Aller au contenu

Problèmes d'accès distant... certificat SSL suite MAJ vers DSM 7


Messages recommandés

il y a 7 minutes, Mic13710 a dit :

un seul suffit. ndd.fr, *.ndd.fr, tartanpion.ndd.fr, *.tartanpion.ndd.fr

Ah oui je n'étais pas sûr de 3 niveaux sur le même certificat.

il y a 4 minutes, byothe a dit :

mais applications sont accessibles à nas.tartanpion.fr/video (pour DS Video par exemple) pour sonarr c'est nas.tartanpion.fr:8989

oui dans ce cas ça devrait marcher.

Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, Jeff777 a dit :

Pour moi que ce soit ton site ndd.fr ou bien Videostation avec nas.ndd.fr/video  il n'y a aucun problème. En https avec un certificat valide Let'sEncrypt.

Je pense que le problème vient du réseau de ton entreprise.

merci d'avoir eu la patience de tester 😉 

je suis quand même étonné que mon site wordpress ne passe pas au bureau car il n'a pas de raison de bloquer...

Modifié par byothe
Lien vers le commentaire
Partager sur d’autres sites

Il y a 6 heures, Mic13710 a dit :

un seul suffit. ndd.fr, *.ndd.fr, tartanpion.ndd.fr, *.tartanpion.ndd.fr

Bonjour,

C'est indiquer dans l'aide que *.ndd.fr est seulement valable avec le DDNS Synology. Ça fonctionne avec n'importe quel nom de domaine?

Citation

Nom alternatif du sujet : pour autoriser un certificat à couvrir plusieurs domaines, saisissez ici les autres noms de domaine. Vous pouvez également déposer une demande de certificat générique en saisissant les noms de domaine du service Synology DDNS au format suivant :
*.NOM_DE_DOMAINE_SYNOLOGY_DDNS

 

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, maxou56 a dit :

C'est indiquer dans l'aide que *.ndd.fr est seulement valable avec le DDNS Synology. Ça fonctionne avec n'importe quel nom de domaine?

Bonjour, oui je pense...en tout cas ça fonctionne avec mon domaine OVH 😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 13 minutes, maxou56 a dit :

c'est réservé au DDNS synology.

Avoir directement un *.ndd.tld est réservé au DDNS synology.

Pour avoir un certificat générique avec son propre non de domaine :

Avec Docker : [TUTO] Certificat Let's Encrypt avec acme .sh & api Ovh en Docker (DSM6/7) (Update 18/06/21)

Sans Docker : [TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"

Lien vers le commentaire
Partager sur d’autres sites

il y a 38 minutes, maxou56 a dit :

Comment tu le configures (sans faire un certificat wildcard)? Chez moi c'est refusé *.ndd.fr, et il y a un message indiquant que c'est réservé au DDNS synology.

 

Comme l'a dit @Kramlech, le wildcard est uniquement réservé aux adresses Synology si on passe par DSM (mode HTTP-02). Aucun problème lorsqu'on passe par la méthode acme.sh (mode DNS-02), que ce soit par docker ou par ssh.

Ainsi, dès lors qu'on parle de wildcard sur un ndd autre que Synology, le certificat est obligatoirement généré par une méthode externe à DSM en mode DNS-02

Lien vers le commentaire
Partager sur d’autres sites

il y a 47 minutes, maxou56 a dit :

Comment tu le configures (sans faire un certificat wildcard)? Chez moi c'est refusé *.ndd.fr, et il y a un message indiquant que c'est réservé au DDNS synology.

Ah j'ai eu peur car je viens de voir ça dans DSM6 et DSM7 😅 Mais oui j'utilise la méthode acme comme dit @Kramlech

Lien vers le commentaire
Partager sur d’autres sites

il y a 14 minutes, Mic13710 a dit :

Comme l'a dit @Kramlech, le wildcard est uniquement réservé aux adresses Synology si on passe par DSM (mode HTTP-02). Aucun problème lorsqu'on passe par la méthode acme.sh (mode DNS-02), que ce soit par docker ou par ssh.

