Aller au contenu

[RESOLU] SSL_ERROR_BAD_CERT_DOMAIN


Rahool

Messages recommandés

Bonjour à tous,

Tout d'abord, j'ai remarqué que ce sujet est déjà présent partout mais j'ai beau suivre plein de tutos différents, je ne m'en sors pas. Probablement parce que je dois faire des mix de chacun vu mon degré de compréhension limité de chacun d'eux. Bref, je remets tout à plat et compte sur votre aide.

J'ai un site de e-commerce hébergé sur le NAS (avec DSM 6.0), sous Wordpress. Pour installer le service de paiement Stripe, je dois forcer SSL sur certaines pages. Du coup, je teste l'installation de certificats SSL et je bloque sur la fameuse erreur : Connexion non certifiée, blablabla... SSL_ERROR_BAD_CERT_DOMAIN qui, si j'ai bien compris, vient du fait que mon nom de domaine, pour le quel j'ai crée le certificat, www.mondomaine.com ne correspond par à l'url vers lequel pointe le navigateur.

Avant mes bidouilles, j'avais :

  • un nom de domaine mondomaine.com chez Online.net
  • un abonnement d'hébergement chez le même fournisseur, uniquement parce que je n'arrive pas à créer de serveur mail sur le syno. Cet abonnement me sert donc uniquement à gérer les mails du domaine.
  • hébergé mon site dans le dossier web/monsite 
  • paramétré la Zone DNS chez mon fournisseur de domaine Onlinet.net (sous domaine * de type A pointe vers mon adresse IP dynamique xx.yy.zz.qq)
  • paramétré Virtual host (dans Web station) en pointant www.mondomaine.com vers mon dossier web/monsite.

ça fonctionnait bien en http tant que je n'avais pas de coupure d'électricité qui changeait mon IP...

Pour installer le certificat SSL, j'ai :

  • crée un certificat SSL pour www.mondomaine.com avec le DSM chez Let's Encrypt (En fait j'ai aussi testé un certificat Comodo Positive SSL mais ça ne semblait pas m'apporter quoi que ce soit en plus). Bref, si on peut, restons sur Let's Encrypt
  • crée une adresse mondisque.synology.me
  • crée un CNAME chez Online.net, qui va de * et pointe vers mondisque.synology.me.
  • paramétré Virtual host (dans Web station) en pointant mondisque.synology.me vers mon dossier web/monsite. C'est déjà peut-être une erreur ? D'autant plus que j'ai toujours www.mondomaine.com qui pointe vers ce dossier. Bref, ça me semble inutile... (EDIT : C'est effectivement inutile !)

 

J'ai bien conscience d'avoir tapé un peu partout et probablement le plus souvent dans les murs. Il faut que je trie l'essentiel pour atteindre mon objectif : forcer le ssl sur mon site (sans message de mise en garde du navigateur) malgré mon IP dynamique !

Merci d'avance pour vos conseils,

Rahool

 

Modifié par Rahool
Lien vers le commentaire
Partager sur d’autres sites

il y a 20 minutes, Rahool a dit :

un nom de domaine mondomaine.com chez Online.net

 

il y a 21 minutes, Rahool a dit :
  • crée une adresse mondisque.synology.me

Pourquoi ? Ton domaine chez Online ne te satisfaisait pas ? A quoi cette adresse doit te servir ?

 

il y a 22 minutes, Rahool a dit :

crée un certificat SSL pour www.mondomaine.com avec le DSM chez Let's Encrypt

 

il y a 24 minutes, Rahool a dit :

crée un sous domaine mondisque.mondomaine.com chez mon hébergeur

Il ne semble qu'il y a un gigantesque mélange : Tu crées un certificat pour le domaine " www.mondomaine.com " et il semble que tu veux accéder avec le domaine " mondisque.mondomaine.com " (un sous domaine, ça n'existe pas...)

Lien vers le commentaire
Partager sur d’autres sites

Comme tu le dis, c'est sans doute un gros mélange et c'est pourquoi je sollicite votre aide.

J'ai cru comprendre que les certificats SSL nécéssitaient une IP fixe. Si j'ai bien compris la création de l'adresse mondisque.synology.me doit m'aider à gérer mon IP dynamique.

Il m'a également semblé qu'un certificat devait préférentiellement se faire pour un domaine.com et non pas un sousdomaine.domaine.com. Si j'ai crée un sous domaine, c'est uniquement sur les conseils de tuto pour gérer mon IP dynamique et la relier à mondisque.synology.me.

J'ai tenté de suivre ce genre de conseils :

https://erictummers.com/2013/04/29/resolve-certificate-error-for-synology-diskstation-part-2-of-4/

http://furie.be/news/33/15/Synology-Utiliser-une-connexion-SSL-certifiee.html

Et je n'ai pas le recul technique nécessaire pour juger de ces conseils... d'où mon appel à l'aide.

