This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Zeus

[TUTO] Certificat TLS/SSL - Let's Encrypt "Wildcard"

Messages recommandés

Bonjour,

En attendant de trouver mieux comme méthode, je vous propose un petit tuto rapide pour créer votre certificat Let's Encrypt Wildcard.

Pour rappel, un certificat Wildcard permet de prendre en compte les sous domaine en enregistrant simplement notre domaine avec *. Comme ça, plus besoin d'ajouter les sous domaine (limités en plus) lors de la création de notre certificat.

Exemple avec google.com :

  • mail.google.com
  • drive.google.com
  • video.google.com

Etc...

Prérequis :

  • Avoir un nom de domaine.
  • Avoir déjà configuré une entrée CNAME avec "*.ndd.tld" chez son provider.
  • Avoir déjà configuré son serveur DNS sur son NAS (ou ailleurs) avec l'entrée "*.ndd.tld".

Temps d'application : moins de 5 minutes !

Difficulté : facile

 

1. Se rendre sur le site SSL For Free (reconnu et conseillé par Let's Encrypt). Vous avez aussi la possibilité avant de commencer de créer un compte pour être averti de l'expiration de votre certificat.

https://www.sslforfree.com/

 

2. Inscrivez votre domaine comme ceci "*.domaine.tld domaine.tld" comme sur la capture ci-dessous puis cliquer sur "Create Free SSL Certificate".

YpZLzKr.jpg

 

Une fois le certificat validé, on arrive sur ce message :

3teXdKA.jpg

 

En gros, ça nous dit qu'il faut ajouter une entrée TXT dans notre zone DNS chez notre provider. On clique alors sur "Manually Verify Domain" et ça nous ajoute en dessous de ce texte d'autres données.

Ne pas prendre en compte la remarque sur l'IP a autoriser dans notre pare feu !

3. Comme on peut le voir ci-dessous, ça nous dit ce qu'il faut ajouter deux entrées TXT dans notre zone DNS (chez notre fournisseur de domaine). J'ai personnellement mit 60 et non 1 en TTL. De toute façon, OVH n'en veut pas du 1 :rolleyes:

4. On peut ensuite vérifier que l'entrée a bien été prise en compte en cliquant sur "Verify _acme-challenge.ndd.tld".

5. Une fois terminé, on clique sur "Donwload SSL Certificate" et le certificat va se générer. Il ne reste plus qu'à le placer dans son NAS en l'important dans le panneau de configuration 😉

tr7MTG0.jpg

 

 

 

Modifié par InfoYANN

Partager ce message


Lien à poster
Partager sur d’autres sites

Bah écoute, je ne sais pas mais ils ne te demandent rien d'autres que ton ndd pour créer le certificat donc aucune données personnelles et le certificat est bien reconnu sur les navigateurs.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Ça pourrait faire quoi ?!

Perso, je l'utilise pas pour le moment, j'ai juste testé. Comme on ne peut pas créer un certificat Wildcard avec ndd.tld et *.ndd.tld, j'ai abandonné en espérant qu'avec une prochaine maj de Synology ça passe.

Partager ce message


Lien à poster
Partager sur d’autres sites

Ils utilisent la fonctionnalité Wildcard ajouté récemment par Lets Encrypt :)

 

Ca m'a d'ailleurs permis de débloquer mon problème de génération pas le NAS et de signer mon domaine perso en Wildcard. :Yes:

Partager ce message


Lien à poster
Partager sur d’autres sites

Ils (Syno) ne pourront le faire que par la méthode du DNS-01, ce qui exige soit de faire une identification avec un enregistrement TXT (ce tuto), soit de passer par les API du registar. Et comme chaque registar a sa propre gestion des API, il va falloir aller plus loin que la simple méthode http-01 actuellement en place sur nos NAS. Bref, à mon avis ce n'est pas demain la veille qu'on verra des certificats wildcard sur nos Syno.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bon en faite, je vais modifier demain le tuto. J'ai mal lu le site et j'ai fini par comprendre ou était mon erreur.

