[[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"]

Bon je décris ce que j'ai fait si ça peut aider des gens.

Je suis allé vérifier si mes clés OVH étaient expirées (dans mon souvenir je n'avais pas mis de date d'expiration)
L'API OVH me confirme qu'il n'y a pas de date:

 

oracle7 m'a dit que les 3 clés OVH étaient stockées dans le fichier
/usr/local/share/acme.sh/account.conf

Or je n'avais que SAVED_OVH_AK et SAVED_OVH_AS.
Pas de OVH_CK donc.

Dans le code source du script ACME pour OVH, ici:
https://github.com/acmesh-official/acme.sh/blob/15c68c95940620f1db1b9b5704e730f681ad2f9c/dnsapi/dns_ovh.sh#L95

On voit qu'il supprime la variable OVH_CK s'il détecte un changement de clé.
Ça expliquerait l'absence de valeur de mon côté.

Je l'ai simplement remise, j'ai relancé et c'est reparti.
Je n'explique pas sa suppression.

[[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"]

Merci, je pense que tu as raison 🙂

Je viens de me connecter en ssh, via le compte root et je m'étonne que quand je fais un "env", je ne vois pas les 4 variables d'environnement OVH dans la liste (OVH_AK, OVH_CK, ...)

Pourtant lors du tuto on a bien fait un "export" des ces 4 variables.
Tu sais où elles atterrissent?

[[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"]

Bonjour.

Vous aussi du jour au lendemain vous avez eu ce genre d'erreur (je suis chez OVH)?
 

[Sun Feb 20 01:00:17 CET 2022] error {"message":"This credential is
not valid","httpCode":"403
Forbidden","errorCode":"INVALID_CREDENTIAL"}
[Sun Feb 20 01:00:17 CET 2022] The consumer key is invalid:
tUg4erO1sSTK3ye7itSwoYbsLhYwYPyL
[Sun Feb 20 01:00:17 CET 2022] Please retry to create a new one.

 

[Modifier les profils de contrôle d'accès en ligne de commande]

Merci mais j'ai dû mal m'exprimer.

J'ai fais tout ce que tu décris @oracle7.

Pour être plus précis j'ai un conteneur docker qui tourne avec une API Python qui écoute.

J'ai envie de limiter l'accès aux requêtes dont l'ip source est mon ip publique.

Aujourd'hui, j'arrive à faire ça en changeant à la main la rule dans le "profil de contrôle d'accès".
J'ai juste envie d'automatiser le truc en le scriptant d'où ma demande pour savoir s'il y a une commande qui fait ça!

[Modifier les profils de contrôle d'accès en ligne de commande]

Salut.

Savez-vous s'il est possible de modifier un profil de contrôle d'accès

 

en ligne de commande?

J'ai cru voir l'outil synoacltool mais pas sûr que ça fasse le taf.

 

Pour donner du contexte, j'y ai mis mon ip publique et j'aimerais la mettre à jour automatiquement lorsqu'elle change.

[[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"]

Je pense que c'est bon finalement.

En fait j'ai précisé 3 domaines lors du "issue".
Les 2 premiers étant mon domaine1 et sa wildcard.
Le 3ème paramètre est donc mon domaine2.

Lors du deploy, il m'a fallu absolument mettre la variable 

export SYNO_Create=1

Car en fait il va créer un second certificat (dans la fenêtre des certificats du panneau de config Syno) avec comme description mon domaine2.

Là du coup c'est passé.
Dans le panneau de config donc, je me retrouve avec 2 certifs visibles, qui ont le même nom.
Le premier a une description vide (certif par défaut)
Le second a comme description mon second ndd.

Je lui ai ensuite associé le service web qui doit utiliser ce certificat.

J'avoue que je suis étonné, je m'attendais à ne voir qu'un certif dans le panneau de config.

J'ai un doute quand même...
Je me demande si ce comportement n'est pas un effet secondaire de tous mes tests.

Parce que la description de ce "second" certifcat n'est pas "mondomaine2.com", mais juste "Mondomaine2"

C'est à dire sans le ".com" et avec une majuscule.
Et c'est exactement la description que j'avais mis lorsque j'ai essayé de déployer mon autre certificat quand je voulais en créer plusieurs.

[[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"]

Je me répond à moi même et oui ce n'est pas la bonne méthode.

Je pense qu'il faut plutôt ajouter un paramètre "-d" lors du "issue":

./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" -d "$CERT_OTHER_DOMAIN" --dns "$CERT_DNS"

Il devrait alors créer un certificat valable pour tout les ndd précisés en paramètre.

