installation certificat StartSSL dans DSM 6, problème entre clé privée et certificat.

[pitch78]

Bonsoir,

j'ai un problème pour installer / renouveler mon certificat dans DSM, alors que je n'avais eu aucun problème il y a 2 ans et que j'utilise ce nouveau certificat avec nginx comme reverse proxy et que cela fonctionne très bien (usage quotidien + tests https://www.sslshopper.com/ssl-checker.html : tout OK et https://www.ssllabs.com/ssltest/analyze.html grade A+)

• Je suis en DSM 6.0.2-8451 update 2
• mon certificat actuel viens d'expirer
• je possède une clé privée, sans mot de passe (que j'utilise d'ailleurs pour nginx pour ne pas qu'il me demande de mdp à chaque démarrage)
• j'ai testé que le fichier de ma clé privée décryptée était bon en essayant de redéchiffrer la clé privée sur le site de StartSSL => le résultat est identique au contenu mon fichier.
• le fichier est en UTF-8
• je possède mon certificat, ainsi que tous les certificats intermédiaires (cf tests sslshoper OK)

MAIS

si je sélectionne ma clé privée + mon certificat (+ éventuellement le certificat intermédiaire), j'ai toujours la même réponse de DSM :

La clé privée et le certificat ne correspondent pas.

Je suis un peu perdu et je ne trouve rien de concret ni ici, ni ailleurs...

D'avance merci,

je commence à devenir chèvre et mon ancien certificat vient d'expirer ce qui est plus que gênant, d'autant plus que j'en est un a jour qui ne demande qu'à être utilisé par DSM...

 

Modifié le 14 octobre 2016 par pitch78

[Fenrir]

• cette même clef et ce même certificat fonctionnent correctement avec nginx ?
• tu as bien créé un certificat signé en sha256 (le sha1 est déprécié). ?
• tu n'inverses pas le certificat et la chaine lors de l'import ?

[pitch78]

Il y a 9 heures, Fenrir a dit :

• 1) cette même clef et ce même certificat fonctionnent correctement avec nginx ?
• 2) tu as bien créé un certificat signé en sha256 (le sha1 est déprécié). ?
• 3) tu n'inverses pas le certificat et la chaine lors de l'import ?

Bonjour et merci de m'avoir lu.

1) oui, d'ou mon incompréhension. je l'utilise tous les jours avec mon reverseProxy nginx pour accéder à des services hébergés sur mon nas (DSM, sites web pour de la domotique, gitlab, ...) ou même ma freebox ou mon routeur, via des url de type https://monservice.mondomaine.fr. et le certificat est correctement reconnu quelque soit le navigateur et l'os.

entre perso et boulot, j'utilise windows 7, windows 10, Linux et MacOS quotidiennement avec chrome( sur les 3 os), firefox (linux) et safari (macos forcement...) 

2) certains. j'ai déjà changé mon certificat il y a un moment, chrome (42+ si je me souviens bien) n'indiquant plus un cadena vert, mais un gris avec triangle jaune si le certificat était en sha1 et puis si je regarde les détails de mon certificat (depuis un navigateur, à l'une des url du reverseProxy) histoire de revérifier c'est bien du sha256 et enfin StartSSL ne laisse plus le choix et le certificat que je veux installer date d'il y a moins de 15 jours.

3) vérifié et revérifié avant de poster, ou alors je me méprends complètement. Mais mon fichier clé commence par -----BEGIN RSA PRIVATE KEY---- et je suis sûr qu'il n'est pas protégé par un mot de passe. Mon certificat, lui, commence par -----BEGIN CERTIFICATE-----. normalement c'est explicite.

Le doute que j'ai eu c'est sur le format de la clé. j'utilise directement celle que j'ai eu avec StartSSL et que j'utilise dans nginx :

ssl on;
ssl_certificate      /pathDirReverseProxy/moncertificat.crt;
ssl_certificate_key  /pathDirReverseProxy/moncertificat_noPass.key;

du coup j'ai essayé avec d'autre format notamment un  pem (obtenu en convertissant mon fichier.key via un format p12) qui commence par :

Bag Attributes
    localKeyID: ...
Key Attributes: <No Attributes>
-----BEGIN PRIVATE KEY-----

l'autre doute concernait le certificat, surtout le certificat intermédiaire (devais-je concaténer le certificat root à l'intermédiaire ou pas), mais aucun essai n'a été concluant.

pour nginx tout est concaténé dans un seul fichier "bundle", mais j'ai bien à disposition monCertificat.crt, Intermediate.crt et root.crt

J'ai vraiment tout essayé et pas mal cherché sur internet avant de poster ici.

j'ai même par dépit essayé en mettant le même nom (sauf extension) à la clé et au certificat... quand la logique je marche plus, on essaye tout...

mais je dois visiblement passer à coté de quelque chose...

Modifié le 15 octobre 2016 par pitch78

[Brunchto]

Il me

Il me semble qu'il fallait décrypter la cle privée avant de l'injecter dans dsm.

[pitch78]

je confirme que c'est ce que j'ai fait, par la force des choses d'ailleurs (j'en ai eu besoin pour nginx).

je me suis mal exprimé, pardon.

quand j'ai dit que la clé n'était pas protégée par un mot de passe, je voulais dire décryptée. mon fichier de base commence par ça :

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

La clé non protégée que je veux injecter dans DSM (notamment pour FTPS et OpenVPN) ne contient pas Proc-Type: 4,ENCRYPTED.

en tout cas merci pour la tentative.

 

[pitch78]

    J'ai trouvé !

le problème venait du certificat, j'ai généré ma demande en suivant bêtement les indications de StartSSL (cf capture ci-jointe).

openssl req -newkey rsa:2048 -keyout macleprivee.key -out mademande.csr

Hors je viens de remarquer que la clé privée précédente était plus longue.

du coup je viens de recommencer avec

openssl req -newkey rsa:4096 -keyout macleprivee.key -out mademande.csr

puis j'ai décrypté ma clé, puis j'ai sélectionné :

• ma clé
• mon certificat
• le certificat intermédiaire (issue de la configuration toute prête pour apache de l'archive StartSSL du certificat)

et hop magie, ça passe.

du coup je copie ça dans ma config reverseProxy et je vous confirme que tout marche, mais il n'y a pas de raison.

en espérant que ça serve à d'autres...

Bonne journée à tous et merci pour vos réponses

Affaire réglé,

ça fonctionne dans DSM et dans mon reverseProxy.

Modifié le 15 octobre 2016 par pitch78