Aller au contenu

Certificat Let's encrypt - Limitation sous-domaine ?


antdid

Messages recommandés

Bonjour,

Je voulais savoir s'il y avait une limite sur le nombre de sous-domaine pouvant être ajouter au certificat ? Ou seulement la limitation du champ sur l'interface DSM ?

Et également, est-il possible d'augmenter la taille de clé publique ? Si oui comment ?

 

Merci

Lien vers le commentaire
Partager sur d’autres sites

il y a 25 minutes, Antwan a dit :

Je voulais savoir s'il y avait une limite sur le nombre de sous-domaine pouvant être ajouter au certificat ?

Un "sous domaine" ça n'existe pas, www.toto.truc est un domaine au même titre que toto.truc ou que truc.

En théorie il n'y a pas de limite, en pratique il ne faut pas en mettre trop car ça charge inutilement les serveurs, les navigateurs et le réseau. Ça peut même conduire à tes erreurs d'interprétation.

En général on se limite à une dizaine, je crois que letsencrypt en permet 100 (j'ai un certificat letsencrypt avec 14 SAN, pas de soucis).

il y a 31 minutes, Antwan a dit :

Ou seulement la limitation du champ sur l'interface DSM ?

Je ne l'utilise pas et je n'ai rien vu dans la doc à ce sujet donc je ne peux pas te répondre. Tu veux en mettre combien ?

il y a 34 minutes, Antwan a dit :

Et également, est-il possible d'augmenter la taille de clé publique ?

Oui

il y a 34 minutes, Antwan a dit :

Si oui comment ?

En générant ta clef publique à la main (avec openssl par exemple). Mais dans ce cas, autant générer aussi la demande de certificat letsencrypt.

nb : si tu comptes utiliser ton certificat pour de la messagerie et que tu as des échanges avec microsoft (outlook, exchange online, ...), utilises un certificat RSA, microsoft ne sait pas ce que c'est qu'un certificat à courbes elliptiques ...

Lien vers le commentaire
Partager sur d’autres sites

à l’instant, Antwan a dit :

Du coup, si je génère à la main, il va falloir que je le fasse tous les 90 jours ?

Oui, ça va te couter un rendez-vous récurrent dans ton agenda :biggrin:

Sinon avec docker (si ton nas le gère) ou un chroot debian, tu peux le faire depuis le syno et tout automatiser

Lien vers le commentaire
Partager sur d’autres sites

Par défaut 2048, je pense que c'est suffisant, mais 4096 ça doit être plus sécurisé. Notamment pour les mails ça peut être intéressant. 

Oui je pense que c'est que je vais faire. Après ça monte vite, car je crée un sous-domaine pour les applications Audio Station, Video.... 

 

Je peux avoir deux certificat avec le même nom de domaine ? 

Ou mettre directement un certificat domaine.domaine.fr ? Avec ça je pourrais en avoir plein, mais ça fait beaucoup de certificat :lol:

Lien vers le commentaire
Partager sur d’autres sites

Je pourrais avoir quelques choses comme ça :

domaine.fr description1

domaine.fr description2

Et selon mes sous-domaines pour applications choisir le bon certificat grâce à la description. Comme ça une fois que le premier a les 10 SAN, je peux en mettre sur le deuxième :smile:

Du coup j'ai plu le problème de la limite, je regarderais si je trouve le fichier de conf pour let's encrypt pour modifier la longeur de la clé (si c'est bien fait, c'est de la configuration) et après je pourrais bénéficier du renouvellement en 4096.

Merci beaucoup.

Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, Antwan a dit :

Je pourrais avoir quelques choses comme ça :

domaine.fr description1

domaine.fr description2

Et selon mes sous-domaines pour applications choisir le bon certificat grâce à la description. Comme ça une fois que le premier a les 10 SAN, je peux en mettre sur le deuxième :smile:

:eek:, ça n'apporte rien sinon de risquer de t’emmêler les pinceaux.

Fais plutôt ceci :

  • CN : description1.domaine.fr
    • SAN : description1.domaine.fr, appli1.domaine.fr, appli2.domaine.fr, appli3.domaine.fr, appli4.domaine.fr
  • CN : description2.domaine.fr
    • SAN : description2.domaine.fr, appli5.domaine.fr, appli6.domaine.fr, appli7.domaine.fr, appli8.domaine.fr

nb : techniquement possible ne veut pas dire que c'est géré par lestencrypt ou le syno

il y a 7 minutes, Antwan a dit :

Du coup j'ai plu le problème de la limite

Letsencrypt est un service gratuit pour que les particuliers (ou les petites entreprises) puissent créer des certificats de manière simple et gratuite pour un usage raisonnable.

De plus générer des dizaines de certificats va te poser des problèmes logistiques et techniques.

https://letsencrypt.org/docs/rate-limits/

Si tu tiens à aller plus loin, il faut prendre un certificat wildcard (c'est payant) ou créer ta propre autorité (c'est ce que j'ai fait)

il y a 18 minutes, Antwan a dit :

je regarderais si je trouve le fichier de conf pour let's encrypt pour modifier la longeur de la clé (si c'est bien fait, c'est de la configuration) et après je pourrais bénéficier du renouvellement en 4096.

Autant monter un chroot, ça évitera de modifier des fichiers de conf qui pourraient être écrasés lors de mises à jours.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.