This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

LittleLama

Let's encrypt et packages

4 messages dans ce sujet

Bonjour

Comme les certificats StartSSL ont été banis, je viens de sécuriser mon DSM en créant un certificat Let's Encrypt et par la même occasion en passant à DSM 6.

Dès lors toutes mes connections HTTP ont automatiquement été redirigées en HTTPS. Mais genre toutes ... toutes quoi ! L'administration OK, mais la web station, les packages disposant d'une interface web ... tout !

Jusque là pas de soucis mais du coup mes packages utilisant HTTP(S) me jettent. Et mes sites persos hébergés sur la web station ne fonctionnent plus correctement puisque les dépendances étaient appelées en HTTP.

 

Bref, cette sécurisation me paraît un poil exagérée (ou bien prématurée pour moi).

 

Alors plusieurs questions :

  1. Comment faire référence au certificat Let's Encrypt dans les packages utilisant une interface Web afin d'autoriser la connexion en HTTPS : par exemple dans SABnzbd il est demandé deux clé : une .crt et une .key mais Let's Encrypt ne donne que des clés au format .pem ?
  2. Comment exclure la web station de la redirection HTTPS pour ne laisser sous HTTPS que l'administration par exemple (ça se passait comme ça sous DSM 5 avec mon ancien certificat) ?

 

Merci beaucoup à vous pour tout avis !

 

Partager ce message


Lien à poster
Partager sur d’autres sites
  1. pem, .crt, .key, .toto c'est la même chose (enfin presque), il s'agit de simple fichiers texte en base64, donc pas de soucis, ça devrait marcher (au pire change l’extension)
  2. ça se passe encore comme ça avec DSM6, tu as du louper un truc

Pour le 2, je ne coche pas la redirection car elle créé d'autres soucis ailleurs, j'ai simplement ajouté un petit script php de 5 lignes pour le faire à la racine de webstation. Combiné avec le reverse proxy ça marche très bien.

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut Fenrir, merci pour ton astuce !

 

Bonne idée celle du reverse proxy, je me doutais pas de l'étendue de cette fonction !

Du coup j'ai repris le fil du début à la fin. Effectivement j'avais loupé un truc, la migration DSM 5->6 n'a pas fait suivre toute la config du parefeu.

Une fois ça rétabli, j'ai remappé par le reverse proxy les ports des applis pour entrer sur un port ouvert en HTTPS et ressortir vers l'appli en HTTP sur un port fermé par le pare-feu, ainsi les packages sont en HTTPS sans avoir à paramétrer de certificat.

 

Voilà qui m'enlève déjà un problème.

 

Pour web station je cherche encore comment réautoriser du HTTP sans avoir à forcément passer par un virtual host (car j'aime bien les accès par l'url mon.nas.com/monsite/ et que j'ai pas forcément la possibilité de faire des sous-sous-domaines).

 

En tout cas merci pour l'astuce !

Partager ce message


Lien à poster
Partager sur d’autres sites

Tu ne peux pas simplement dire mon.nas.com/site1 en http et mon.nas.com/site1 en https, le choix de faire http ou https est fait au moment de la connexion à mon.nas.com.

Si tu souhaites le faire par la suite, il n'y a pas le choix, c'est au site de le faire (en php ou avec un htaccess).

nb : à défaut d'avoir plusieurs nom de domaine, tu peux aussi jouer avec les ports ...

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !


Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.


Connectez-vous maintenant