Aller au contenu

[TUTO OBSOLÈTE] Certificat TLS/SSL - Let's Encrypt "Wildcard"


unPixel

Messages recommandés

Bonjour

Pour la mise en place du reverse proxi, j'ai été amené à créer mon certif wildcard.
Je n'ai pas rencontré de gros problèmes mais j'ai, tout de même, quelques remarques.

1 - TTL = 1 seconde

Le 21/03/2018 à 16:37, Zeus a dit :

3. Comme on peut le voir ci-dessous, ça nous dit ce qu'il faut ajouter deux entrées TXT dans notre zone DNS (chez notre fournisseur de domaine). J'ai personnellement mit 60 et non 1 en TTL. De toute façon, OVH n'en veut pas du 1 :rolleyes:

4. On peut ensuite vérifier que l'entrée a bien été prise en compte en cliquant sur "Verify _acme-challenge.ndd.tld".

Comme toi, je n'ai pas pu mettre 1 s en TTL, j'ai du mettre 1 mn (je suis chez 1&1)
Lors du "Verify _acme-challenge.ndd.tld", j'ai eu un  message en gras et en rouge me disant que du fait que j'avais pas mis "60", il fallait attendre 60 s
Attendre quoi ? Je n'ai pas compris ...
J'ai refait le test quelques minutes plus tard mais ce message réapparaît toujours.
Bref, j'ai laissé tombé le test et poursuivi ma démarche

2 - Adresses IP de Let's Encrypt

Le 21/03/2018 à 16:37, Zeus a dit :

5. Une fois terminé, on clique sur "Donwload SSL Certificate" et le certificat va se générer. Il ne reste plus qu'à le placer dans son NAS en l'important dans le panneau de configuration 😉

On peut donc retirer les règles du pare-feu relatives aux IP de Let's Encrypt (on n'en a plus besoin), c'est bien ça ?

3 - Certificat par défaut
Ce n'est pas dit dans le tuto : Il faut penser à mettre ce certificat "par défaut"
De plus, même après avoir mis ce certif "par défaut", j'ai vu dans le navigateur des messages relatifs à un "risque potentiel de sécurité".
Je suis donc allé dans l'onglet configuration (des certificats) et j'ai vu que certains services avaient gardé l'ancien certificat.
=> J'ai donc réajusté tous les services sur ce nouveau certificat puis je n'ai plus eu de message relatif à la sécurité

 

Voilà, peut-être serait-il pertinent de compléter le tuto (notamment le troisième point).
Cordialement

Modifié par D34 Angel
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Ok, je vais ajouter les détails de la mise en place d'un certificat et son activation par défaut pour tous les services.

Citation

On peut donc retirer les règles du pare-feu relatives aux IP de Let's Encrypt (on n'en a plus besoin), c'est bien ça ?

Ou du moins les désactiver mais oui, tu peux les retirer. Si tu as créé ton compte sur SSLFORFREE, tu devrais recevoir un mail à échéance te précisant que tu peux le renouveler.

Il suffira alors si mes souvenirs sont bons d'aller dans ton compte sur SSLFORFREE et de demander le renouvellement, puis téléchargement à nouveau du certificat puis pour finir, une nouvelle importation en remplaçant le précédent !

Lien vers le commentaire
Partager sur d’autres sites

il y a 18 minutes, Zeus a dit :

Ou du moins les désactiver mais oui, tu peux les retirer. Si tu as créé ton compte sur SSLFORFREE, tu devrais recevoir un mail à échéance te précisant que tu peux le renouveler.

Je les désactivais déjà (et ne les réactivais que pour le renouvellement).
Mais bon ... si je n'en ai plus besoin, autant les supprimer.

Oui, j'ai créé un compte chez SSLFORFREE. J'avais lu ton conseil dans le tuto
Citation : "Vous avez aussi la possibilité avant de commencer de créer un compte pour être averti de l'expiration de votre certificat."

 

PS : Je viens de voir ta mise à jour du tuto. C'est bien ; c'est très complet.

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Salut à tous !

Déjà, merci @Zeus pour ton tuto ! 😉 

 

Pour ma part, je bloque à l'étape où il faut créer deux enregistrements TXT. 
J'ai précédemment suivi le tuto de Fenrir sur le serveur DNS, et mon syno est SOA et NS.

Je suis chez Gandi.net pour mon ndd.tld, et ayant indiqué des NS manuellement, Gandi désactive l'enregistrement DNS sur leurs plateformes.

image.thumb.png.46e71f07eb4a4a71665b4cc5de1c9020.png

 

J'ai donc pensé à créer ces deux enregistrements directement sur mon NAS, dans ma zone publique.
Mais voilà, quand je veux faire la vérification il ne trouve pas les enregistrements TXT...

Citation

No TXT Record Found. Make to set the TTL to 1 second or if you cannot set the TTL then you must wait the TTL (in seconds) so it updates before verifying the domain. Contact your DNS provider if unsure.

J'ai fait une rapide recherche sur ce sujet, et j'ai lu ce topic mais personne n'en a parlé avant à priori. 
Comment je peux faire pour intégrer ces enregistrement TXT afin de passer l'étape de vérif ? Je peux sauter cette étape à votre avis ? (pas certain pour ma part)

Merci pour votre aide 😉 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Je viens de faire la maj DSM 6.2.2-24922 Update 3.

La mise à jour pour le protocole de Let's Encrypt to ACME V2 pouvait laisser penser que les certificats génériques étaient maintenant pris en compte.

Je viens de faire l'essai de création d'un certificat générique: impossible le * n'est pas accepté.

Dommage!

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, PPJP a dit :

Bonjour,

Je viens de faire la maj DSM 6.2.2-24922 Update 3.

La mise à jour pour le protocole de Let's Encrypt to ACME V2 pouvait laisser penser que les certificats génériques étaient maintenant pris en compte.

Je viens de faire l'essai de création d'un certificat générique: impossible le * n'est pas accepté.

Dommage!

Bonjour, ça ne concerne que les domaines Synology je crois bien.

Lien vers le commentaire
Partager sur d’autres sites

En effet @PPJP, je confonds avec SRM

Je passe maintenant par le package acme sur pfSense pour gérer le renouvellement automatique des certificats, mais par exemple pour un nom de domaine chez OVH, pour que ça se fasse de manière automatique, il faut préciser les accès à l'API sinon les deux enregistrements TXT pour la vérification ne peuvent être inscrits dans la zone DNS...
Est-ce que DSM les demande dans sa dernière version ? Je n'ai pas encore eu le temps de l'installer, je ne peux pas vérifier...
La fonctionnalité venant tout juste d'être ajoutée à SRM pour les DDNS Synology, je doute qu'ils la proposent pour un nom de domaine quelconque sur DSM.

S'ils ne demandent rien, c'est qu'à mon humble avis, ça ne concerne que les domaines Synology, ce qui en soit serait déjà une bonne nouvelle.

Modifié par shadowking
Lien vers le commentaire
Partager sur d’autres sites

En effet, il n'y a rien de nouveau même avec cette dernière MAJ. Je ne sais par contre pas si ils ont intégré le wildcard comme ils l'ont faut sur SRM.

@ DaG33K :

Désolé mais je n'ai pas reçu de notifications de ta demande.

Non tu ne peux pas sauter cette étape. Et il te faut l'inscrire chez ton registrar. Gandi dans ton cas.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 19 heures, Zeus a dit :

Désolé mais je n'ai pas reçu de notifications de ta demande.

Aucun problème n'en t'en fais pas.

Il y a 19 heures, Zeus a dit :

Non tu ne peux pas sauter cette étape. Et il te faut l'inscrire chez ton registrar. Gandi dans ton cas.

Alors j'ai cherché, j'ai creusé, j'ai fouiné, et j'ai fini par trouvé la solution. C'est très simple, il suffit de savoir lire attentivement ... 😅

Dans la zone DNS public, il faut, avant tout, bien vérifier que l'enregistrement suivant soit bien présent :
image.thumb.png.472f2968eb9716abb2bc53bc317b88a7.png

@ ndd.tld. IN A 86400 IP.PUBLIC.DE_LA.BOX

@Fenrir pas taper ... j'ai éludé ce "petit détail" de ton tuto ... 😛😅

 

Enfin, on rajoute les enregistrement TXT demandé par SSL For Free puis on continue ton tuto au point N°4, et roule ma p.... heu enfin ça fonctionne ensuite quoi 😅

Merci pour ton temps et ton partage @Zeus 😉 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

J'ai suivi le tuto pas à pas, et en simplifié pour un nom de domaine, avec simplement une entrée mail.ndd.fr et ndd.fr

Si je cherche à me connecter en https sur mon nom de domaine directement sur le DSM avec le bon port ça à l'air de fonctionner bien.

Mais invariablement si je veux me connecter sur le serveur web en https port 80, donc sur le site petit site que je mets en place, j'ai ce message d'erreur :

 PR_END_OF_FILE_ERROR

Est ce que quelq'un pourrait m'indiquer des pistes pour élucider ce problème ?

merci !

 

 

Lien vers le commentaire
Partager sur d’autres sites

Bon et bien je ne pensais pas devoir ajouter cette précision dans le tuto mais oui il faut bien évidemment que le domaine soit déclaré sur l'IP.

il y a 1 minute, mik@el a dit :

Bonjour,

J'ai suivi le tuto pas à pas, et en simplifié pour un nom de domaine, avec simplement une entrée mail.ndd.fr et ndd.fr

Si je cherche à me connecter en https sur mon nom de domaine directement sur le DSM avec le bon port ça à l'air de fonctionner bien.

Mais invariablement si je veux me connecter sur le serveur web en https port 80, donc sur le site petit site que je mets en place, j'ai ce message d'erreur :

 PR_END_OF_FILE_ERROR

Est ce que quelq'un pourrait m'indiquer des pistes pour élucider ce problème ?

merci !

 

 

Bonjour,

Pourquoi t'embêter ? Pour deux domaines, autant passer par le service intégré à DSM.

Lien vers le commentaire
Partager sur d’autres sites

Que le nom de domaine soit déclaré sur l’ip ??

je ne suis pas sûr de bien comprendre. Tout fonctionne bien en terme de redirection de ndd. Et j’ai bien renseigné tout ça chez mon provider. Le serveur dns du NAS fonctionne et j’ai pu crée des adresses mail avec mon nom de domaine et tout fonctionne.

j’ai crée un certificat par le système interne du NAS mais j’avais la même erreur.

C’est pour ça que j’ai tenté de passer par le biais de sslfree. Mais apparemment quelque chose coince en accès https sur le site (pas sur le port 5001 du NAS).

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour,

 

Merci pour ce tuto très utile.

Pour ma part, j'ai généré mon certificat wildcard ovh en installant certbot en docker DSM, ça marche impec, j'ai juste à l'allumer tous les 90 jours.

Et pour le CRON, ce sera un évènement de calendrier trimestriel à l'ancienne 😁

En attendant que tout ça soit nativement géré dans l'interface DSM...

Modifié par kasimodem
Lien vers le commentaire
Partager sur d’autres sites

  • 6 mois après...

@unPixel et @PPJP

Bonjour,

Désolé de "déterrer" le sujet mais maintenant après quelques mois, où en êtes vous de l'automatisation du renouvellement de certificat wilcard LE à l'aide du script 'majcertificat-5.sh' ?

Quel est votre retour d'expérience d'exploitation ? Bon, pas bon ?

Vu que vous n'échangez plus sur ce fil à ce propos, je m'avance peut-être, mais cela semble vouloir dire que vous êtes satisfaits.

En conséquence, considérerez-vous que l'on peut l'implémenter sans risques et qu'il est aussi suffisamment abouti pour nous permettre de renouveler nos certificats wilcard LE créés par la méthode acme.sh ?

Votre avis d'experts est important.

Merci de vos réponses.

Cordialement

oracle7 😉

 

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir @oracle7

 

Il y a 6 heures, oracle7 a dit :

Vu que vous n'échangez plus sur ce fil à ce propos, je m'avance peut-être, mais cela semble vouloir dire que vous êtes satisfaits.

Je crois plutôt que cela veut dire que personne ne l’utilise.

Il y a un an il était fonctionnel chez unPixel et chez moi.

Depuis je n’ai eu aucun retour et n’en ai pas l’usage chez moi.

Je ne l’ai donc pas maintenu et il n’est probablement plus opérationnel actuellement.

 

Quand j’aurai un peu de temps libre, et s’il vous intéresse , je pourrais le vérifier et le mettrai à jour.

Lien vers le commentaire
Partager sur d’autres sites

@PPJP

Merci de votre réponse aussi rapide.

Personnellement j'attendais un éventuel feu vert de votre part ou de @unPixel puisque ce dernier avait explicitement demandé d'attendre avant de utiliser  ce script car le sujet était à l'époque expérimental. D'où maintenant ma demande de situation après quelques mois.

Sinon effectivement, je suis intéressé par sa mise en œuvre. Je vais tester avec la dernière version du script 'majcertificat-5.sh' que vous aviez diffusé alors et comme vous le dites qui était fonctionnelle (du moins chez vous et chez lui).

J'ai examiné le code et pense avoir compris le fonctionnement et le processus suivi même si j'ai un peu de mal à identifier le pourquoi de certains passages. Mais là, je met cela sur le compte de ma méconnaissance de l'organisation des fichiers de gestion du NAS. C'est bien aussi d'un autre coté car en décortiquant le code j'apprends aussi sur cette gestion.

Vous dites que ce script n'est probablement plus opérationnel actuellement. Qu'est-ce qui aurait changé ? Dû à une gestion des packages/services différentes suite aux màj récentes de DSM ?

Au passage, comme @unPixel au début de ses tests, la génération de mes certificats se fait dans le répertoire caché 'root/.acme.sh' alors que ce répertoire n'est pas stable dans le temps, il ('/root' du moins)est réinitialisé à chaque mise à jour de DSM. Plus tard dans le fil des échanges, unPixel semblait avoir trouvé comment faire générer les fichiers dans le même répertoire que l'exécutable acme.sh ('/usr/local/share') mais il n'a pas dit comment il avait fait. J'ai peut-être une piste mais je n'en suis pas sûr, vous avez peut-être vous, une idée ?

Cordialement

oracle7 😉

 

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Le script était décomposé en fonctions simples pour être plus compréhensible.

Ce script n'est sans doute plus fonctionnel car il y a eu des modifications du DSM au niveau des certificats (et peut-être coté acme)

Concernant l'installation de acme, elle se fait dans le dossier actif lors du wget, il suffit donc de se placer dans le dossier désiré avant d’exécuter cet wget

Pour l'instant je n'ai pas les disponibilité pour me replonger sur ce script.

Lien vers le commentaire
Partager sur d’autres sites

@PPJP

Bonjour,

Pour l'organisation en fonctions simples : c'est clair.

il y a 3 minutes, PPJP a dit :

Concernant l'installation de acme, elle se fait dans le dossier actif lors du wget, il suffit donc de se placer dans le dossier désiré avant d’exécuter cet wget

Je n'ai pas de soucis de ce coté là, c'est ce que je faisais déjà.

Non, le soucis est le résultat de la commande 'acme.sh --issue/renew/force ...." qui génère les fichiers de certificats dans le répertoire '/root/.acme.sh' au lieu de le faire dans le répertoire de lancement de la commande 'acme.sh --issue .....' qui est '/usr/local/share'. Mais je vais essayer un truc trouvé sur la toile, on verra bien ...

il y a 8 minutes, PPJP a dit :

Pour l'instant je n'ai pas les disponibilité pour me replonger sur ce script.

Quand vous en aurez, ce serait sympa de votre part ... Je continue à regarder et tester de mon coté avec l'existant et vous ferais les éventuels retours nécessaires.

MERCI encore de votre aide. J'espère aussi que @unPixel passera à nouveau par là pour fournir gracieusement un peu sa lumière.

Cordialement

oracle7 😉

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Bonjour à tous,

Ce matin je reçois un mail de ssl for free 

 

"Dear SSL For Free Users,

Great News!

We are happy to let you know that SSL For Free has teamed up with ZeroSSL in an effort to offer you an even more easy-to-use, complete and still free platform for all your SSL certificate requirements.

In a nutshell, you will now be able to enjoy the following features: 

  • Free 90-Day Certificates
  • 1-Year Premium Certificates
  • Wildcard & Multi-Domain SSL
  • Domain Verification via Email 
  • Simple Management Console
  • Straightforward REST API
  • and more!

Important: New Account Required

Please note that you will not be able to use your previous SSL For Free account credentials to log in to the new platform. Instead, to keep using our product, please register for a new account using the "Get Free Access" button below." 

 

Comme mon certificat venait à expiration, j'ai tenté le coup et obtenu un certificat avec la méthode DNS par contre je n'arrive pas à l'installer avec la procédure habituelle d'installation (remplacer puis importer) . 

J'ai récupérer l'ancien certificat mais je pense que je vais devoir passer à zerossl à son expiration.

Est-ce que quelqu'un est arrivé à installer un certificat zerossl. Par quelle méthode?

Edit : aucun de vous n'a reçu ce mail ???

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.