Aller au contenu

Let's encrypt et packages


Messages recommandés

Bonjour

Comme les certificats StartSSL ont été banis, je viens de sécuriser mon DSM en créant un certificat Let's Encrypt et par la même occasion en passant à DSM 6.

Dès lors toutes mes connections HTTP ont automatiquement été redirigées en HTTPS. Mais genre toutes ... toutes quoi ! L'administration OK, mais la web station, les packages disposant d'une interface web ... tout !

Jusque là pas de soucis mais du coup mes packages utilisant HTTP(S) me jettent. Et mes sites persos hébergés sur la web station ne fonctionnent plus correctement puisque les dépendances étaient appelées en HTTP.

 

Bref, cette sécurisation me paraît un poil exagérée (ou bien prématurée pour moi).

 

Alors plusieurs questions :

  1. Comment faire référence au certificat Let's Encrypt dans les packages utilisant une interface Web afin d'autoriser la connexion en HTTPS : par exemple dans SABnzbd il est demandé deux clé : une .crt et une .key mais Let's Encrypt ne donne que des clés au format .pem ?
  2. Comment exclure la web station de la redirection HTTPS pour ne laisser sous HTTPS que l'administration par exemple (ça se passait comme ça sous DSM 5 avec mon ancien certificat) ?

 

Merci beaucoup à vous pour tout avis !

 

Lien vers le commentaire
Partager sur d’autres sites

  1. pem, .crt, .key, .toto c'est la même chose (enfin presque), il s'agit de simple fichiers texte en base64, donc pas de soucis, ça devrait marcher (au pire change l’extension)
  2. ça se passe encore comme ça avec DSM6, tu as du louper un truc

Pour le 2, je ne coche pas la redirection car elle créé d'autres soucis ailleurs, j'ai simplement ajouté un petit script php de 5 lignes pour le faire à la racine de webstation. Combiné avec le reverse proxy ça marche très bien.

Lien vers le commentaire
Partager sur d’autres sites

Salut Fenrir, merci pour ton astuce !

 

Bonne idée celle du reverse proxy, je me doutais pas de l'étendue de cette fonction !

Du coup j'ai repris le fil du début à la fin. Effectivement j'avais loupé un truc, la migration DSM 5->6 n'a pas fait suivre toute la config du parefeu.

Une fois ça rétabli, j'ai remappé par le reverse proxy les ports des applis pour entrer sur un port ouvert en HTTPS et ressortir vers l'appli en HTTP sur un port fermé par le pare-feu, ainsi les packages sont en HTTPS sans avoir à paramétrer de certificat.

 

Voilà qui m'enlève déjà un problème.

 

Pour web station je cherche encore comment réautoriser du HTTP sans avoir à forcément passer par un virtual host (car j'aime bien les accès par l'url mon.nas.com/monsite/ et que j'ai pas forcément la possibilité de faire des sous-sous-domaines).

 

En tout cas merci pour l'astuce !

Lien vers le commentaire
Partager sur d’autres sites

Tu ne peux pas simplement dire mon.nas.com/site1 en http et mon.nas.com/site1 en https, le choix de faire http ou https est fait au moment de la connexion à mon.nas.com.

Si tu souhaites le faire par la suite, il n'y a pas le choix, c'est au site de le faire (en php ou avec un htaccess).

nb : à défaut d'avoir plusieurs nom de domaine, tu peux aussi jouer avec les ports ...

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.