Non il faut recommencé, c’est dans le champ nom alternatif du sujet qu’il faut mettre l’ip locale, voir si ton nas a plusieurs ip ou domaine, tu sépares par un ;

desolé j'ai mis du temps à répondre , je n'avais pas vu la réponse :) merci je vais aller re tenter mais je n'ai pas vraiment l'impression que ca fonctionne, je suis repassé sur le certificat syno:(

 

ps : imperturbalement lorsqu'on va regarder les infos du certificat ce sont les infos de synology qui s'affichent, et ce malgré le reboot...

Modifié le 24 septembre 20178 a par eric732

bonjour a tous,

 

De mon coté, j'ai aussi un petit souci :

- J'ai ouvert les ports 80 , 5000, 5001 pour la création du certificat

- j'ai désactivé la redirection automatique http vers https

- la création du certificat lets enscrytp s’effectue bien sans problème. j'utilise le nom de domaine ddns de synology   serveur.synology.me  . Donc aucun message erreur, le Certificat crée

 

Je test de me connecter en https depuis extérieur avec https://serveur.synology.me:5001  et la le message votre connexion n'est pas privé, et "NET::ERR_CERT_AUTHORITY_INVALID"

Savez vous ce que j'ai mal fait ?

 

merci d'avance

Le 10/09/2017 à 11:57, Einsteinium a dit :

Non il faut recommencé, c’est dans le champ nom alternatif du sujet qu’il faut mettre l’ip locale, voir si ton nas a plusieurs ip ou domaine, tu sépares par un ;

Bonjour

Bizarrement si je rempli le champ alternatif par mon ip avec le ; ou sans j' ai un message d' erreur . Si je ne met rien c'est ok

Modifié le 26 septembre 20178 a par pascalou59

Pour info, Let's Encrypt proposera des certificats wildcard à partir de janvier 2018. Il n'y aura donc plus besoin de définir des alias (à part éventuellement des adresses IP).

Citation

Wildcard Certificates

• ETA: January, 2018

Source : https://letsencrypt.org/upcoming-features/

Il y a 2 heures, olute a dit :

bonjour a tous,

 

De mon coté, j'ai aussi un petit souci :

- J'ai ouvert les ports 80 , 5000, 5001 pour la création du certificat

- j'ai désactivé la redirection automatique http vers https

- la création du certificat lets enscrytp s’effectue bien sans problème. j'utilise le nom de domaine ddns de synology   serveur.synology.me  . Donc aucun message erreur, le Certificat crée

 

Je test de me connecter en https depuis extérieur avec https://serveur.synology.me:5001  et la le message votre connexion n'est pas privé, et "NET::ERR_CERT_AUTHORITY_INVALID"

Savez vous ce que j'ai mal fait ?

 

merci d'avance

Bon j'ai trouvé la réponse a mon problème .

Dans le tutoriel il n'est pas marqué qu'il faut selectionner les service en configurant le certificat pour chaque service ^^

 

Du coup petite question. Faut il associer tous les services au nouveau certificat ?

 

Modifié le 26 septembre 20178 a par olute

Tant que les wildcard ne seront pas actifs chez Let's Encrypt, il faut effectivement lister tous les domaines dans le certificat.

Il y a 1 heure, pascalou59 a dit :

Bizarrement si je rempli le champ alternatif par mon ip avec le ; ou sans j' ai un message d' erreur . Si je ne met rien c'est ok

Normalement, une IP privée ne peut pas être prise en compte par le certificat car let's encrypt teste la validité des adresses avant émission du certificat. Difficile de tester une adresse privée à partir du réseau publique

J’utlise que des auto signé, génère des certicat let’s encrypt qui se génère sans aucune vérification ou validation... sa ne m’intéresse pas.

il y a 3 minutes, Einsteinium a dit :

J’utlise que des auto signé, génère des certicat let’s encrypt qui se génère sans aucune vérification ou validation... sa ne m’intéresse pas.

Je ne te comprends pas bien là. Faut arrêter la picole de NAS

Tant que les wildcard ne seront pas activés, on ne peut pas créer un certif. Let's Encrypt si un ou plusieurs des domaines secondaires n'existe(nt) pas.

Si actuellement on demande un certificat pour mondomaine.fr avec des SAN toto.mondomaine.fr;tata.mondomaine.fr;titi.mondomaine.fr et que par exemple tata.mondomaine.fr n'existe pas, le certificat ne sera pas généré. Il y a bien vérification et validation.

Par contre, rien n'empêche par la suite de supprimer un des SAN. Ca n'a aucune incidence sur le fonctionnement du certificat.

Non je parles du fait qu’il n’y a aucun contrôle sur les domaines, y a zéro contrôle de sécurité.

Il ne s'agit pas de certificats avec validation étendue mais il n'y a pas non plus zéro contrôle. Il y a le contrôle le plus simple parmi les contrôles suffisants pour avoir une "bonne confiance"

=>Si tu peux créer un enregistrement DNS pour un domaine, c'est que tu possèdes ce domaine.

Si en plus tu créés un enregistrement DNS CAA, tu limites les risques d’usurpation. Tu peux même aller plus loin avec DANE/TLSA ou encore HPKP.

Niveau sécurité tu as tord, il vaut mieux avoir un certificat reconnu simplement par tout à chacun que d'accéder des exceptions de sécurité, ça c'est vraiment très dangereux.

Les certificats autosignés ne devraient JAMAIS être utilisés pour autre chose que signer d'autres certificats. Si on préfère créer ses propres certificats (c'est mon cas) il faut commencer par créer sa propre autorité (2 commandes avec openssl) puis signer des certificat avec cette dernière. Dans le cas contraire n'a aucun moyen de révoquer un certificat et les gens prennent l'habitude d’accepter tout et n'importe quoi.