Par contre je galère pour les déployer ensuite.

[[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"]

Merci pour tout ça marche nickel!

Je suis sous DSM 7 et au niveau de la tâche planifiée j'ai fait ce que tu as écrit dans la conversation, c'est à dire ne pas utiliser python et mettre direct:

bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --home /usr/local/share/acme.sh/

 

Question:

J'ai 2 ndd à renouveler.
Les 2 sont chez OVH et les clés OVH que j'ai généré sont valables poru tous les ndd.

Je me suis dit qu'il suffisait que je crée 2 tâches planifiées qui ressembleront à ça:

export CERT_DOMAIN="votre-domaine.tld"
export CERT_WDOMAIN="*.votre-domaine.tld"
export SYNO_Certificate=""
bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --home /usr/local/share/acme.sh/

export CERT_DOMAIN="votre-domaine2.tld"
export CERT_WDOMAIN="*.votre-domaine2.tld"
export SYNO_Certificate="Autre certif"
bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --home /usr/local/share/acme.sh/

Mais le second certificat a le nom du premier donc mes "export" semblent pas suffisant.
Même si pourtant le second certificat a bien la description "Autre certif"...

Qu'en penses-tu?

[N'importe quel sous domaine mène au dossier "web"]

Ah ok tout simplement...

Merci !

[Pourquoi j'aurais besoin du DS918+ si le DS418+ existe?]

Ah oui mon exemple est le même concernant les DS420+ et DS920+ effectivement.

Donc si je comprends bien, le DS920+ propose la possibilité de mettre une extension, mais surtout de la puissance supplémentaire.

Il se trouve que je me sers beaucoup de docker, mais j'ai pas tellement besoin d'espace.

Et d'ailleurs j'hésite à prendre un "vrai" serveur, pas un NAS.

Voir partir dans le cloud.

Qu'en pensez-vous?

[Pourquoi j'aurais besoin du DS918+ si le DS418+ existe?]

Bonjour!

J'ai actuellement le DS218+ et j'en suis ravi.

Je souhaite passer sur un 4 baies et j'ai été étonné de voir qu'au delà du DS418+, il existe des NAS avec possibilité d'extension, le DS918+ par exemple.

Je ne comprends pas ce que ça apporte.
Si j'ai besoin de plus d'espace, pourquoi ne pas se contenter du DS418+ avec des disques durs plus gros?

[N'importe quel sous domaine mène au dossier "web"]

Salut.

Petit à petit je m'en sors avec la conf de mes domaines.

J'ai deux domaines chez OVH et chacun d'eux me redirige vers mon NAS avec la conf DDNS.

OVH
Côté OVH, pour les 2 domaines, j'ai un truc comme ça:

*.mondomaine1.fr.           CNAME    mondomaine1.fr.
www.mondomaine1.fr.    CNAME mondomaine1.fr.

Parfait.

NAS

Côté NAS, j'ai à la fois le reverse proxy, et des virtual hosts.

Reverse proxy

Pour le reverse proxy j'ai quelques entrées pour des sous domaines particuliers, du genre:

calendar.mondomaine1.fr
drive.mondomaine1.fr
mondomaine1.fr              qui redirige vers le port 5000 pour le DSM
...
Et rien concernant mondomaine2 ici

Virtual hosts
Et pour les virtual hosts, j'en ai 2:

truc.mondomaine1.fr qui mène au sous dossier mondomaine1
mondomaine2.fr qui mène au sous dossier mondomaine2

Et donc le répertoire root "web" n'est pas censé être utilisé car rien ne redirige vers lui.

 

Le problème

Pour les 2 domaines, quand je saisi une adresse avec un sous domaine, n'importe lequel qui n'est pas traité par le reverse proxy, par exemple:
https://sdjhfrjkdfhdjkh.mondomaine1.fr
https://toto.mondomaine2.fr

Je suis redirigé vers le dossier "web" de web station.

Ce que je souhaite:
Ça me paraîtrait logique de tomber sur une 404 à la place.
On ne peut pas désactiver le dossier web pour ne laisser que les virtual hosts?

Merci!

[(Développement) Certificat LE sur une API python docker]

Ok fausse alerte, il fallait mettre un "/" à la fin de ma route...

[(Développement) Certificat LE sur une API python docker]

J'ai eu une réponse sur StackOverflow.

Le mec disait que je devrais plutôt utiliser le reverse proxy (qui lui bénéficie du certificat facilement) afin de rediriger les requêtes du front vers l'api.

