Bon je décris ce que j'ai fait si ça peut aider des gens.

Je suis allé vérifier si mes clés OVH étaient expirées (dans mon souvenir je n'avais pas mis de date d'expiration)
L'API OVH me confirme qu'il n'y a pas de date:

 

oracle7 m'a dit que les 3 clés OVH étaient stockées dans le fichier
/usr/local/share/acme.sh/account.conf

Or je n'avais que SAVED_OVH_AK et SAVED_OVH_AS.
Pas de OVH_CK donc.

Dans le code source du script ACME pour OVH, ici:
https://github.com/acmesh-official/acme.sh/blob/15c68c95940620f1db1b9b5704e730f681ad2f9c/dnsapi/dns_ovh.sh#L95

On voit qu'il supprime la variable OVH_CK s'il détecte un changement de clé.
Ça expliquerait l'absence de valeur de mon côté.

Je l'ai simplement remise, j'ai relancé et c'est reparti.
Je n'explique pas sa suppression.

Merci, je pense que tu as raison 🙂

Je viens de me connecter en ssh, via le compte root et je m'étonne que quand je fais un "env", je ne vois pas les 4 variables d'environnement OVH dans la liste (OVH_AK, OVH_CK, ...)

Pourtant lors du tuto on a bien fait un "export" des ces 4 variables.
Tu sais où elles atterrissent?

Bonjour.

Vous aussi du jour au lendemain vous avez eu ce genre d'erreur (je suis chez OVH)?
 

[Sun Feb 20 01:00:17 CET 2022] error {"message":"This credential is
not valid","httpCode":"403
Forbidden","errorCode":"INVALID_CREDENTIAL"}
[Sun Feb 20 01:00:17 CET 2022] The consumer key is invalid:
tUg4erO1sSTK3ye7itSwoYbsLhYwYPyL
[Sun Feb 20 01:00:17 CET 2022] Please retry to create a new one.

 

Merci mais j'ai dû mal m'exprimer.

J'ai fais tout ce que tu décris @oracle7.

Pour être plus précis j'ai un conteneur docker qui tourne avec une API Python qui écoute.

J'ai envie de limiter l'accès aux requêtes dont l'ip source est mon ip publique.

Aujourd'hui, j'arrive à faire ça en changeant à la main la rule dans le "profil de contrôle d'accès".
J'ai juste envie d'automatiser le truc en le scriptant d'où ma demande pour savoir s'il y a une commande qui fait ça!

Salut.

Savez-vous s'il est possible de modifier un profil de contrôle d'accès

 

en ligne de commande?

J'ai cru voir l'outil synoacltool mais pas sûr que ça fasse le taf.

 

Pour donner du contexte, j'y ai mis mon ip publique et j'aimerais la mettre à jour automatiquement lorsqu'elle change.

Je pense que c'est bon finalement.

En fait j'ai précisé 3 domaines lors du "issue".
Les 2 premiers étant mon domaine1 et sa wildcard.
Le 3ème paramètre est donc mon domaine2.

Lors du deploy, il m'a fallu absolument mettre la variable 

export SYNO_Create=1

Car en fait il va créer un second certificat (dans la fenêtre des certificats du panneau de config Syno) avec comme description mon domaine2.

Là du coup c'est passé.
Dans le panneau de config donc, je me retrouve avec 2 certifs visibles, qui ont le même nom.
Le premier a une description vide (certif par défaut)
Le second a comme description mon second ndd.

Je lui ai ensuite associé le service web qui doit utiliser ce certificat.

J'avoue que je suis étonné, je m'attendais à ne voir qu'un certif dans le panneau de config.

J'ai un doute quand même...
Je me demande si ce comportement n'est pas un effet secondaire de tous mes tests.

Parce que la description de ce "second" certifcat n'est pas "mondomaine2.com", mais juste "Mondomaine2"

C'est à dire sans le ".com" et avec une majuscule.
Et c'est exactement la description que j'avais mis lorsque j'ai essayé de déployer mon autre certificat quand je voulais en créer plusieurs.

Je me répond à moi même et oui ce n'est pas la bonne méthode.

Je pense qu'il faut plutôt ajouter un paramètre "-d" lors du "issue":

./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" -d "$CERT_OTHER_DOMAIN" --dns "$CERT_DNS"

Il devrait alors créer un certificat valable pour tout les ndd précisés en paramètre.

Par contre je galère pour les déployer ensuite.

Merci pour tout ça marche nickel!

Je suis sous DSM 7 et au niveau de la tâche planifiée j'ai fait ce que tu as écrit dans la conversation, c'est à dire ne pas utiliser python et mettre direct:

bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --home /usr/local/share/acme.sh/

 

Question:

J'ai 2 ndd à renouveler.
Les 2 sont chez OVH et les clés OVH que j'ai généré sont valables poru tous les ndd.

