This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

OniK

Comment Installer Correctement Un Certificat Ssl Startssl - Comodo ... ?

95 messages dans ce sujet

Hello

voici un petit tuto tres simple pour installer correctement vos certificats SSL sur votre Syno

prerequis :

- être propriétaire du nom de domaine.

- avoir un certificat SSL startSSL ou COMODO ( ca doit etre pareil avec les autres CA mais bon j'ai pas teste ... )

ici je prend l'exemple d'un certificat de chez startSSL ... le gros avantage il est totalement gratuit !!

http://www.startssl.com/?app=1

- telnet actif sur votre syno

c parti :

- Activer la connexion HTTPS et importer votre certificat :

connectez vous a votre interface syno et allez sur l'onglet "services reseau" -> "service web"

cocher Activer la connexion HTTPS puis clicker sur importer le certificat

vous aurez besoind de votre certif ( .crt ) et votre clef server ( .key )

le .key doit etre decrypte sinon ca ne fonctionnera pas!

par exemple :


openssl rsa -in $sslkeydir/server.key -out $sslkeydir/server.key.insecure

mv $sslkeydir/server.key $sslkeydir/server.key.secure

mv $sslkeydir/server.key.insecure $sslkeydir/server.key

puis on reboot apache :

/usr/syno/etc/rc.d/S97apache-sys.sh restart

/usr/syno/etc/rc.d/S97apache-user.sh restart

- a ce stade le certif sera correctement insalle mais ne sera pas reconnu par ts les navigateurs ( par exemple : IE windows 7 OK - firefox windows 7 KO ) pour faire un test c ici : http://www.sslshoppe...sl-checker.html - maintenant pour que tout fonctionne correctement il faut installer les certif intermediaires !! ici on va faire simple en installant uniquement un ca-bundle.crt ( et non ca.pem et sub.class1.server.ca.pem ou autre en fonction du certif ) on le trouve ici pour startSSL http://www.startssl.com/certs/ copier le fichier ds

/usr/syno/etc/ssl/ssl.crt/ca-bundle.crt

maintenant on va indiquer a apache ou se trouve le ca-bundle.crt en modifiant le fichier httpd-ssl.conf-user

vi /usr/syno/apache/conf/extra/httpd-ssl.conf-user

ajouter la ligne :

SSLCertificateChainFile /usr/syno/etc/ssl/ssl.crt/ca-bundle.crt

juste apres ces deux ci :

SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt

SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key

puis on reboot apache :

/usr/syno/etc/rc.d/S97apache-sys.sh restart

/usr/syno/etc/rc.d/S97apache-user.sh restart

un petit check ici :

http://www.sslshoppe...sl-checker.html

et voila si tout c bien passe votre certificat SSL est maintenant correctement installe et reconnu par la pluspart des navigateurs ...

@+

OniK

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Bien vu pour ce tuto wink.gif

Rajoute dans les pr

Partager ce message


Lien à poster
Partager sur d’autres sites

Visiblement cela génère une erreur sur domaine.tld/photo autre sous-dossier... Je vais checker ça ce geekend wink.gif

sorry mais je pige pas bien la ...

en fait tu veux valider domaine.tld/photo ???

si c le cas laisse tomber c pas possible pour ca faut valider domaine.tld ou photo.domaine.tld

tu peux juste valider un domaine du genre : domaine.com - sub.domaine.com ou *.domaine.com avec un certif wildcard

Partager ce message


Lien à poster
Partager sur d’autres sites

j'ai survolé le truc, en fait c'est l'ancien bien connu cacert qui a changé de nom depuis l'année dernière :)

si j'ai bien compris dans le domaine ssl gratuit:

bien d'accord sur la réponse de onik

on peut aussi certifier un smtp en tls smtp.domaine.tld, à vérifier...

@+

Partager ce message


Lien à poster
Partager sur d’autres sites

Avec le certificat autosigne, il suffit de rajouter la liste des domaines selon mon tuto, smtp.mondomaine.fr pop.mondomaine.fr, et imap.mondomaine.fr .... à voir si cela peut d'adapter avec startssl.

Je reste cependant septique, c'est un certificat classe 1, donc pas de sous domaine ....

PS: étant donné que smtp, pop et imap se reporte à la même adresse ip, mettre le nom de domaine (sans le protocole devant) devrait suffire tongue.gif

Cordialement.

oui avec un certif auto signe tu peux avoir "l'equivalent" d'un certif wildcard ( ce sera jamais *.domain.com mais bon .... ) l'avantage tu peux aussi y renseigner tes IP interne et adresse intranet ...

seul prob y sera jamais reconnu par un navigateur ou tu n'as pas installer ton ca.crt manuellement ...

pour startssl class 1 tu as : mondomaine.com + xxx.mondomaine.com / certificat

ok c moin pratique qu'un autosigne mais bon t'as l'avantage d'avoir un certif reconnu et muni d'une assurance de 10000$ ... le tout gratuitement!

petit plus : S/MIME Client + Auth gratuit

faut passer en class2 pour du wildcard ou multidom

et oui logiquement juste le nom de domaine suffit pour smtp, pop et imap mais ca reste a verifier ...

@+

OniK

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir

Partager ce message


Lien à poster
Partager sur d’autres sites

Y a-t-il un site internet ou je peux créer mon certificat gratuitement avec la clé pour les uploder sur le syno? Faut-il obligatoirement passer en ligne de commande sous SSH pour le modifier? D'avance merci de ta réponse. (Je trouve peu d'information la dessus)

@+

bonsoir, sans vouloir forcer vos talents de chercheur, et cela sans risque, ou du moins je le crois, vous pouvez reculer de quelques posts dans ce même sujet, voir en abusant un peu..... grimper jusqu'au premier post

merci bien :)

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir les zouzous,

Avoir son propre nom de domaine est-il vraiment utile ? [prefix].dyndns.org n'en est pas un !

En effet, le tuto ci-dessous n'en fait pas cas et propose une autre m

Partager ce message


Lien à poster
Partager sur d’autres sites

Oui je sais je relance un vieux post.

Cependant, je ne trouve pas vraiment de réponse à mes questions et j'ai bien l'impression de ne pas être le seul paumé.

Je suis étonné car, il ne me parait pas envisageable de faire de l'authentification HTTP et de balancer mon mot de passe en clair sur le net.

Vous me direz d'activer simplement le HTTPS sans le self-signed est déjà bien, mais je trouve pas térrible d'avoir cet écusson rouge (Poursuivre avec ce site Web (non recommandé)).

Partager ce message


Lien à poster
Partager sur d’autres sites

salut CaptainIgloo,

Avoir son propre nom de domaine est-il vraiment utile ? [prefix].dyndns.org n'en est pas un !

tt depend de ton utilite pour ton nom de domaine ... mais sincerement pour 5-10

Partager ce message


Lien à poster
Partager sur d’autres sites

Je vais devoir creuser tout cela !

Le domaine ok par trop ch

Partager ce message


Lien à poster
Partager sur d’autres sites

Ok !

En parcourant les differentes offres de services d'enregistrement de domaines, je trouve qu'il y a

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !


Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.


Connectez-vous maintenant