tu fais bien de me le rappeler 😉 0 Citer
Jeff777 Posté(e) le 18 novembre 2021 Posté(e) le 18 novembre 2021 (modifié) @oracle7 @CyberFr Hello world ! Voilà ce que dit Synology dans son aide : Appuyez sur CONTINUER dans le message contextuel pour poursuivre la connexion. Vous n'avez pas besoin d'importer manuellement un certificat à cette étape car le certificat client a été inclus dans le fichier de configuration. Alors pourquoi se casser la tête pour importer ce fichu fichier .pfx?? Et pour retirer le message d'erreur il faut mettre dans la config: setenv CLIENT_CERT 0 j'ai aussi vu client-cert-not-required Edit j'ai testé les deux options, les 2 fonctionnent. Modifié le 18 novembre 2021 par Jeff777 0 Citer
.Shad. Posté(e) le 18 novembre 2021 Posté(e) le 18 novembre 2021 (modifié) Oui dans le fichier ovpn exporté se trouvent le ca et le ca-bundle. OpenVPN râle parce qu'il n'a pas de certificat extérieur, mais la connexion est tout aussi sécurisée ainsi. Modifié le 18 novembre 2021 par .Shad. 2 Citer
CyberFr Posté(e) le 18 novembre 2021 Posté(e) le 18 novembre 2021 Bonjour @.Shad., Il y a 1 heure, .Shad. a dit : Oui dans le fichier ovpn exporté se trouvent le ca et le ca-bundle. OpenVPN râle parce qu'il n'a pas de certificat extérieur, mais la connexion est tout aussi sécurisée ainsi. Et donc Jeff et moi, on s'est ch*er pour rien 🙃 1 Citer
.Shad. Posté(e) le 18 novembre 2021 Posté(e) le 18 novembre 2021 @CyberFr Meuh non, vous n'avez plus de rouge dans les logs, ça vaut tout l'or du monde. 🤪 0 Citer
Jeff777 Posté(e) le 18 novembre 2021 Posté(e) le 18 novembre 2021 ça évitera peut-être aussi à d'autres de perdre du temps. Maintenant je passe aux connexions VPN avec IPV6 c'est pas triste.😅 0 Citer
CyberFr Posté(e) le 18 novembre 2021 Posté(e) le 18 novembre 2021 il y a 14 minutes, .Shad. a dit : Meuh non, vous n'avez plus de rouge dans les logs, ça vaut tout l'or du monde @.Shad., tu as raté ta vocation, tu aurais dû être diplomate... 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.