Certificat Let's encrypt - Limitation sous-domaine ?

[antdid]

Bonjour,

Je voulais savoir s'il y avait une limite sur le nombre de sous-domaine pouvant être ajouter au certificat ? Ou seulement la limitation du champ sur l'interface DSM ?

Et également, est-il possible d'augmenter la taille de clé publique ? Si oui comment ?

 

Merci

[Fenrir]

il y a 25 minutes, Antwan a dit :

Je voulais savoir s'il y avait une limite sur le nombre de sous-domaine pouvant être ajouter au certificat ?

Un "sous domaine" ça n'existe pas, www.toto.truc est un domaine au même titre que toto.truc ou que truc.

En théorie il n'y a pas de limite, en pratique il ne faut pas en mettre trop car ça charge inutilement les serveurs, les navigateurs et le réseau. Ça peut même conduire à tes erreurs d'interprétation.

En général on se limite à une dizaine, je crois que letsencrypt en permet 100 (j'ai un certificat letsencrypt avec 14 SAN, pas de soucis).

il y a 31 minutes, Antwan a dit :

Ou seulement la limitation du champ sur l'interface DSM ?

Je ne l'utilise pas et je n'ai rien vu dans la doc à ce sujet donc je ne peux pas te répondre. Tu veux en mettre combien ?

il y a 34 minutes, Antwan a dit :

Et également, est-il possible d'augmenter la taille de clé publique ?

Oui

il y a 34 minutes, Antwan a dit :

Si oui comment ?

En générant ta clef publique à la main (avec openssl par exemple). Mais dans ce cas, autant générer aussi la demande de certificat letsencrypt.

nb : si tu comptes utiliser ton certificat pour de la messagerie et que tu as des échanges avec microsoft (outlook, exchange online, ...), utilises un certificat RSA, microsoft ne sait pas ce que c'est qu'un certificat à courbes elliptiques ...

[antdid]

Merci pour les informations. Je n'ai pas spécialement de nombre précis, juste que pour l'instant je suis limité à 10 avec l'interface.

 

Du coup, si je génère à la main, il va falloir que je le fasse tous les 90 jours ?

[Fenrir]

à l’instant, Antwan a dit :

Du coup, si je génère à la main, il va falloir que je le fasse tous les 90 jours ?

Oui, ça va te couter un rendez-vous récurrent dans ton agenda

Sinon avec docker (si ton nas le gère) ou un chroot debian, tu peux le faire depuis le syno et tout automatiser

[antdid]

Ok merci, malheureusement pas de docker sur le mien 

 

[Fenrir]

Sinon tu peux aussi utiliser la taille de clef par défaut (elle fait combien ?) et ne pas mettre plus de 10 SAN par certificats (tu peux créer plusieurs certificats), ça sera plus simple pour toi je pense.

[antdid]

Par défaut 2048, je pense que c'est suffisant, mais 4096 ça doit être plus sécurisé. Notamment pour les mails ça peut être intéressant. 

Oui je pense que c'est que je vais faire. Après ça monte vite, car je crée un sous-domaine pour les applications Audio Station, Video.... 

 

Je peux avoir deux certificat avec le même nom de domaine ? 

Ou mettre directement un certificat domaine.domaine.fr ? Avec ça je pourrais en avoir plein, mais ça fait beaucoup de certificat 

[Fenrir]

il y a 4 minutes, Antwan a dit :

Je peux avoir deux certificat avec le même nom de domaine ? 

Techniquement oui, mais je n'en vois pas l’intérêt pour un particulier.

[antdid]

Je pourrais avoir quelques choses comme ça :

domaine.fr description1

domaine.fr description2

Et selon mes sous-domaines pour applications choisir le bon certificat grâce à la description. Comme ça une fois que le premier a les 10 SAN, je peux en mettre sur le deuxième 

Du coup j'ai plu le problème de la limite, je regarderais si je trouve le fichier de conf pour let's encrypt pour modifier la longeur de la clé (si c'est bien fait, c'est de la configuration) et après je pourrais bénéficier du renouvellement en 4096.

Merci beaucoup.

[Fenrir]

il y a 2 minutes, Antwan a dit :

Je pourrais avoir quelques choses comme ça :

domaine.fr description1

domaine.fr description2

Et selon mes sous-domaines pour applications choisir le bon certificat grâce à la description. Comme ça une fois que le premier a les 10 SAN, je peux en mettre sur le deuxième 

, ça n'apporte rien sinon de risquer de t’emmêler les pinceaux.

Fais plutôt ceci :

• CN : description1.domaine.fr
  • SAN : description1.domaine.fr, appli1.domaine.fr, appli2.domaine.fr, appli3.domaine.fr, appli4.domaine.fr
• CN : description2.domaine.fr
  • SAN : description2.domaine.fr, appli5.domaine.fr, appli6.domaine.fr, appli7.domaine.fr, appli8.domaine.fr

nb : techniquement possible ne veut pas dire que c'est géré par lestencrypt ou le syno

il y a 7 minutes, Antwan a dit :

Du coup j'ai plu le problème de la limite

Letsencrypt est un service gratuit pour que les particuliers (ou les petites entreprises) puissent créer des certificats de manière simple et gratuite pour un usage raisonnable.

De plus générer des dizaines de certificats va te poser des problèmes logistiques et techniques.

https://letsencrypt.org/docs/rate-limits/

Si tu tiens à aller plus loin, il faut prendre un certificat wildcard (c'est payant) ou créer ta propre autorité (c'est ce que j'ai fait)

il y a 18 minutes, Antwan a dit :

je regarderais si je trouve le fichier de conf pour let's encrypt pour modifier la longeur de la clé (si c'est bien fait, c'est de la configuration) et après je pourrais bénéficier du renouvellement en 4096.

Autant monter un chroot, ça évitera de modifier des fichiers de conf qui pourraient être écrasés lors de mises à jours.

[antdid]

Oui effectivement, ça sera mieux.

Non mais la limite de 10, je pense pas en avoir beaucoup plus.

 

Pour le chroot, ou créer sa propre autorité, je regarderais, mais je pense pas avoir les compétences actuelles.