OniK
-
Compteur de contenus
35 -
Inscription
-
Dernière visite
Messages posté(e)s par OniK
-
-
salut
je profite de ton message pour souligner le fait de bien faire attention a ses certifs S/MIME startSSL ...
donc ne pas les perdre et bien faire attention a la date de validite de vos certifs S/MIME ... pcq sinon plus d'acces a votre compte
@+
0 -
-
en effet ...
par contre ( et j'aurais du le preciser ds mon tuto ) il n'est vraiment pas conseille de securiser un domaine sur www.***.** avec un certif gratuit ...
pcq si pour une raison x ou y tu rencontres le moindre probleme avec ton certif tu va tjs pouvoir courrir pour le revoquer ... ( ce n'est absolument pas le cas pour un certif payant )
tandis que si tu securises un sous domaine + domaine sans le www en cas de prob y te suffit de recrer un nouveau certif avec un nouveau sous domaine + ton domaine sans le www ...
donc pour resumer la meilleur solution est de securiser votre domaine de cette facon : domaine.com ( sans le www !!! ) + sous-domaine.domaine.com
Pour ce qui est du java utilis
0 -
Salut faaaa,
En fait ne n'avais pas de probl
0 -
rectification car apres plusieurs contre test fait ici et en externe je confirme que les prob rencontre par faaaa ( mis a part pour IE sous XP ) ne se produisent que chez lui et sur son serveur uniquement ...
donc si vous rencontrez ce genre d'erreur il faut revoir votre config car le prob est chez vous ...
@+
OniK
0 -
re ...
j'ai fait qq test sur ton serveur ... en effet ca merde qq part
peux tu me donner ta config exacte stp ??
@+
OniK
ps check tes PM ^_-
0 -
salut faaaa,
pour faire vite :
1) tu dois bien renomer le fichier en ca-bundle.crt
2) je sais que ca bug avec XP mais me demande pas pq ... a voir si c tjs le meme prob avec dms 3
pour firefox c bizare ca doit fonctionner ... a mon avis t'as loupe qq chose ds le tuto ...
3) la chaine est assez longue c normal ... tu dois avoir ca :
Common name: xxx
SANs: xxx
Organization: Persona Not Validated
Location: xx
Valid xxx
Serial Number: xxxxx
Signature Algorithm: sha1WithRSAEncryption
Issuer: StartCom Class 1 Primary Intermediate Server CA
Common name: StartCom Certification Authority
Organization: StartCom Ltd.
Location: IL
Valid from September 17, 2006 to September 17, 2036
Serial Number: 1 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: StartCom Certification Authority
Common name: StartCom Class 1 Primary Intermediate Client CA
Organization: StartCom Ltd.
Location: IL
Valid from October 24, 2007 to October 22, 2012
Serial Number: 13 (0xd)
Signature Algorithm: sha1WithRSAEncryption
Issuer: StartCom Certification Authority
Common name: StartCom Class 1 Primary Intermediate Domain Controller CA
Organization: StartCom Ltd.
Location: IL
Valid from October 24, 2007 to October 22, 2012
Serial Number: 16 (0x10)
Signature Algorithm: sha1WithRSAEncryption
Issuer: StartCom Certification Authority
Common name: StartCom Class 1 Primary Intermediate Server CA
Organization: StartCom Ltd.
Location: IL
Valid from October 24, 2007 to October 22, 2012
Serial Number: 10 (0xa)
Signature Algorithm: sha1WithRSAEncryption
Issuer: StartCom Certification Authority
Common name: StartCom Class 2 Primary Intermediate Client CA
Organization: StartCom Ltd.
Location: IL
Valid from October 24, 2007 to October 22, 2012
Serial Number: 14 (0xe)
Signature Algorithm: sha1WithRSAEncryption
Issuer: StartCom Certification Authority
Common name: StartCom Class 2 Primary Intermediate Object CA
Organization: StartCom Ltd.
Location: IL
Valid from October 24, 2007 to October 24, 2012
Serial Number: 21 (0x15)
Signature Algorithm: sha1WithRSAEncryption
Issuer: StartCom Certification Authority
Common name: StartCom Class 2 Primary Intermediate Server CA
Organization: StartCom Ltd.