Je me suis dit qu'il suffisait que je crée 2 tâches planifiées qui ressembleront à ça:

export CERT_DOMAIN="votre-domaine.tld"
export CERT_WDOMAIN="*.votre-domaine.tld"
export SYNO_Certificate=""
bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --home /usr/local/share/acme.sh/

export CERT_DOMAIN="votre-domaine2.tld"
export CERT_WDOMAIN="*.votre-domaine2.tld"
export SYNO_Certificate="Autre certif"
bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --home /usr/local/share/acme.sh/

Mais le second certificat a le nom du premier donc mes "export" semblent pas suffisant.
Même si pourtant le second certificat a bien la description "Autre certif"...

Qu'en penses-tu?

Ah ok tout simplement...

Merci !

Ah oui mon exemple est le même concernant les DS420+ et DS920+ effectivement.

Donc si je comprends bien, le DS920+ propose la possibilité de mettre une extension, mais surtout de la puissance supplémentaire.

Il se trouve que je me sers beaucoup de docker, mais j'ai pas tellement besoin d'espace.

Et d'ailleurs j'hésite à prendre un "vrai" serveur, pas un NAS.

Voir partir dans le cloud.

Qu'en pensez-vous?

Bonjour!

J'ai actuellement le DS218+ et j'en suis ravi.

Je souhaite passer sur un 4 baies et j'ai été étonné de voir qu'au delà du DS418+, il existe des NAS avec possibilité d'extension, le DS918+ par exemple.

Je ne comprends pas ce que ça apporte.
Si j'ai besoin de plus d'espace, pourquoi ne pas se contenter du DS418+ avec des disques durs plus gros?

Salut.

Petit à petit je m'en sors avec la conf de mes domaines.

J'ai deux domaines chez OVH et chacun d'eux me redirige vers mon NAS avec la conf DDNS.

OVH
Côté OVH, pour les 2 domaines, j'ai un truc comme ça:

*.mondomaine1.fr.           CNAME    mondomaine1.fr.
www.mondomaine1.fr.    CNAME mondomaine1.fr.

Parfait.

NAS

Côté NAS, j'ai à la fois le reverse proxy, et des virtual hosts.

Reverse proxy

Pour le reverse proxy j'ai quelques entrées pour des sous domaines particuliers, du genre:

calendar.mondomaine1.fr
drive.mondomaine1.fr
mondomaine1.fr              qui redirige vers le port 5000 pour le DSM
...
Et rien concernant mondomaine2 ici

Virtual hosts
Et pour les virtual hosts, j'en ai 2:

truc.mondomaine1.fr qui mène au sous dossier mondomaine1
mondomaine2.fr qui mène au sous dossier mondomaine2

Et donc le répertoire root "web" n'est pas censé être utilisé car rien ne redirige vers lui.

 

Le problème

Pour les 2 domaines, quand je saisi une adresse avec un sous domaine, n'importe lequel qui n'est pas traité par le reverse proxy, par exemple:
https://sdjhfrjkdfhdjkh.mondomaine1.fr
https://toto.mondomaine2.fr

Je suis redirigé vers le dossier "web" de web station.

Ce que je souhaite:
Ça me paraîtrait logique de tomber sur une 404 à la place.
On ne peut pas désactiver le dossier web pour ne laisser que les virtual hosts?

Merci!

Ok fausse alerte, il fallait mettre un "/" à la fin de ma route...

J'ai eu une réponse sur StackOverflow.

Le mec disait que je devrais plutôt utiliser le reverse proxy (qui lui bénéficie du certificat facilement) afin de rediriger les requêtes du front vers l'api.

Les appels à l'api seraient donc uniquement en local et n'ont pas besoin d'être en https.

J'ai donc créé une nouvelle entrée dans le reverse proxy, comme ceci (pj)

 

Mais je tombe sur une 404

Le port 9071 est bien celui sur lequel je dois taper, car ça fonctionne quand j'indique l'adresse ip du NAS suivie du port.

Pour info, la 404 que j'ai est au "style" Synology.

Alors que quand je fais une erreur volontaire dans l'url, j'ai une 404 au style plus classique (voir pj)

 

Qu'en pensez-vous?

Style Synology:

Style "classique":

Salut!

Il s'agit d'un problème à mi-chemin entre le développement et la gestion de notre NAS, j'espère que je poste au bon endroit.

J'ai développé une petite API python qui tourne dans un container docker sur le nas.
Cette API fait des requêtes sur une base mariadb, également sur le nas. 

Mais (et c'est là l'intéressant) j'ai également fais une page web (vue-js) qui interroge l'api python.

Tout ça marche bien, mais je souhaite appliquer du HTTPS.

Voici (en pj) le schéma de ma situation.

J'ai un certificat LE, je m'en sers déjà pour sécuriser l'accès au DSM par exemple.
J'ai réussi à l'utiliser pour avoir du HTTPS sur mon appli vue-js.