 

Au lieu de "*ndd.tld", il faut mettre dans la barre d'adresse "*ndd.tld ndd.tld" et là, ça prend en compte les sous domaines de ndd.tld ET le domaine ndd.tld. Je viens de générer un nouveau certificat et après test, ça fonctionne.

Dans ma zone DNS sur OVH et dans mon serveur DNS sur le NAS, j'ai "*.ndd.fr" pour gérer automatiquement les sous domaine que je rajoute.

Modifié par InfoYANN

Partager ce message


Lien à poster
Partager sur d’autres sites

Juste pour information, je suis toujours à la recherche d'une automatisation du certificat via ssh.

J'ai trouvé un tuto sur la toile (https://forum.synology.com/enu/viewtopic.php?f=265&t=141181&p=523064&hilit=wildcard#p523064) mais je n'arrive pas dans la ligne de commande à ajouter mon ndd.tld et mon *.ndd.tld en même temps.

Pour rappel, si on enregistre un certificat juste avec *.ndd.tld, le ndd.tld n'est pas prit en compte alors que sur SSL for Free, je peux enregistrer les deux pour obtenir un seul certificat.

 

 

Le 21/03/2018 à 21:08, Balooforever a dit :

Une question bête, on peut avoir confiance dans sslforfree ?

 

Le 21/03/2018 à 23:01, Einsteinium a dit :

Hum j’ai perso une confiance toute relative en cette méthode du tier ^^

Synology proposera bientôt la maj pour prendre en compte cette nouveauté, la question c’est quand...

 

Pour vraiment répondre, c'est Let's Encrypt directement depuis leur site qui propose de passer par ce service SSL for Free. Voici d'ailleurs la liste officielle qui utilise l'API pour les certificats Wildcard.

https://letsencrypt.org/docs/client-options/

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 21/03/2018 à 23:48, Mic13710 a dit :

Ils (Syno) ne pourront le faire que par la méthode du DNS-01, ce qui exige soit de faire une identification avec un enregistrement TXT (ce tuto), soit de passer par les API du registar. Et comme chaque registar a sa propre gestion des API, il va falloir aller plus loin que la simple méthode http-01 actuellement en place sur nos NAS. Bref, à mon avis ce n'est pas demain la veille qu'on verra des certificats wildcard sur nos Syno.

Je te relance Mic car je sais que tu cherches toi aussi à avoir un certificat Wildcard et à l'automatiser pour son renouvellement. As-tu des pistes ?

Penses-tu qu'en partant de ce tuto et en utilisant acme.sh , on puisse faire la même chose sur nos NAS ?

https://ungeek.fr/letsencrypt-api-ovh/

Partager ce message


Lien à poster
Partager sur d’autres sites

Je ne cherche pas spécialement à avoir un certificat wildcard. Mon intervention avait simplement pour but de signaler que l'opération n'est pas triviale. C'est sur que pour une première mise en oeuvre, le wildcard permet de ne pas avoir à lister tous les domaines et de pouvoir en créer à l'infini. Néanmoins, je préfère cibler les domaines auxquels j'accède. Sauf cas particuliers, on en crée pas tous les jours non plus. Une fois la liste en place, les renouvellements automatiques évitent de devoir y toucher.

J'ai dû utiliser la méthode DNS-01 pour le NAS de mon frère car le port 80 est bloqué par son FAI. Je suis passé par l'API OVH et j'ai créé un certificat standard avec tous les SAN dont il a besoin.

Je n'ai pas creusé d'avantage le projet acme.sh, mais il semblerait qu'il supporte l'ACME v2 wildcard certs. Voir https://github.com/Neilpang/acme.sh

Le tout est de savoir comment le mettre en place sur nos NAS.

Partager ce message


Lien à poster
Partager sur d’autres sites

Oui j'ai plusieurs sources de tutos sur la toile qui effectivement me dirigent vers acme et l'api OVH mais je bloque sur l'installation de tout ça sur nos NAS car pas la même chose qu'une simple Debian...