Location: IL
Valid from October 24, 2007 to October 22, 2012
Serial Number: 11 (0xb)
Signature Algorithm: sha1WithRSAEncryption
Issuer: StartCom Certification Authority
Common name: StartCom Class 3 Primary Intermediate Client CA
Organization: StartCom Ltd.
Location: IL
Valid from October 24, 2007 to October 22, 2012
Serial Number: 15 (0xf)
Signature Algorithm: sha1WithRSAEncryption
Issuer: StartCom Certification Authority
Common name: StartCom Class 3 Primary Intermediate Object CA
Organization: StartCom Ltd.
Location: IL
Valid from October 24, 2007 to October 24, 2012
Serial Number: 22 (0x16)
Signature Algorithm: sha1WithRSAEncryption
Issuer: StartCom Certification Authority
Common name: StartCom Class 3 Primary Intermediate Server CA
Organization: StartCom Ltd.
Location: IL
Valid from October 24, 2007 to October 22, 2012
Serial Number: 12 (0xc)
Signature Algorithm: sha1WithRSAEncryption
Issuer: StartCom Certification Authority
Common name: StartCom Extended Validation Server CA
Organization: StartCom Ltd.
Location: IL
Valid from December 31, 2008 to December 31, 2018
Serial Number: 23 (0x17)
Signature Algorithm: sha1WithRSAEncryption
Issuer: StartCom Certification Authority
je te conseille de refaire le tuto depuis le debut et voir ce que ca donne ...
@+
OniK
0 -
2 rien ^-^
sinon ton prob "ssl_error_handshake_failure_alert" est tres simple ...
pour te logger le certif que t'as recu a ton inscription doit etre installe sur tes navigateurs ... sinon pas d'acces a ton compte perso ...
@+
OniK
0 -
salut Rackham
le cas de Squale etait un rien particulier ...
donc non dans ton cas ne te tracasse pas tu n'as pas besoin du tuto d'd'Alastor2262
prend simplemnt mon tuto et tout ira bien ^_-
J'aurai donc accès :- en http (port
) à photo station et web station (sd2.mondomaine.fr et sd3.mondomaine.fr)oui
- en https (port 5001 mais sans SSL) à photo station et web station (que je ne compte pas utiliser)tu seras en SSL mais sur le port 443 ... photo et web station sont sur le
http et 443 https ... 5001 c pour DSM en https- en http (port 5000) à DSM (sd1.mondomaine.fr) que je n'utiliserai plus.c le mieux en effet ... surtout si t'as un certif ssl ^-^v
- en https (port 443 avec SSL) à DSM pour l'accès sécurisé depuis internet.tu seras en SSL mais sur le port 5001
L'utilisation d'un SSL se justifie t'il dans ce cas ?je vais dire des que tu dois rentrer un login et mdp sur le net c tjs preferable d'etre sur une connection securisee ...
donc en gros OUI
Il est vrai que j'ai un peu pourri ce tuto de l'ami Onik.LOL non faut pas dire ca ...
bon ca risque d'en perturber certain comme notre ami Rackham mais ca en aidera d'autre
Pour l'enregistrement chez Starssl, tu parts avec mondomaine.fr (d'ailleurs la saisie initiale ne permet pas d'inclure un sous domaine) ... et au cours de l'inscription tu pourras déclarer 1 (et 1 seul pour la version gratuite) sous domaine, donc sd1.domaine.fr.je confirme 1 sous domaine + ton domaine par certif ... mais tu peux creer autant de certif que tu veux ...
apres tu peux jouer avec des virtual host etc ...
mais bon un certif avec wildcard (*.domain.com) est recommande si t'as absolument besoin de plusieurs sous domaine ...
