Aller au contenu

certificat let's encrypt sur DSM 7


Messages recommandés

Bonjour à vous tous.

Je reviens vers vous car impossible de trouver la solution pour avoir mon certificat

 Le résumé de la situation:

J'ai un nom de domaine chez OVH, sur ce nom de domaine pointe mon site.

J'ai un sous domaine qui pointe mon serveur Synology.

Je vois mon Synology sur le internet avec l'adresse (sous domaine.nom de domaine.com).

Chez OVH en zone DNS j'ai bien indiqué l'adresse IP de mon Synology pour le sous domaine 

Sur mon Synology dans DDNS, j'ai donné les informations, portail de connexion/Avancé/Proxy inversé (j'ai créé la règle), Sécurité/Pare-feu (j'ai ouvert quelques ports(5000,5001,443,80)

Et pour l'instant impossible d'avoir un résultat positif pour le certificat.

Merci pour votre aide.

 

 

 

 

 

Modifié par domtous
Lien vers le commentaire
Partager sur d’autres sites

Pour pouvoir répondre à votre problème, il faudrait fournir plus de détails :

- Quel modèle de NAS ?

- Par quelle méthode passez-vous pour obtenir votre certificat (DSM, acme.sh, avec Docker, sans Docker)

- Quel(s) message(s) avez-vous qui indique que la tentative a échoué ?

- Est-ce que le ou les ndd que doivent couvrir le certificat existent dans la zone DNS ?

Autre chose : je vous conseille de supprimer la redirection du 5000. L'ouverture de DSM vers l'extérieur n'est pas recommandée en https, le faire en http est à proscrire totalement.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, domtous a dit :

Le résumé de la situation:

J'ai un nom de domaine chez OVH, sur ce nom de domaine pointe mon site.

J'ai un sous domaine qui pointe mon serveur Synology.

 

Il y a 3 heures, domtous a dit :

Chez OVH en zone DNS j'ai bien indiqué l'adresse IP de mon Synology pour le sous domaine 

Petite précision, pour éviter que des novices lisant ces lignes ne se fassent de fausse idées : sauf si tous tes appareils sont en IP V6 et ouverts sur l'extérieur (ce qui ne semble pas être le cas à lire la suite de ton post), les IPs que tu as donné dans ta zone DNS correspondent à l'IP externe de ta BOX...

Et c'est ta BOX qui fait du routage de ports vers le bon serveur ... Donc la phrase que j'ai mis en rouge est fausse ...

Lien vers le commentaire
Partager sur d’autres sites

@Kramlech tu as tout à fait raison.

Et pour compléter, la première citation que tu as faite est fausse elle aussi. Le "sous-domaine" (expression erronée comme chacun le sait) pointe vers l'IP publique de la box et certainement pas vers le NAS. C'est le routeur qui se charge de diriger la requête vers le NAS.

Lien vers le commentaire
Partager sur d’autres sites

bonjour   Mic13710,  Kramlech 

 

Citation

- Quel modèle de NAS ?

     DS1817+

Il y a 2 heures, Mic13710 a dit :

- Par quelle méthode passez-vous pour obtenir votre certificat (DSM, acme.sh, avec Docker, sans Docker)

DSM

 

Il y a 2 heures, Mic13710 a dit :

- Quel(s) message(s) avez-vous qui indique que la tentative a échoué ?

       Veuillez vérifier que votre adresse IP, les regles de proxy inversé et les parametres du pare-feu sont correctement configurés, puis réessayez.                              

 

 

Lien vers le commentaire
Partager sur d’autres sites

La méthode via DSM n'est vraiment adaptée que pour les certificats sur ndd du type "xxxx.synology.me" car elle assure le renouvellement automatique du certificat mais uniquement pour ce type de ndd. Pour les autres certificats, il faudra planifier leur renouvellement.

Votre NAS étant compatible Docker, je pense que vous devriez regarder plutôt de ce côté là :

Néanmoins (et c'est là que réside votre problème), quelle que soit la méthode, il faut qu'un certain nombre de prérequis soient validés :

  • au niveau de la zone chez OVH où il faut que tous les ndd du futur certificat puissent être résolus, qu'il y ait un DynHost (si IP dynamique) ou un enregistrement A (si IP fixe) ou CNAME qui pointe vers l'IP publique de votre routeur,
  • si IP dynamique, il faut qu'il y ait un DDNS actif dans DSM qui fonctionne avec le DynHost d'OVH pour que l'IP publique soit mise à jour au niveau de la zone OVH à chaque changement,
  • si vous passez par DSM, il faut que les ndd du certificat qui pointent vers le NAS via le port 443 puissent être orientés via le reverse proxy vers les différentes applications,
  • toujours via DSM, il faut que les réglages du menu sécurité autorisent au moins l'accès au port 443 du NAS et que cet accès soit aussi ouvert vers les US pour pouvoir communiquer avec les serveurs LE,
  • Et j'en oublie sûrement....

Si vous avez récemment modifié votre zone, il faut attendre qu'elle soit propagée sur les autres serveurs (ce qui peut prendre jusqu'à 24h) avant de mettre en place votre certificat et qu'il puisse être opérationnel.

Lien vers le commentaire
Partager sur d’autres sites

   @Mic13710 Bonjour,

Je te remercie pour cette réponse, je vais m'orienter sur la methode Docker.

sinon je viens de regarder chez OVH et je n'ai pas de CNAME pour le sous domaine.

je ne comprends pas bien dans le tuto

Citation

 

D) Création du certificat :

Avec le planificateur de tâche en exécution unique (cf point 2C) ou en ssh (root) en remplaçant "mydomain.com" :

 

faut-il créer une nouvelle tache planifier 

 

Modifié par domtous
Lien vers le commentaire
Partager sur d’autres sites

Tout d'abord, un sous-domaine n'existe pas, c'est une dénomination qui n'a aucun sens. mondomaine.ovh est un domaine, au même titre que toto.mondomaine.ovh est un domaine qui est lié au domaine principal mondomaine.ovh.

Un CNAME n'est pas obligatoire. Ce qui l'est c'est au moins un enregistrement A (IPV4) et/ou AAAA (IPV6), ou un DynHost qui pointe vers l'IP publique de votre box. Un CNAME est un ndd lié à un de ces enregistrements. Il est donc obligatoirement dirigé vers l'IP publique de votre box.

Il faut d'abord savoir si votre IP publique est fixe ou dynamique. Quel est votre opérateur ?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.