Oui c'était bien ce qui me semblais que c'était uniquement pour le DDNS de Synology via DSM.

Mais comme les messages parlaient de *.nnd.fr sans évoquer le "wilcard". Je préférais confirmer.

Car la discussion si quelqu'un tombe dessus n'était pas forcément très claire 😅.

Il y a 7 heures, Mic13710 a dit :

un seul suffit. ndd.fr, *.ndd.fr, tartanpion.ndd.fr, *.tartanpion.ndd.fr

Il y a 7 heures, Jeff777 a dit :

Ah oui je n'étais pas sûr de 3 niveaux sur le même certificat.

il y a une heure, maxou56 a dit :

*.ndd.fr est seulement valable avec le DDNS Synology

il y a une heure, Jeff777 a dit :

en tout cas ça fonctionne avec mon domaine OVH 😉

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

il y a 14 minutes, maxou56 a dit :

Car la discussion si quelqu'un tombe dessus n'était pas forcément très claire

Tu as raison. En relisant tout le fil, je ne suis finalement pas sûr que @byothe ait émis un certificat via acme.sh, et encore moins s'il a un wildcard.

Donc pour clarifier pour @Jeff777, on peut très bien faire un certificat sur plusieurs niveaux via DSM. Il faut dans ce cas renseigner tous les noms dans le SAN.

Donc, un certificat couvrant ndd.fr, nas.ndd.fr, tartenpion.nas.ndd.fr est tout à fait possible. Il faut simplement que tous les ndd du SAN soient existants dans la zone publique et puissent être résolus, peu importe que la zone comporte des noms en dur et/ou des wildcards.

Ceci étant dit, même si elle exige un certain niveau de maitrise, la méthode acme.sh est tout de même préférable, ne serait-ce que par le fait qu'il n'y a aucune ouverture de port à faire dans le parefeu et le routeur pour les renouvellements.

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777 @maxou56 @byothe Pour information :

Je viens de créer un certificat LE sur 3 niveaux et je viens ici signaler une erreur dans ce que j'ai écrit précédemment.

Le 25/11/2021 à 11:09, Mic13710 a dit :

un seul suffit. ndd.fr, *.ndd.fr, tartanpion.ndd.fr, *.tartanpion.ndd.fr

A partir du moment où il y a un ndd en wildcard, on ne peut pas ajouter dans la même demande un ndd en dur qui est déjà couvert par le wildcard sinon il y a une erreur de ce type :

Create new order error. Le_OrderFinalize not found. {
  "type": "urn:ietf:params:acme:error:malformed",
  "detail": "Error creating new order :: Domain name \"tartanpion.ndd.fr\" is redundant with a wildcard domain in the same request. Remove one or the other from the certificate request.",
  "status": 400

En supprimant tartanpion.ndd.fr du SAN, le certificat se crée sans problème.

Lien vers le commentaire
Partager sur d’autres sites

il y a 9 minutes, Mic13710 a dit :

En supprimant tartanpion.ndd.fr du SAN, le certificat se crée sans problème.

Merci ça pourrait me servir 😉. Mais @byothe ton problème est-il résolu ?? Et si oui, de quelle manière?

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a 59 minutes, Jeff777 a dit :

Merci ça pourrait me servir 😉. Mais @byothe ton problème est-il résolu ?? Et si oui, de quelle manière?

salut... en fait j'ai du mal à savoir si le problème provient de mon certificat ou si c'est les règles de sécurité au bureau qui fichent le bazar... 

le point qui m'étonne, c'est de ne pas avoir accès au blog qui est sur le nom de domaine principal depuis le bureau...

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, byothe a dit :

c'est de ne pas avoir accès au blog qui est sur le nom de domaine principal depuis le bureau...

Comme j'y avais accès de chez moi, cela vient forcément du paramétrage de ta boîte. C'est plutôt chez eux qu'il faut chercher, ça doit dépendre de leur politique interne non?

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.