A priori, le certificat fonctionne pour tous les accès sécurisés donc Filestation (7001), gestion du Syno (5001), FTPES et WEB du moins pour des accès externes (car en interne au réseau local on a le message d'erreur de certificat). Pour le FTP, FTPS semble ne pas fonctionner mais c'est ok avec FTPES.logiqment le ftps devrait fonctionner mais j'y suis pas arrive ... j'ai pas cherche plus que ca non plus mais si qq a la solution je suis prenneur
@+
OniK
0 -
haaaaaaaaa enfin !!!
oui je te l'ai deja dit qq post avant ... le ssl c sur le 443 uniquement ... tu peux le route sur un autre port mais ds ts les cas de figure
pour le basic y te faut le 443 ... apres tu peux utiliser d'autre port sup en ssl mais la ca n'a rien a voir
pareil pour sslshopper ... il check du https uniquement donc y cherche le port 443 ... si toi t'es en 7001 ben d'office ca ira pas ... meme si tu lui precice avec :7001
apres tu peux bidouiller mais bon j'en vois pas trop l'utilite ...
en tt cas content que tt marche enfin nikel
@+
OniK
0 -
salut
ok pour 1
0 -
alors ...
a premiere vue t'as fait les bonnes modifs ...
maintenant faut trouver ou ca merde ...
Donc je n'ai pas de server.key ... au début du tuto, import du certificat par l'interface graphique, puis j'ai du louper un des mv de l'encadré qui suit.les .key se trouvent ici : /usr/syno/etc/ssl/ssl.key
ton fichier server.key est bien decrypte ????
t'as bien u les 2 confirmations de reboot ???
/usr/syno/etc/rc.d/S97apache-sys.sh restart ( enter )
....
server restarted
/usr/syno/etc/rc.d/S97apache-user.sh restart ( enter )
...
server restarted
a la limite fait simplment un reboot de ton NAS et refait le check avec sslshopper
@+
OniK
0 -
J'ai mon domaine h0
-
hummmmmm ...
y faut que tu me precise 2-3 trucs la ...
Avec mondomaine.fr, j'ai une réponse immédiate avec une résolution qui donne 87.106.112.181 et qui suivant le whois utilisé serait une adresse 1&1 (qui est mon hébergeur), un type de serveur Apache et pas de certificat SSL trouvé (tout en voulant que mon port 443 soit ouvert sur mon routeur, mais en fait c'est chez mon hébergeur).chez 1&1 t'as juste ton nom de domaine ou domaine + hebergement ???????
pcq logiquement tu devrais avoir ton ip externe ds la resolution de ton domaine ... ( ton domaine -> ton dyndns -> ton ip -> ton NAS )
le certif etant installe sur ton NAS il est totalement logique que ca marche pas si t'es redirige sur le server de 1&1
sinon ton port 443 est bien ouvert sur ton modem ????
n'oublie pas aussi d'ouvrir le port 5001 pour les app de ton SYNO ( sauf si tu l'as modifier par un autre port ) + ts les autres ports que t'utilise sur ton NAS ...
check ici http://www.canyouseeme.org/
Avec serveur.mondomaine.fr, adresse que j'utilise pour l'accès WEB, Filestation et FTP ... comme les jours précédents, absolument aucun retour du site (j'ai le petit rond qui tourne) après plus 15 minutes (IE7 ou IE8). Pour info, le port 443 ne doit pas être naté sur mon routeur.double hummmmmm ...
pareil pour serveur.mondomaine.fr .... chez 1&1 la redirection de ton sous domaine doit etre faite sur ton ip externe ( dyndns ) ...
sans oublier de preciser le nom du dossier cible pour ton sous domaine ( si t'en a l'utilite ) ... par ex : mondomaine.fr/serveur
quel que soit le sous domaine ou domaine utilise tu dois d'office avoir le 443 + 5001 etc d'ouvert sur ton modem ...
port ferme = pas de connection ...
Tu viens de me foutr$ un coup au moral.sorry .... mais tracass on va y arriver ^_-
@ +
OniK
0 -
re
Bon l'ensemble des messages que tu sembles trouver bizarres sont effectivement pour l'acc0 -
salut squale,
Respect Onik, tu t'es cassé la tête dans les grandes largeurs.Et bien un grand merci puisque tout est devenu nickel.
2 rien ^_^v
et content que tout marche nikel !