Les appels à l'api seraient donc uniquement en local et n'ont pas besoin d'être en https.

J'ai donc créé une nouvelle entrée dans le reverse proxy, comme ceci (pj)

 

Mais je tombe sur une 404

Le port 9071 est bien celui sur lequel je dois taper, car ça fonctionne quand j'indique l'adresse ip du NAS suivie du port.

Pour info, la 404 que j'ai est au "style" Synology.

Alors que quand je fais une erreur volontaire dans l'url, j'ai une 404 au style plus classique (voir pj)

 

Qu'en pensez-vous?

Style Synology:

Style "classique":

[(Développement) Certificat LE sur une API python docker]

Salut!

Il s'agit d'un problème à mi-chemin entre le développement et la gestion de notre NAS, j'espère que je poste au bon endroit.

J'ai développé une petite API python qui tourne dans un container docker sur le nas.
Cette API fait des requêtes sur une base mariadb, également sur le nas. 

Mais (et c'est là l'intéressant) j'ai également fais une page web (vue-js) qui interroge l'api python.

Tout ça marche bien, mais je souhaite appliquer du HTTPS.

Voici (en pj) le schéma de ma situation.

J'ai un certificat LE, je m'en sers déjà pour sécuriser l'accès au DSM par exemple.
J'ai réussi à l'utiliser pour avoir du HTTPS sur mon appli vue-js.

Le problème c'est qu'il faut également du HTTPS entre l'appli vue-js, et l'api python maintenant, et là je galère.

Puis-je utiliser le même certificat?
Comment je le "donne" à l'api?

Pour info, l'api est en python donc. C'est une appli Flask et le serveur est gunicorn.

J'ai réussi à mettre le https pour les test en local, en ajoutant ssl_context = 'adhoc':

def main():
    app.run(host='0.0.0.0', ssl_context='adhoc')

Mais une fois livré dans docker ça ne fonctionne plus: time out.

Je suis un peu perdu.

[Interdire l'accès extérieur à certains dossiers via Web Station]

Bon j'ai ma réponse pour interdire l'accès extérieur à certains sites, je vais simplement y mettre un fichier .htaccess avec un truc du genre:
 

Order Deny,Allow
Deny from all
Allow from 192.168.1.1/24

Pour mon second problème, l'accès en HTTPS, c'est toujours pas ça.
Je viens de rajouter le sous domaine  site1.web.mondomaine.fr à la liste des autres noms de mon certificat mais lorsque j'accède au site le navigateur me dit que la connexion n'est pas privée.

Et que le certificat semble ne pas être bon car il vient provient du domaine mondomaine.fr

Je sèche... 🤨

[Interdire l'accès extérieur à certains dossiers via Web Station]

Bonjour à vous!

J'utilise Web Station pour héberger 2 sites et je suis un peu paumé.

Je n'utilise pas les Virtual Hosts (c'est peut être un tort, mais je ne comprends pas bien à quoi ça sert).

J'ai 2 dossiers (site1, site2) dans le répertoire "web" qui correspondent à mes 2 sites et j'accède à celui que je veux avec des urls du genre:

• https://web.mondomaine.fr/site1
• https://web.mondomaine.fr/site2

J'utilise le reverse proxy.

Mon problème c'est que je souhaite que l'un des deux sites ne soit accessible que sur mon réseau local, est-ce possible?

Aujourd'hui j'ai un fichier .htaccess à la racine du dossier web avec ce contenu:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

J'ai trouvé ça sur un tuto et j'avoue que je ne sais plus à quoi ça sert. 😳

Mon autre question:
Les sites sont accessibles en HTTP mais je ne souhaite autoriser que le HTTPS.

Voici la conf du reverse proxy:

Une idée?

Merci!

[Abonnement à un calendrier en ligne]

Vous y êtes arrivés finalement?

[Forcer IPv4 pour un équipement (Déconnexions Wifi)]

Non je n'ai touché à aucun paramétrage du routeur.

J'ai pensé au VPN car un gars sur le net avait le même problème que moi et l'utilisation d'un VPN l'a résolu aussi pour lui.

Il suffit de chercher sur Google un truc du genre "Android Wifi disconnection ipv6" pour réaliser que ce n'est pas un problème isolé!

[Forcer IPv4 pour un équipement (Déconnexions Wifi)]

Bon la désactivation de l'IPv6 na rien donné.

Mais! L'utilisation d'un VPN (NordVPN en l'occurence) fait disparaitre le problème!

