Darkangel Posté(e) le 5 février 2022 Posté(e) le 5 février 2022 Bonjour à tous, j'espère être sur le bon forum et m'en excuse si ce n'est pas le cas. j'avais déjà installé une machine virtuelle sur mon nas synology ds918+ configuré avec un proxy inversé et un certificat let's encrypt (tout fonctionnel mais reverse proxy redirigé vers ip) mais ce ne semble pas fonctionner pareil pour un docker... Aussi j'aurais besoin dune âme charitable pour savoir ce je ne fais pas bien j'ai donc créer un conteneur pour bitwarden sur le docker et attribué des ports j'ai par ailleurs configuré le reverse proxy (j'ai juste effacé mon nom de domaine) j'ai également bien ajouté le port 843 sur mon routeur pointé vers l'adresse de mon serveur (j'ai rien mis pour le port 89...) et enfin dans les certificats et plus précisément celui de letsencrypt je retrouve mon nom de domaine xxxxx pointant vers mon domaine (mais ici je trouve bizarre que c'est xxxx.synology.me avec à la fin : le port sauf que je voila je peux me connecter et je suis bien redirigé vers bitwarden mais le navigateur m'indique que ce n'est pas sécurisé pourtant quand je clic sur l'Astérix rouge et qu'après je clic sur certificat non valide et chemin d'accès de certificat j'ai donc en gros je me connecte c'est a priori sécurisé mais sans l'être donc une idée svp??? car je ne suis pas rassuré de l'utiliser en l'état Merci à vous et bonne journée 0 Citer
MilesTEG1 Posté(e) le 5 février 2022 Posté(e) le 5 février 2022 Hello , je n’utilise pas Bitwarden sur mon nas mais Vaultwarden. si tu veux essayer cette version plus légère, j’ai fait un tuto par ici : https://www.forum-nas.fr/threads/tuto-installer-vaultwarden-avec-une-sauvegarde-automatique-de-la-base-de-données.15341/ 0 Citer
Jeff777 Posté(e) le 5 février 2022 Posté(e) le 5 février 2022 Bonjour, Il y a 2 heures, Darkangel a dit : j'ai par ailleurs configuré le reverse proxy As-tu créé une websocket dans l'onglet "entête personnalisé" ? 0 Citer
Darkangel Posté(e) le 5 février 2022 Auteur Posté(e) le 5 février 2022 (modifié) Bonjour @Jeff777 non je n'ai rien déclaré dans entête merci @MilesTEG1je vais regarder @MilesTEG1pour info j'ai supprimé bitwarden et instalé vaultwarden mais j'ai exactement le même soucis de certificat non reconnu .. Modifié le 5 février 2022 par Darkangel 0 Citer
Darkangel Posté(e) le 7 février 2022 Auteur Posté(e) le 7 février 2022 Personne pour m'éclairer svp? 0 Citer
MilesTEG1 Posté(e) le 7 février 2022 Posté(e) le 7 février 2022 @Darkangel C'est quoi qui te dit que le certificat n'est pas reconnu ? Tu l'as fait comment ton certificat ? Normalement si tu le fais via DSM, et que tu mets bien le nom de domaine associé dans le reverse proxy, tu n'as pas de problème... 0 Citer
Darkangel Posté(e) le 7 février 2022 Auteur Posté(e) le 7 février 2022 (modifié) Bonjour, si je charge le nom de domaine via mon iphone ou navigateur Google sur ordi et bah ça affiche non sécurisé alors que le certificat est valide (lets encrypt) alors que pour ma machine virtuelle ca fonctionne nickel via ce même certificat mais je trouve bizarre qu’au nom de domaine le port doit être rajoute mais il est vrai que pour ma machine virtuelle je passe par une ip dédiée J’ai exactement le meme soucis qu’avec bitwarden intial. j’ai changé le port en 856 / changé sur le routeur mais rien n’y fait. Voir premier post explicatif à avec imprim écran. mais question bête à tout hasard faut il un certificat par domaine? Ou un seul certificat peut il être bien utilisé pour plusieurs sous domaine comme ici Modifié le 7 février 2022 par Darkangel 0 Citer
Jeff777 Posté(e) le 7 février 2022 Posté(e) le 7 février 2022 (modifié) @Darkangel Bonsoir Un certificat peut couvrir un domaine ndd et des domaines tartanpionX.ndd mais il faut que tartanpion1.ndd, tartanpion2.ndd etc soient déclarés comme autre noms au moment de la création du Certificat. Tu peux aussi créer un certificat pour ndd et un autre pour tartanpion1 et tartanpion2.ndd ou un certificat pour chacun. Il existe aussi la "wildcard" , en déclarant un certificat pour *.ndd tous les domaines tartanpionsx.ndd seront couverts par ce certificat. Modifié le 7 février 2022 par Jeff777 2 Citer
MilesTEG1 Posté(e) le 7 février 2022 Posté(e) le 7 février 2022 +1 avec ce que dit @Jeff777 J'ajouterais cependant que le wildcard ne peut pas s'obtenir, via DSM, pour un nom de domaine autre que Synology. Il faut passer par des méthodes plus ou moins complexes pour avoir un certificat wildcard pour un nom de domaine chez OVH ou autre. 0 Citer
Darkangel Posté(e) le 7 février 2022 Auteur Posté(e) le 7 février 2022 Merci pour vos deux retours aussi je comprends que je vais devoir créer un autre certificat du coup 🙂 pour être honnête le wildcard je ne connais même pas 🙂 0 Citer
oracle7 Posté(e) le 7 février 2022 Posté(e) le 7 février 2022 @Darkangel Bonjour, Pour prolonger ce que t'a dit précédemment @MilesTEG1, saches que pour créer un certificat LE pour un domaine ndd.tld et son wilcard *.ndd.tld, tu as deux méthodes selon que ton NAS supporte ou non docker voir les TUTOs : avec docker, sans docker. Cordialement oracle7😉 0 Citer