Bon, le 1° secret était effectivement de ne pas utiliser IE7 qui enchaîne les erreurs dans l'onglet Certificate Wizard. J'ai pu impunément rentré un password sur seulement 8 caractères (au lieu de 10) sans aucune erreur, puis quand on fait suivant, 9 fois sur 10, on a le petit rond qui tourne et puis rien du tout ...Avec W7 et IE8, comme tu le dis très bien, on se fait jeter sur les 8 caractères, le sablier ne dure que quelques secondes et une fenêtre s'ouvre avec de quoi faire un copié / collé de sa clef personnelle (je ne suis jamais arrivé à afficher cet encart avec IE7).
Du coup tout s'enchaîne normalement (et tes copies d'écran servent de bretelles) ... et effectivement on a le choix d'enregister un sous domaine (on a donc le domaine et 1 sous domaine pour la version gratuite).
oui IE7 faut meme pas essayer ...
et oui le certif gratuit te permet de securiser ton domaine + un sous domaine ... et aussi ne pas oublier que tu peux faire un nombre illimite de certif ... + des certif mail S/MIME
Donc un très grand merci et à bientôt, car si j'ai bien compris ce certificat initial n'est valable que 30 jours et il faudra le renouveller
non la tu t'embrouilles ... en fait ton domaine est valide pour 30 jours ... ( en gros si tu revalides pas ton domaine apres 30j tu peux plus faire de nouveaux certifs sans avoir revalider ton domaine avant ... )
par contre ton certif web lui est valable 1 an !
le S/MIME lui n'est valide que 30 jours
nb : pour ceux qui comme moi change de machine au milieu de la manip, il suffit d'exporter le certificat initial de StartSSL au format *.pfx (c'est à dire avec la clef personnelle) de la 1° machine et de l'importer bêtement dans la 2°.oui et surtout bien garder une copie de ce certif pcq sinon adieu ton acces a ton compte utilisateur ...
Tiens une curiosité : plus de message "Le certificat de sécurité de ce site Wen présente un problème" lors de l'accès par l'adresse publique. Par contre on a toujours ce message lorsque l'on entre avec son adresse locale (le 192.168.x.y) aussi bien en http (qui poursuivra en https) qu'en https.Normal ?????
oui c tout a fait normale ... si tu veux un certif qui reprend tes ip interne ou adresse lan ben la faut passer par un certif auto signe ...
J'ai profité de ce lundi pour me connecter "en vrai" c'est à dire depuis une autre installation, poste fraîchement installé avec W7/IE8.L'arrivée sur le syno donne un 1° message : Le certificat du site Web ne peut pas être vérifié. Souhaitez-vous continuer ? suivi du fait que le Nom du serveur est serveur.domaine.com et que l'éditeur est serveur.domaine.com.
Bref, merdouille et crotte de caniche, c'est toujours pas transparent
la c tres strange ...
t'as u cette erreur sur la partie admin ou autre ????
Si on répond que on continue, 2° message : La signature numérique de l'application à été vérifiéee. Souhaitez-vous exécuter l'application ?. On a la possibilité de consulter le détail du certificat et là on retrouve l'adresse mail déclarée lors de l'inscription. Voil un point qui craint : il faut absolument déposer sa demande avec une adresse mail du type webmaster.domaine.com ou contact.domaine.com ...la je presume que t'as u cette erreur sur file station ??? en gros c "normale" leur code est signe bizarement j'ai u la meme erreur quand j'ai fait le test sur file station ...
mais ca dit juste que l'app n'as pas un certif valide ... en gros ca ne change rien au cryptage de tes pages ...
bon perso j'utilise pas file station je deteste ce truc ...
Bref ce n'est non seulement pas transparent mais c'est encore plus long que le classique "Le certificat de sécurité de ce site Web présente un problème" et quasi aussi louche
encore une fois si c sur file station faut pas en tenir compte ... mais je confirme c chiant
Mais là ou est achevé, c'est de constater le manque d'efficacité réelle de cette application FileStation. Non, non ce n'est pas de la provoc ... mais un constat en réel entre 2 installations pourtant équipées du haut débit en dégroupé, le tout à moins de 1000 m du central.L'appli est bien propre au niveau design, mais le JAVA, il lui faut son temps ... et puis l'ergonomie n'est pas celle de Windows et perdra n'importe quel utilisateur moyen (qui naturellement, voulant rapatrier un fichier fera un clic droit, copier ... et sera surpris de ne pouvoir faire le coller que sur le Syno ... et il lui faudra chercher longtemps le "charger" planqué dans la boîte déroulante).