Je comprends pas pourquoi mais ça me convient!

Si vous avez une théorie je suis preneur...

[Forcer IPv4 pour un équipement (Déconnexions Wifi)]

Salut Church,

Pour répondre à tes questions:

Le téléphone perd la connexion au Wifi (et se reconnecte aussitôt).
Je n'ai pas précisé que le téléphone de mon épouse fonctionne parfaitement. J'en déduis donc que la configuration du réseau fonctionne (au moins pour un certain type de mobile).
J'ai tenté le changement de bandes de fréquence, ça ne change rien. Que ce soit 2 réseaux distincts ou en mode bascule, même résultat. Changement de canal également.
Je vis à la campagne , j'ai pas de voisin avec du Wifi. De plus j'ai très peu d'équipements connectés.
Mon téléphone est à jour, ainsi que les routeurs et il n'y a pas de coupures sur le réseau Wifi du boulot par exemple.

J'ai vraiment tout essayé, c'est pour ça que cette histoire d'IPv6 est la seule piste qu'il me reste.

Alors hier soir j'ai tenté de désactiver IPv6 sur la Livebox.
Et...

Même résultat -_-
Par contre j'ai pas pensé à la rebooter (c'était pas demandé celà dit), je ne l'ai fait que ce matin avant de partir.
Je confirmerai ce soir que ça fonctionne ou non.

[Forcer IPv4 pour un équipement (Déconnexions Wifi)]

Je viens de réaliser que je devrais désactiver IPv6 sur la Livebox plutôt que sur le RT2600AC n'est-ce pas?

[Forcer IPv4 pour un équipement (Déconnexions Wifi)]

Bonjour à tous.

Avant d'acheter le routeur Synology, je connectais mon smartphone (Xiaomi Redmi 5) en Wifi directement à la Livebox.

Mais j'avais un problème de déconnexions intempestives (le téléphone se déconnecte et se reconnecte aussitôt. Ça peut arriver 3 fois par minutes puis plus rien pendant 3 jours)
J'ai tout essayé dans la config Wifi de la Livebox.

Un pote avec le même téléphone que moi a le même problème chez moi, mais pas chez lui sur son réseau Wifi.

J'ai acheté un nouveau routeur Wifi bas de gamme (60€). Même problème.

J'ai acheté le routeur Synology, même problème.

Et là, après de multiples recherches sur le net je pense avoir une piste prometteuse!
Ça serait l'IPv6 mal gérée par certaines version d'Android.

Mon FAI c'est SOSH (fibre optique).

Question -> Est-il possible sur le routeur Synology, de forcer l'IPv4 pour mon téléphone?
Sinon, est-il possible de forcer l'IPv4 pour tout le monde?

Je dis peut-être n'importe quoi, je ne suis même pas sûr que l'IPv6 est utilisée sur mon réseau (adresses locales, publiques?)

Merci!

[Sur quel port écoute le reverse proxy? 443? 5001?]

Merci c'est plus clair comme ça!

Ça roule maintenant.

[Sur quel port écoute le reverse proxy? 443? 5001?]

Bonjour à tous.

J'essaye de configurer le reverse proxy chez un ami après l'avoir fait chez moi, mais son NAS n'a pas le même comportement et je galère! (J'ai suivi le tuto du Reverse Proxy)

Pour info j'ai un DS218+ et lui un DS212J, on a tous les deux un domaine chez OVH. (DSM 6 tous les deux)

Le problème :

Son nom de domaine redirige bien vers l'IP de sa box qui elle même redirige le port 443 vers le 443 du NAS. (pareil pour le 80)
Mais on tombe sur la page d'accueil de Web Station.
Normal, j'ai donc ajouté le fichier .htaccess avec les 3 lignes pour la redirection:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Mais rien à faire, on reste sur Web Station... Comme si le .htaccess était ignoré. ☹️

J'ai créé le fichier .htaccess depuis Windows, j'ai pensé à un problème d'encodage qui le rendrait inutilisable par le NAS, sans conviction.

Sur d'autre sites, j'ai lu que le reverse proxy écoutait sur les ports 5000 et 5001, ce qui m'étonne puisque ce sont les ports du DSM.
Devrais-je configurer la box pour qu'elle redirige le port 443 vers le 5001? Je demande mais j'ai fait le test et je tombe sur la page de connexion du DSM. Ben ouais logique. 😑

Le reverse proxy nécessite Apache, NGinx? Peu importe?

Merci de m'éclairer!