Le problème c'est qu'il faut également du HTTPS entre l'appli vue-js, et l'api python maintenant, et là je galère.

Puis-je utiliser le même certificat?
Comment je le "donne" à l'api?

Pour info, l'api est en python donc. C'est une appli Flask et le serveur est gunicorn.

J'ai réussi à mettre le https pour les test en local, en ajoutant ssl_context = 'adhoc':

def main():
    app.run(host='0.0.0.0', ssl_context='adhoc')

Mais une fois livré dans docker ça ne fonctionne plus: time out.

Je suis un peu perdu.

Bon j'ai ma réponse pour interdire l'accès extérieur à certains sites, je vais simplement y mettre un fichier .htaccess avec un truc du genre:
 

Order Deny,Allow
Deny from all
Allow from 192.168.1.1/24

Pour mon second problème, l'accès en HTTPS, c'est toujours pas ça.
Je viens de rajouter le sous domaine  site1.web.mondomaine.fr à la liste des autres noms de mon certificat mais lorsque j'accède au site le navigateur me dit que la connexion n'est pas privée.

Et que le certificat semble ne pas être bon car il vient provient du domaine mondomaine.fr

Je sèche... 🤨

Bonjour à vous!

J'utilise Web Station pour héberger 2 sites et je suis un peu paumé.

Je n'utilise pas les Virtual Hosts (c'est peut être un tort, mais je ne comprends pas bien à quoi ça sert).

J'ai 2 dossiers (site1, site2) dans le répertoire "web" qui correspondent à mes 2 sites et j'accède à celui que je veux avec des urls du genre:

• https://web.mondomaine.fr/site1
• https://web.mondomaine.fr/site2

J'utilise le reverse proxy.

Mon problème c'est que je souhaite que l'un des deux sites ne soit accessible que sur mon réseau local, est-ce possible?

Aujourd'hui j'ai un fichier .htaccess à la racine du dossier web avec ce contenu:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

J'ai trouvé ça sur un tuto et j'avoue que je ne sais plus à quoi ça sert. 😳

Mon autre question:
Les sites sont accessibles en HTTP mais je ne souhaite autoriser que le HTTPS.

Voici la conf du reverse proxy:

Une idée?

Merci!

Ok merci!
J'ai un routeur indépendant en plus de la box (Le Synology d'ailleurs).
J'ai cru lire je ne sais plus où qu'on pouvait l'utiliser pour résoudre ce problème localement.

J'imagine que c'est un installant un serveur DNS dessus...

Merci DaffY, tu aurais un lien à partager plus en détail ce que tu expliques stp?

Ça m'intéresse de comprendre techniquement ce qu'il se passe!

Oui oui!

Comme je disais mon installation fonctionnait bien depuis 2 ans!

Oui oui, et je t'ai répondu dans un message précédent 🙂

Merci pour cette explication.

Est-ce une bonne idée de renouveler mon certificat (même si il est encore valide)?
Ça pourrait aider si ça se trouve? Une meilleure suggestion?

Afin que je comprenne le fonctionnement normal du truc, on est bien d'accord que:

-Le client tente de se connecter au NAS (https)
-Le NAS envoie le certificat (délivré dans mon cas par Let's Encrypt)
-Le client vérifie qu'il est valide
-On arrive alors sur la page d'authentification

Pourquoi mon navigateur me demande de sélectionner un certificat présent sur ma machine?

J'ai déjà essayé avec Firefox, en vidant le cache, navigation privée, etc... même problème.

Plus de détail sur l'erreur (En utilisant Firefox)
 

Citation

Les sites web justifient leur identité par des certificats. Firefox ne fait pas confiance à doublejo.fr, car l’émetteur de son certificat est inconnu, le certificat est auto-signé ou le serveur n’envoie pas les certificats intermédiaires corrects.
 
Code d’erreur : SEC_ERROR_UNKNOWN_ISSUER

Là j'ai une option pour visualiser le certificat en question et je suis surpris car là:
Nom courant: A43E51-Livebox 4-AN1826324876073

C'est ma box qui est à l'origine du certificat? 🙂

La case n'est pas cochée.

C'est curieux car lorsque je me connecte au NAS, mon navigateur (Chrome) me demande de sélectionner un certificat pour m'authentifier.
Il me propose alors la liste des certificats présents sur ma machine, mais aucun d'eux ne correspond au NAS.

Du coup ensuite la connexion est refusée.

Du côté du NAS, dans le panneau de config, page du certificat, j'ai l'impression que tout va bien:
J'ai un certif valide, sélectionné par défaut, qui fonctionnait jusqu'alors.

Je comprends pas pourquoi du jour au lendemain ce certificat n'est plus utilisable par les clients.

Merci pour ta réponse, et oui tu as raison!

J'avais essayé http://IP_du_NAS (sans le port) mais ça me redirigeait vers le https.
En précisant le port j'ai eu accès, ouf!

Maintenant je vais pouvoir voir ce qui cloche.