Bref passons à ce rapatriement. Allez on dispose, depuis le serveur, d'un débit de 110 Ko/s réel environ (c'est le UP du serveur) ... mais qui au travers du Syno, du lan1, du routeur 1, du réseau Internet, du routeur 2, de l'appli en JAVA .... vont se transformer en 24 - 25 Ko/s en vitesse de croisière établie (en ayant viré les antivirus).
Et nous voilà revenu "presque" au temps des modems réseau commuté.
Finalement, un grand coup de Filezilla et on obtient quasi 100 Ko/s soit 4 fois plus (Filezilla car il est capable de récupérer les conneri$$ du Syno qui balance son adresse interne lors du basculement en mode passif ET qui ne veux pas rester en mode actif).
C'est mieux, mais on reste loin de nos conditions de mises au point sur le réseau local en Gigabit ... et il ne faut pas le perdre de vue.
la par contre je peux pas t'aider ... j'ai fait un test en externe pour voir ce que donne file station ...
je tourne a 245ko/s de moyenne ( mon NAS a un up de 250ko/s )
mon nas est connecter a mon router cisco et lui est connecter a mon modem vdsl ...
Finalement, je vais reprendre mon disque dur USB "un poil optimisé" pour aller chez les gens, il y aura moins de perte de temps.C'était mon 1/4 d'heure désabusé
ben je ne connais pas ton utilisation de ton server mais si t'as juste des prob avec file station laisse tomber cette appli ...
ok c sympa pour un debutant mais si tu veux du lourd passe ton chemin ...
pcq devoir te balader avec un hdd usb juste a cause de filestation c con ... sauf si tu dois utiliser des fichier de plusieur giga ... la tu sera tjs limiter par l'UP de ton NAS
si t'as besoin de conseil plus specifique n'hesite pas a me contacter par PM
@+
OniK
0 -
re
Merci pour tes conseils.Trop tard pour le coup du domaine, mais à postériori je ne vois pas comment j'aurais pu suivre tes conseils de prudence (car un certificat de class 1, le seul gratuit, n'autorise pas les sous domaines et donc on s'enregistre avec son domaine, basta). Comme j'ai également un sous-domaine, j'ai bien tenté de l'enregistrer mais je me suis fait jeter.
2 rien l'ami ^_^v
en fait un class1 te permet de securiser xxx.domaine.com + domaine.com
donc un sous domaine + ton domaine ... d'ou l'utilite de ne jamais securiser www.domaine.com comme "sous domaine"
tu comprendras mieux en suivant la procedure CSR
deja avant tout as tu deja valide ton domaine ?????
sur validation wizard ... tu dois recevoir un mail avec un code a rentrer sur leur site ...
apres tu vas sur certificate wizard pour la procedure CSR qui te permetras d'avoir ta clef et ton certif ...
Je suis obtu, je n'arrive à rien qui colle avec tes infos.Dans la ToolBox de StartSSl, Retrieve Certificate (en se limitant à la Class1) on a :
* StartCom Root CA qui donne un ca.cer qui a la tête d'un certificat non crypté.
* Server Certificate Bundle with CRLs qui donne un ca-bundle.cer, qui semble être un "tas" de certificats non cryptés les uns derrière les autres
* Class1 Intermediate Serveur CA qui donne un sub.class1.server.ca.cer
* Class1 Intermediate Client CA qui donne un sub.class1.client.ca.cer
Voilà on a fait le tour.
la t'es pas au bon endroit ... je te conseille firefox ou IE8 pour le site de startssl ... ya qq bug sous IE7
ce que tu me decrit est ds StartCom CA Certificates ...
Donc le ".crt : ton certif" c'est lequel ?Et "le .key : ta clef", where is ?