EDIT : A plus y réfléchir, je me dis que je mélange effectivement sans doute deux objectifs : le pointage vers mon site web ou vers l'interface DSM du syno (je suis souvent tombé sur ces deux types de tuto qui, bien que ressemblants, n'ont pas tout à fait le même objectif). Il est possible que le conseil donné de créer un sous domaine ne s'applique que dans le second cas (DSM) et pas pour mon propre objectif (site web) ?

Il me semble par contre toujours utile d'avoir une adresse monsite.synology.me pour s'affranchir de l'IP dynamique.

Votre avis est toujours le bienvenu, surtout pour ma config de Zone DNS (quoi mettre en type A et en CNAME ?)

Modifié par Lucien77
Inutile de citer le post précédent
Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

ça fonctionne maintenant, j'ai mon joli cadenas vert fourni par Let's Encrypt.

Je suis passé par un changement de fournisseur de domaine (mais était-ce bien nécessaire ?) et je suis reparti d'une base de config plus propre.

Pour résumer :

  • création d'un sous domaine dynamique chez OVH du type dynhost.mondomaine.com.
  • Dans la zone DNS : modification du type A vers mon adresse IP perso actuelle
  • Dans la zone DNS : modification du type CNAME vers dynhost.mondomaine.com

On verra bien si cette config s'adaptera quand mon IP perso changera mais en attendant j'ai bien mon petit cadenas vert et c'est déjà ça.

Lien vers le commentaire
Partager sur d’autres sites

  • 3 ans après...

Bonjour,

Nouveau sur ce forum, je me greffe sur ce sujet qui ressemble à ma problématique.

Je cherche également à utiliser les fonctions virtualHost sur l'adresse suivante : test.fauriaux.fr [config virtual host par le nom, ports 80/443, HST et HTTP/2]

Résultat en erreur sur chrome ERR_CERT_COMMON_NAME_INVALID, sur edge DLG_FLAGS_SEC_CERT_CN_INVALID.

Mon certificat (lets encrypt) est pourtant valide,  fonctionne bien à la racine fauriaux.fr et sur d'autres appli en proxy inversés ça fonctionne au top.

Du côté de mon nom de domaine, je redirige tout *.fauriaux.fr vers fauriaux.fr (CNAME) puis vers l'ip de la box (A). Enfin ma box redirige 80 et 443 vers le NAS.

Je sèche et ne sais pas trop par où attaquer..

Des idées ? 🙂

 

Lien vers le commentaire
Partager sur d’autres sites

@limannzerga

Bonjour,

  1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

  2. Il y a 1 heure, limannzerga a dit :

    fonctionne bien à la racine fauriaux.fr et sur d'autres

    Par soucis de sécurité et confidentialité, il est préférable pour toi de masquer ton domaine et de le remplacer par une valeur générique "ndd.tld" dans les échanges que tu as.

  3. Sinon je t'invites aussi à regarder et suivre ces deux TUTOs pour bien démarrer.

  • TUTO : Débuter avec un NAS Synology

  • TUTO : Sécuriser les accès à son NAS

Les ports 80 et 433 sont-ils bien ouverts/autorisés dans le pare-feu du NAS ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, EVOTk a dit :

Lets encrypt n'est pas français.

Excellente remarque. Cependant, sauf erreur de ma part, ça ne devrait pas être de ce côté pour deux raisons. La première, c'est que le certificat lets encrypt fonctionne impec sur certains domaines (dsm, autres applis sur le domaine), la seconde c'est que lorsque je désactive le pare-feu, j'ai les mêmes dysfonctionnements que cités précédemment 🙂

Lien vers le commentaire
Partager sur d’autres sites

@limannzerga

Bonjour,

Comme le dis justement @EVOTk comme les serveurs de Let's Encrypt sont aux USA, tu bloques implicitement toute possibilité de renouvellement de ton certificat d'une part et d'autres part tu t'interdit l'accès à aussi bons nombres de sites français mais hébergés à l'étranger. Mais là si c'est ton choix ...

Par ailleurs, désolé mais tu sembles mélanger les notions : ton certificat LE tant qu'il sera valide fonctionnera toujours pour les domaines pour le quel il a été défini. En l'occurence, comme tu as une erreur pour le domaine "test.ndd.tld" c'est que ton certificat n'est manifestement défini pour ce domaine précis.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

@EVOTk Yes.
Certificat par défaut et assigné au domaine et sous domaines. Effectivement j'ai cité mon domaine dans mon premier post, peut-être naïvement, mais vous pouvez facilement constater que le certificat y est défini.

@oracle7 Merci pour l'info. Ceci explique pourquoi je devais désactiver mon parefeu pour les renouvellements 😉

 

Mon problème est donc toujours présent... d'autres pistes selon vous ?

 

Meerci

Modifié par limannzerga
problème toujours présent
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.