LittleLama Posté(e) le 20 avril 2017 Partager Posté(e) le 20 avril 2017 Bonjour Comme les certificats StartSSL ont été banis, je viens de sécuriser mon DSM en créant un certificat Let's Encrypt et par la même occasion en passant à DSM 6. Dès lors toutes mes connections HTTP ont automatiquement été redirigées en HTTPS. Mais genre toutes ... toutes quoi ! L'administration OK, mais la web station, les packages disposant d'une interface web ... tout ! Jusque là pas de soucis mais du coup mes packages utilisant HTTP(S) me jettent. Et mes sites persos hébergés sur la web station ne fonctionnent plus correctement puisque les dépendances étaient appelées en HTTP. Bref, cette sécurisation me paraît un poil exagérée (ou bien prématurée pour moi). Alors plusieurs questions : Comment faire référence au certificat Let's Encrypt dans les packages utilisant une interface Web afin d'autoriser la connexion en HTTPS : par exemple dans SABnzbd il est demandé deux clé : une .crt et une .key mais Let's Encrypt ne donne que des clés au format .pem ? Comment exclure la web station de la redirection HTTPS pour ne laisser sous HTTPS que l'administration par exemple (ça se passait comme ça sous DSM 5 avec mon ancien certificat) ? Merci beaucoup à vous pour tout avis ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 20 avril 2017 Partager Posté(e) le 20 avril 2017 pem, .crt, .key, .toto c'est la même chose (enfin presque), il s'agit de simple fichiers texte en base64, donc pas de soucis, ça devrait marcher (au pire change l’extension) ça se passe encore comme ça avec DSM6, tu as du louper un truc Pour le 2, je ne coche pas la redirection car elle créé d'autres soucis ailleurs, j'ai simplement ajouté un petit script php de 5 lignes pour le faire à la racine de webstation. Combiné avec le reverse proxy ça marche très bien. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
LittleLama Posté(e) le 20 avril 2017 Auteur Partager Posté(e) le 20 avril 2017 Salut Fenrir, merci pour ton astuce ! Bonne idée celle du reverse proxy, je me doutais pas de l'étendue de cette fonction ! Du coup j'ai repris le fil du début à la fin. Effectivement j'avais loupé un truc, la migration DSM 5->6 n'a pas fait suivre toute la config du parefeu. Une fois ça rétabli, j'ai remappé par le reverse proxy les ports des applis pour entrer sur un port ouvert en HTTPS et ressortir vers l'appli en HTTP sur un port fermé par le pare-feu, ainsi les packages sont en HTTPS sans avoir à paramétrer de certificat. Voilà qui m'enlève déjà un problème. Pour web station je cherche encore comment réautoriser du HTTP sans avoir à forcément passer par un virtual host (car j'aime bien les accès par l'url mon.nas.com/monsite/ et que j'ai pas forcément la possibilité de faire des sous-sous-domaines). En tout cas merci pour l'astuce ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 20 avril 2017 Partager Posté(e) le 20 avril 2017 Tu ne peux pas simplement dire mon.nas.com/site1 en http et mon.nas.com/site1 en https, le choix de faire http ou https est fait au moment de la connexion à mon.nas.com. Si tu souhaites le faire par la suite, il n'y a pas le choix, c'est au site de le faire (en php ou avec un htaccess). nb : à défaut d'avoir plusieurs nom de domaine, tu peux aussi jouer avec les ports ... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.