J'ai bien tenter de bidouiller avec les *.pfx donné par IE7, mais là le Syno me jette car il veut du UTF-8.
laisse tomber le pfx ...
donc tu valides ton domaine puis la procedure CSR ds certificate wizard tu selectionne web server ssl
puis tu commence le CSR
a la fin t'auras ta vlef privee ... ne la perd pas vu que ya pas moyen de la recuperer !!!!
apres pour recuperer ton .crt tu vas donc ds toolbox - retrieve certificate
tu selectionne le certif que tu veux
et vla ton certif tu le recopie ds un fichier txt que tu renome en .crt
apres y te reste plus qu'a suivre mon tuto
Je reste dans la bouse. Jetter moi une corde, SVPSquale
j'espere que t'y arriveraa ce coup ci ... sinon dit moi ou ca bloque
@+
OniK
0 -
ben perso si tu veux du basic je ne peux te conseiller que 1&1 ou OVH ...
apres si tu veux etre totalement "libre" va simplement chez infomaniak ! 90 euro la premiere anne et 120 les suivantes ...
et la tu seras heureux
apres pour ton prob MySQL perso chez infomaniak fais ce que je veux avec sur mes DB de mes site pro
mais 1&1 etc je peux pas te dire j'ai juste mon domaine perso chez eux ...
0 -
Ok !
En parcourant les differentes offres de services d'enregistrement de domaines, je trouve qu'il y a à boire et à manger.
En dehors de tous services d'hébergements lourds, il est vrai que je peux trouver une offre très intéressante à moins de 30
0 -
Je vais devoir creuser tout cela !
Le domaine ok par trop ch
0 -
salut CaptainIgloo,
Avoir son propre nom de domaine est-il vraiment utile ? [prefix].dyndns.org n'en est pas un !tt depend de ton utilite pour ton nom de domaine ... mais sincerement pour 5-10
0 -
-
Bonjour,
alors voici mon probleme
en interne pas le moindre prob http et https OK
par contre en externe le https refuse de focntionner !!??
j'ai accesss a tout en http mais a rien en https et ca quelque soit le port utilise 443, 5001, ...
j'ai checker mes port tout est OK et mon ISP ne bloque pas les port
et 443 ....si qq a une solution je suis prenneur pcq la je vais devenir fou et j'ai absolument besoin de ma connection HTTPS ...
merci
OniK
0 -
Avec le certificat autosigne, il suffit de rajouter la liste des domaines selon mon tuto, smtp.mondomaine.fr pop.mondomaine.fr, et imap.mondomaine.fr .... à voir si cela peut d'adapter avec startssl.
Je reste cependant septique, c'est un certificat classe 1, donc pas de sous domaine ....
PS: étant donné que smtp, pop et imap se reporte à la même adresse ip, mettre le nom de domaine (sans le protocole devant) devrait suffire
Cordialement.
oui avec un certif auto signe tu peux avoir "l'equivalent" d'un certif wildcard ( ce sera jamais *.domain.com mais bon .... ) l'avantage tu peux aussi y renseigner tes IP interne et adresse intranet ...
seul prob y sera jamais reconnu par un navigateur ou tu n'as pas installer ton ca.crt manuellement ...
pour startssl class 1 tu as : mondomaine.com + xxx.mondomaine.com / certificat
ok c moin pratique qu'un autosigne mais bon t'as l'avantage d'avoir un certif reconnu et muni d'une assurance de 10000$ ... le tout gratuitement!
petit plus : S/MIME Client + Auth gratuit
faut passer en class2 pour du wildcard ou multidom
et oui logiquement juste le nom de domaine suffit pour smtp, pop et imap mais ca reste a verifier ...
@+
OniK
0
Comment Installer Correctement Un Certificat Ssl Startssl - Comodo ... ?
dans Tutoriels
Posté(e)
salut titon
si tu n'as pas d'erreur sur le port 443 a mon avis ton prob vien de httpd-ssl.conf-sys
verifier si il comporte les meme modifs que pour ton fichier httpd-ssl.conf-user en gros tu dois y retrouver ca :
SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key
SSLCertificateChainFile /usr/syno/etc/ssl/ssl.crt/ca-bundle.crt
@+
OniK