Je cherche, je cherche... :rolleyes:

 

J'ai le temps, prochain renouvellement  en juillet :biggrin:

Modifié par InfoYANN

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour l'installation, j'ai utilisé ce tuto : https://github.com/Neilpang/acme.sh/wiki/Synology-NAS-Guide

Pour l'API OVH, celui-ci : https://github.com/Neilpang/acme.sh/wiki/How-to-use-OVH-domain-api

Je n'ai rien trouvé pour ce qui est du wildcard. Comme tu dis, il faut attendre que quelqu'un se penche sur le sujet et nous ponde un beau tuto :razz:.

Ceci étant dit, j'ai tout de même un soucis pour le renouvellement auto. Le cron a fonctionné mais le certificat n'a pas été mis à jour. Je vais en toucher un mot à l'auteur.

Partager ce message


Lien à poster
Partager sur d’autres sites

Surtout que pour moi, c'est la partie la plus importante "le cron" dans le renouvellement de certificat. Parce que si c'est pour de la génération de certificat, je peux le faire via ce tuto en quelques secondes et l'importation aussi. Top chrono, ça me prendrait moins d'une minute en suivant le tuto que j'ai fait de faire un certificat et l'importer à la place de l'ancien.

Pour la création de WildCard, il y a ce tuto https://forum.synology.com/enu/viewtopic.php?f=265&t=141181&p=524247#p524247 mais il faut passer par l'API OVH je pense parce que je ne peux pas entrer les deux domaines pour le certificat dans ssh. Ça ne passe pas :(

Je vais regarder tes liens ;)

 

Pour l'API OVH, j'ai pas compris comment l'intégrer au NAS. Créer une clé, je l'ai fait via le site d'OVH mais je ne sais pas comment l'installer dans le NAS.

 

Modifié par InfoYANN

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 16 minutes, InfoYANN a dit :

je ne sais pas comment l'installer dans le NAS.

Tu suis simplement les points 2, 3 et 4 du lien que je t'ai donné.

Dans le message du 2, tu auras un lien du genre :

https://eu.api.ovh.com/auth/?credentialToken=n0Qbjm6wBdBr2KiSqIuYSEnixxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

que tu vas utiliser pour le 3. Si c'est OK, le point 4 devrait être OK aussi.

Partager ce message


Lien à poster
Partager sur d’autres sites

Justement, c'est le point 2 qui me pose soucis.

Citation

# application key
export OVH_AK="your application key"

# application secret
export OVH_AS="your application secret"

Il faut que je fasse quoi exactement dans SSH avec ça ? Merci pour ton aide en tout cas.

Ci dessous, je l'ai bien compris, ça serait ça pour moi même :

Citation

acme.sh --issue -d   ndd.tld -d *.ndd.tld   --dns   dns_ovh

 

Modifié par InfoYANN

Partager ce message


Lien à poster
Partager sur d’autres sites

Il faut d'abord que tu obtiennes les clés en allant sur le lien du 1. Tu te connectes avec tes identifiants OVH et tu auras les clés que tu exportes dans le NAS comme c'est indiqué.

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour info c'est ce que j avais fais depuis le syno, j'aurais dut me faire un tuto :D

C'est pas spécialement compliqué et ça marche très bien, par contre je n'ai pas encore fait de cron ..

Finalement il suffit juste de bien entrer les variables et tout roule :)

Partager ce message


Lien à poster
Partager sur d’autres sites

Je viens de reprendre le tuto Github et il y a à mon avis une erreur de dossier, ce qui a empêché la mise à jour.

Il est préférable d'utiliser la "Alternative method that preserves your Synology NAS system default certificate" car elle ne touche pas au certificat Synology (qu'on peut supprimer manuellement si besoin à partir de DSM) et qui utilise le même "Ramdom_Folder" que celui du script de renouvellement.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bon alors j'ai avancé un petit peu et voilà ce que j'ai fait :

Je me suis rendu sur la page https://eu.api.ovh.com/createApp/ pour créer une clé.

