Aller au contenu

Problème pour obtenir un certificat Let's Encrypt


Messages recommandés

Salut à tous,

Me revoilà avec encore un problème de paramétrage à résoudre... :p

 

J'ai parcouru longuement le forum sans trouver de solution à mon problème.

J'ai tout d'abord créé un accès externe à mon Nas avec un service ddns : nom.synology.me 

Tout fonctionne très bien avec l'utilisation du certificat auosigné Synology.

Lors d'une connexion sur l'adresse : https://nom.synologe.me depuis l'extérieur, le navigateur me demande d'ajouter un exception de sécurité car certificat non fiable.

J'ai donc voulu créer un certificat Let's Encrypt pour régler ce problème.

J'ai suivi l'assistant de Dsm pour télécharger un certificat Let's Encrypt.

Voilà les capture écran de ce que je met en réglages

5a707e497f16a_Crationcertificat1.png.5c9d8e54869fe24b2783e179bca255b8.png

 

5a707e6d36fe0_Crationcertificat2.jpg.e15263419df1ed386fd66aac26f6ab80.jpg

 

 

5a707ef63f8ec_Crationcertificat3.jpg.cae77d282bba1a92d8f3700da1802dd3.jpg

 

Ensuite je clique sur appliquer et voici le message d'erruer qui s'affiche :

5a707f9f80dce_Crationcertificat4.jpg.926d1a889de446254e1b2e9bd2a3d93d.jpg

Pourtant j'ai bien ouvert les ports 80 et 443 sur le parefeu du Synology (voir ci-dessous), et également enregistré les règles NAT de ma Box.

Pour info, j'ai changé les port de DSM en 1979 (http) et 1980 (https)

Parefeu du Nas :

5a7081202089d_Crationcertificat5.jpg.b946b061e32a855ac4a20e53f985d8e8.jpg

Mes redirections NAT sur la livebox (j'ai surement trop fait de redirections pour les applicatons mais faudra que j'affine) ;)

5a70812b43190_ConfigLivebox.jpg.d072b09d59f89101a2c07a5ca43a53fb.jpg

Avez-vous une idée de ce qui pose problème ?

Modifié par Clypse
Lien vers le commentaire
Partager sur d’autres sites

C'est surtout parce que l'autre nom de l'objet (communément appelé le SAN) n'est pas un nom valide. Un certificat ne peut pas être émis sur un domaine inexistant. Et sauf erreur, le domaine certif.nas.com n'est qu'un nom imaginaire. Si vous n'avez que le nom de domaine à certifier, vous laissez cette ligne (SAN) en blanc.

Lien vers le commentaire
Partager sur d’autres sites

Ce n'est pas tout à fait ce que j'ai dit. Il faut bien que le port 80 du routeur soit dirigé vers le NAS. Mais il faut en diminuer la portée aux seules IP servant au renouvellement du certificat. Les 2 adresses sont données un peu plus loin par PiwiLABruti. Il suffit de créer 2 règles sur le port 80, une pour chaque IP. Ainsi vous pouvez laisser le 80 ouvert en permanence sans risque d'attaque externe.

Ensuite, la règle de refus doit obligatoirement être placée en dernier. Les règles sont lues à la suite. Et actuellement, votre service ntp (dernière ligne) est bloqué

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.