Darkangel Posté(e) le 7 février 2022 Auteur Posté(e) le 7 février 2022 Ok merci je vais lire tout ça! bonne soirée ps: mon NAS supporte docker 🙂 0 Citer
.Shad. Posté(e) le 8 février 2022 Posté(e) le 8 février 2022 Quelle image de Docker utilises-tu ? l'officielle ou Vaultwarden ? Pour l'officielle c'est un script qui se charge de l'installation, pour Vaultwarden il faut effectivement créer le conteneur manuellement. 0 Citer
Darkangel Posté(e) le 8 février 2022 Auteur Posté(e) le 8 février 2022 Bonjour @.Shad. Vaultwarden et j’ai bien créé le conteneur manuellement. j’ai créé un nouveau certificat et cela semble vouloir fonctionner mais ne peux encore le garantir car du boulot pas possible de spécifier des ports dans les adresses Du reste comment éviter de devoir spécifier le port pour accéder à un docker?? merci 0 Citer
.Shad. Posté(e) le 8 février 2022 Posté(e) le 8 février 2022 il y a 40 minutes, Darkangel a dit : Du reste comment éviter de devoir spécifier le port pour accéder à un docker?? Utiliser le reverse proxy que tu utilises déjà (?), mais utiliser le port 443, pour quelle raison le port 843 au fait ? 0 Citer
Darkangel Posté(e) le 8 février 2022 Auteur Posté(e) le 8 février 2022 J’utilise bien le reverse proxy pour info j’utilise déjà le port 443 pour ma machine virtuelle destiné à mon système domotique via un reverse proxy et je ne sais pas si je pouvais utiliser le même pour les deux. et de toute façon même si j’utilisais celui-ci le port s’ajoute au domaine la différence en mes deux reverse proxy c’est que pour ma machine virtuelle j’indique pas l’ip de mon NAS mais l’ip de la machine virtuelle dessus et du coup le port n’apparaît pas dans le certificat mais la oui… 0 Citer
MilesTEG1 Posté(e) le 8 février 2022 Posté(e) le 8 février 2022 il y a 31 minutes, Darkangel a dit : pour info j’utilise déjà le port 443 pour ma machine virtuelle destiné à mon système domotique via un reverse proxy et je ne sais pas si je pouvais utiliser le même pour les deux. C'est pourtant bien là l'intéret d'un reverse proxy 😉 Moi j'ai plusieurs services qui sont accessibles via le port 443 (vaultwarden, gitea, plex...), mais avec des noms de domaines différents. Et tout fonctionne bien 😉 0 Citer
Darkangel Posté(e) le 8 février 2022 Auteur Posté(e) le 8 février 2022 (modifié) Exact j’ai remis le port 443 et maintenant que j’avais réglé le problème de certificat (j’en ai créer un spécifique pour vault du coup) cela fonctionne et sans le port! Merci!!!! par contre j’en reviens aux certificats sans vouloir abuser: j’ai un certificat let’s encrypt pour ma machine virtuelle et un autre pour vault… chacun ayant un nom de domaine différent. Est ce la bonne méthode ou puis je en créer un seul qui permette aux deux de fonctionner? Histoire de ne pas avoir plusieurs certificats à renouveler a terme ps: pourquoi pour ma bonne compréhension des choses le port 443 marche direct alors qu’un que l’on spécifie cela ne fonctionne pas pareil? Modifié le 8 février 2022 par Darkangel 0 Citer
.Shad. Posté(e) le 8 février 2022 Posté(e) le 8 février 2022 (modifié) Il y a 3 heures, Darkangel a dit : Est ce la bonne méthode ou puis je en créer un seul qui permette aux deux de fonctionner? Histoire de ne pas avoir plusieurs certificats à renouveler a terme Un certificat est valable pour un nombre défini de domaines, le domaine racine, et tous les sous-domaines pour lesquels tu demandes un certificat. Si tu fais un certificat qu'on appelle wildcard (astérisque), pour un domaine ndd.tld, tu valides tous les sous-domaines possibles via *.ndd.tld Synology propose nativement cette possibilité pour son nom de domaine. Donc si ton DDNS Synology c'est toto.synology.me, un certificat wildcard validera tous les sous-domaines *.toto.synology.me Si tu utilises un proxy inversé pour accéder à ta machine virtuelle, tu peux très bien utiliser un seul et même certificat wildcard. Tu peux suivre cette procédure : https://mariushosting.com/synology-how-to-add-wildcard-certificate/ Ainsi ton proxy inversé exposera le même certificat pour accéder à l'ensemble de tes services. Il y a 3 heures, Darkangel a dit : ps: pourquoi pour ma bonne compréhension des choses le port 443 marche direct alors qu’un que l’on spécifie cela ne fonctionne pas pareil? Le port 443 est le port par défaut pour HTTPS, quand tu viens sur ce forum tu viens en fait sur nas-forum.com:443, mais il n'apparaît pas car implicite. Même chose avec le port 80 pour HTTP. D'où le côté commode d'utiliser ce port quand on le peut. Modifié le 8 février 2022 par .Shad. 1 Citer
Darkangel Posté(e) le 8 février 2022 Auteur Posté(e) le 8 février 2022 ok parfait merci pour toutes ces explications je vais aller lire tout ça sur le wildcard. en espérant que j’y arrive du premier coup pour éviter tout soucis de contrôle sur ma machine virtuelle 🙂 0 Citer
Darkangel Posté(e) le 8 février 2022 Auteur Posté(e) le 8 février 2022 Ça a parfaitement fonctionné! Merci à vous!!! 1 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.