Certificat SSL et nom de domaine

[miniil]

Bonjour,

Tout d'abord, je tiens à m'excuser si mes connaissances ne sont pas au top à ce sujet.

Donc, j'essaye de configurer mon NAS 🙂

J'ai un nom de domaine (.net) chez o2switch.
J'ai aussi un nom de domaine (.be) pour l'instant chez easyhost.be mais je pourrai le aussi le transférer chez o2switch (si c'est mieux).

Là, j'essaye de faire la configuration sur mon nom de domaine .be

Ce que je voudrai :
1. accéder à mon nas avec une adresse nas.domaine.be:port sans avoir le message Non sécurisé dans mon navigateur (donc j'y accède mais c'est pas sécurisé)
2. accéder à certaines installations via une url et https :
    - Home Assistant dans Container Manager (je voudrai y accéder via ha.domaine.be) Cette application utilise le port 8123
3. Pouvoir également sécuriser des sites web perso en php par exemple et y accéder via sous.domaine.be

Ce que j'ai fait :
- Rediriger mon nom de domaine domaine.be et www.domaine.be vers mon IP publique de routeur (VOO) (ce n'est pas dynamique, si jamais elle change, il faudra que je la change manuellement mais soit passons)
- Redirigé mes ports 80, 443, 5000~5001 sur mon routeur et qui redirige vers mon IP statique local 192.168.0.XXX vers les mêmes ports (Là déjà je ne sais pas si c'est OK).
- Demandé un certificat chez let's encrypt pour domaine.be via Security > Certificate

Ce que je sais faire (mmm c'est limité):
- Rediriger des ports sur mon routeur VOO
- Accéder en SSH à mon nas via putty

DSM : 7.2.2-72806 - DS224+

Merci de votre aide 🙂
 

[Mic13710]

Vu les différents points que vous abordez, il me semble que vous devriez commencer par le commencement avant de penser certificat.

Le tout premier tuto à mettre en oeuvre :

 

Concernant vos ports, sauf besoin particulier, on n'ouvre pas les ports HTTP du NAS vers l'extérieur (ici 80, 5000)

A noter que le tuto ci-dessus parle d'un nom de domaine xxxx.synology.me. Vous pouvez utiliser vos propres noms de domaines, mais DSM ne sait pas traiter les wildcard de ces domaines et il faut dans ce cas renseigner tous les noms de domaines de second niveau ce qui complique la mise en oeuvre. Si vous voulez aussi utiliser vos ndd qui sont dynamiques, il faudra paramétrer les ddns pour que leurs IP soient mises à jour automatiquement.

Ceci étant dit, et sans vouloir vous vexer, je pense que votre niveau de compétence actuel n'est pas encore suffisant pour aborder la mise en oeuvre d'un ndd autre que celui de synology, puis de faire gérer son renouvellement par la méthode acme.sh par exemple, soit en SSH, soit en docker. Aussi, je vous conseille vivement de laisser pour le moment de côté vos propres ndd et d'utiliser le ndd synology, beaucoup plus simple à utiliser. Vous pourrez les utiliser plus tard, lorsque vous aurez acquit un peu plus de connaissances. Il y a quelques tutos pour ça dans la partie tutoriels.

Autre point que vous devriez regarder c'est le reverse proxy qui vous permet de n'ouvrir que le port 443 et d'utiliser différents noms de domaines pour accéder aux différents services.

 

[miniil]

@Mic13710

J'ai bien lu les tutos.

Mes connaissances sont limitées c'est clair mais je désire utiliser mon NDD et pas synology.me car étant développeur, mon but avec ce nas est également de créer mes propres sites web.

Donc je ne lâche pas l'affaire 🙂

Pour ce qui est du reverse proxy ça fonctionne dans certains cas et c'est là que je ne comprends pas pourquoi ça ne fonctionne pas toujours.

Exemple 1 : j'ai un tout petit premier site web en PHP, je lui ai assigné un port 45006 via Web Station > Web Portal.  Ensuite reverse proxy pour https://site.domaine.be...  Il accède bien à mon site mais Avertissement Non Sécurisé malgré le certificat let's ecrypt créé pour site.domaine.be et configuré pour être utilisé sur ce site. (Mais peut-être que je dois faire quelque chose au niveau du code de mon site?)
Pareil, le tuto reverse proxy indique la création d'un .htaccess pour qu'on puisse utiliser site.domaine.be sans préciser https mais là j'ai une redirection infinie.  Mais OK, il faut peut-être que je comprenne mieux l'écriture du .htaccess

Exemple 2 : Exemple repris du tuto pour accéder à l'application File Station depuis mon NDD.  Je lui assigne un port http (45002) comme dans l'exemple, je fais le reverse proxy https://file.domaine.be => port 45002 mais ça ne fonctionne pas.

Exemple 3 : J'ai un projet Home Assistant avec Docker.  Cette interface est accessible par défaut sur le port 8123.  idem reverse proxy https://ha.domaine.be vers localhost:8123 et ça ne fonctionne pas très bien non plus.  Je suis redirigée vers une page d'erreur.

En résumé : Dans un cas, le reverse proxy fonctionne mais pas le certificat.  Et dans deux cas, ça ne fonctionne simplement pas.

Mon adresse IP publique n'est pas statique mais elle ne change quasi jamais (du moins depuis que je m'y intéresse, elle n'a pas changé 🙂 ).  Donc pour l'instant, pas besoin de la mettre à jour dynamiquement.  Et d'ailleurs il y a aussi l'option de voir avec mon fournisseur pour une IP statique.

[Mic13710]

Si vous avez docker, il y a deux tutos qui traite des certificats :

 

C'est celui que j'utilise, il faudra bien entendu l'adapter pour votre registar,

Je ne l'ai jamais utilisé. A vous de voir s'il vous convient.

L'utilisation du reverse proxy ne se fait pas pour tout et n'importe quoi.

Dans votre exemple 1, pourquoi ne pas tout simplement passer par web station  et utiliser l'url www.site.domaine.be ?

exemple 2, le changement des ports par défaut ne présente vraiment aucun intérêt, surtout si ces ports ne sont pas exposés à l'extérieur, ce qui est le cas avec le reverse proxy. Si vous utilisez un ndd du type https;//file.domaine.be qui pointe vers le localhost:7000 (port http par défaut de file station) vous devriez obligatoirement tomber sur file station. Et pour ne pas avoir le message non sécurisé, il faut que le ndd file.domaine.be soit couvert par le certificat. C'est à vérifier dans les paramètres de l'onglet certificat où on doit lier chaque ndd à chaque application et service.

Pour le fichier .htaccess, il faut le générer à partir d'un logiciel type notepad+ et non avec une application de type word qui rajoute des caractères invisibles qui ne sont pas acceptés dans un script.