Mise en place d'un certificat

[Kramlech]

Bonjour

Je suis en train de paramétrer une NAS (pour une petite entreprise), et je voudrais avoir une maintenance la plus simple et légère possible, tout en ayant la sécurité maximum.

La question que je voudrais poser concerne l'obtention d'un certificat Let's Encrypt (information pour la suite, je n'ai pas particulièrement besoin d'un certificat wilcard).

J'ai un nom de domaine chez OVH, qui pointe bien sur la box derrière le NAS. Je vais passer par un reverse proxy, et donc n'ouvrir que le port 483. Pour le certificat, je voudrais que le renouvellement se fasse de manière la plus automatique possible. J'ai deux solutions : passer par le renouvellement standard du certificat, mais cela demande à laisser ouvert le port 80 continuellement (je ne veux pas à avoir à ouvrir ce port manuellement tous les trois mois), soit passer par la solution avec acme.sh en docker.

C'est cette dernière solution que j'ai mis en œuvre sur mon NAS perso, qui marche assez bien, mais il arrive quelquefois que cela plante, et qu'il faille faire quelques évolutions (ce n'est pas grave pour un NAS perso, mais plus gênant pour le NAS d'une entreprise).

J'ai donc fait le test tout simple suivant :

• Rediriger le port 80 vers le NAS
• Au niveau du pare feu, avoir une règle qui bloque tous les appels au port 80
• Demander via le DSM le renouvellement du certificat ...

Et ça marche !!!

Que pensez vous de cette solution ? Est-ce que cela expose particulièrement le NAS ? Est-ce que cela peut être une solution perenne ?

 

[Mic13710]

J'avoue être un peu perplexe. D'un côté il n'y a pas d'utilité d'un wildcard, de l'autre on parle de Reverse Proxy.

Si Reverse Proxy il y a, il y a aussi des ndd pour chaque application sinon je ne vois pas son utilité.

DSM ne sait pas gérer des wildcard autres que ceux associées aux ndd synology.me. Pour les autres ndd, il faut lister chaque ndd associé dans la section "autre nom" ce qui oblige à bien étudier le besoin pour n'en oublier aucun. Mais une fois que les noms sont en place, DSM doit être capable d'assurer le renouvellement automatique du certificat.

Et si ce renouvellement automatique fonctionne et que l'accès au NAS par le port 80 est bien encadré, je ne vois pas de problème particulier pour qu'il soit fait via DSM.

[CyberFr]

Quand je renouvelle les certificats j'utilise la méthode décrite par @Mic13710 et je suis dans le même cas que @Kramlech. C'est à dire que le port TCP 80 est ouvert sur la box Internet mais il est fermé sur le NAS. Donc avant de lancer l'opération j'ouvre le port 80 sur le NAS et je le referme après le renouvellement. Mais @Kramlech indique que l'opération fonctionne même si le port 80 est fermé. La Documentation de Let's Encrypt indique pourtant que ce port doit être ouvert. Bref je m'interroge. Le port 80  serait utilisé de façon aléatoire par Let's Encrypt ?

[Kramlech]

Il y a 2 heures, CyberFr a dit :

@Kramlech indique que l'opération fonctionne même si le port 80 est fermé. La Documentation de Let's Encrypt indique pourtant que ce port doit être ouvert. Bref je m'interroge. Le port 80  serait utilisé de façon aléatoire par Let's Encrypt ?

C'est précisément le coeur de ma question (même si je ne l'avais peut être pas très bien posé !).

Ce serait intéressant que d'autres personnes fasse le test pour vérifier s'il s'agit d'un arctefact lié à la mise en place de la configuration, ou si c'est une fonctionnalité perenne.

Dès que je le pourrai, je vais redémarrer le NAS et essayer de faire un rafraichissement du certificat pour voir si cela fonctionne toujours ...

Il y a 18 heures, Mic13710 a dit :

J'avoue être un peu perplexe. D'un côté il n'y a pas d'utilité d'un wildcard, de l'autre on parle de Reverse Proxy.

Si Reverse Proxy il y a, il y a aussi des ndd pour chaque application sinon je ne vois pas son utilité.

On peut très bien avoir à ouvrir un petit nombre de services (non évolutif) et vouloir passer par le Reverse Proxy  en précisant de manière explicite les NDD autorisés dans le certificat, et sans vouloir mettre en place la mécanique du wildcard ...

[CyberFr]

Autre possibilité à savoir que le fichier .htaccess, s'il existe, redirige la requête sur le port 80 vers le port HTTPS.