Ensuite, dans ssh (en root), j'ai tapé ceci :

wget https://raw.githubusercontent.com/Neilpang/acme.sh/master/acme.sh
chmod a+x acme.sh

Ensuite, j'ai tapé ça :

export OVH_AK="Notre Application Key"
export OVH_AS="Notre Application Secret"
acme.sh --issue -d   ndd.tld -d *.ndd.tld   --dns   dns_ovh

Ensuite, ça m'a mit un message d'erreur comme quoi il fallait que j'ajoute deux entrées TXT dans ma zone DNS puis recommencer en ajoutant "--renew" ce que j'ai fait et voici la nouvelle ligne de commande à taper :

acme.sh --issue -d   ndd.tld -d *.ndd.tld   --dns   dns_ovh --renew

Le certificat est validé et créé :

[Wed Apr  4 18:22:05 CEST 2018] Your cert is in  /root/.acme.sh/*****.fr/*****.fr.cer
[Wed Apr  4 18:22:05 CEST 2018] Your cert key is in  /root/.acme.sh/*****.fr/*****.fr.key
[Wed Apr  4 18:22:05 CEST 2018] The intermediate CA cert is in  /root/.acme.sh/*****.fr/ca.cer
[Wed Apr  4 18:22:05 CEST 2018] And the full chain certs is there:  /root/.acme.sh/*****.fr/fullchain.cer

C'est à partir de maintenant que ça se complique pour moi :rolleyes:

J'ai cherché à copier ces clés par ssh avec un tuto que j'ai trouvé mais ça ne passe pas et la raison est "cp: cannot create regular file ‘/usr/syno/etc/ssl/ssl.crt/server.crt’: No such file or directory"

  cp "/root/.acme.sh/*****.fr/*****.fr.cer" "/usr/syno/etc/ssl/ssl.crt/server.crt"

Je suis donc allé voir via ssh et effectivement, je n'ai pas la même chose que le tuto anglais...

Je n'ai pas réussi à trouver ou se trouve le certificat une fois qu'il est activé dans le panneau de configuration de DSM. A noter que le tuto est fait à la base pour un routeur Synology...

En attendant, j'ai récupéré manuellement mon certificat (*****.key, *****.cer et fullchain.cer) via WinSCP dans : /root/.acme.sh/*****.fr puis je l'ai importé manuellement (panneau de configuration > certificat) pour voir si ça fonctionnait ce qui est bien le cas.

****************************************

Alors maintenant que ça c'est fait, j'aurai deux trois petites questions pour ceux qui seraient connaisseur. Car en l'état, je vois pas trop ce que je gagne de plus en passant par ssh plutôt que par le site mentionné plus haut dans mon tuto.

Je suppose que ce certificat créé via l'API d'OVH ne se renouvelle pas tout seul et qu'il y a quelque chose à faire. Je me trompe ?!

Connaissez-vous l'endroit ou sont stockés les certificats svp ?

Y'a-t-il une possibilité d'automatiser tout ça pour créer un certificat à l'expiration du précédent puis le copier dans le bon dossier ?

 

Merci par avance

Partager ce message


Lien à poster
Partager sur d’autres sites

@Balooforever

C'est ce que j'avais fait aussi parce que l'installation n'avait pas fonctionné. Et du coup le script de maj ne fonctionnait pas.

Je viens de refaire l'install complète en force et ça a l'air de fonctionner. Je verrai dans un mois si le renouvellement se fait.

il y a 5 minutes, InfoYANN a dit :

Ensuite, ça m'a mit un message d'erreur comme quoi il fallait que j'ajoute deux entrées TXT dans ma zone DNS puis recommencer en ajoutant "--renew" ce que j'ai fait et voici la nouvelle ligne de commande à taper :

Le message est normal.

Il fallait ensuite revenir dans OVH avec le lien pour le credential token qui était donné dans les messages. C'est ce qui permet de mettre en place l'api et évite de rajouter des txt dans la zone.

Pour la mise en place du certificat, il faut suivre l'alternative method du tuto https://github.com/Neilpang/acme.sh/wiki/Synology-NAS-Guide

Les certificats se trouvent dans /usr/syno/etc/certificate/_archive/"nom aléatoire du dossier que tu dois aller chercher"/

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant