[Résolu]Impossibilité de créer un certificat sur un nom de domaine

[Titi-73]

Bonjour,

Nouvel utilisateur d'un NAS, je suis confronté comme d'autres l'ont été aux soucis de configuration.

Je ne compte plus le nombre de tutos que j'ai pu lire pour y remédier par moi-même, mais je me rends à l'évidence, je sèche et j'apprécierais une aide précieuse...

Je me suis beaucoup retrouvé dans le sujet posté le 27/01 par "EtRhI", car je n'arrive pas non plus à créer le certificat Let's Encrypt et le NAS me retourne systématiquement le même message d'erreur "Assurez-vous que le nom de domaine est valide" 😞. Mais je n'y ai pas trouvé la réponse car le problème n'est pas lié à l'IPV6 (si j'ai bien compris son problème). A part ça, j'aurais presque pu faire un copier/coller de son post 🙂

J'ai lu les mêmes tutos de "unPixel", "Kawamashi" et "Fenrir" (pour ne citer qu'eux !) et j'en profite pour les remercier énormément, ainsi que tous les autres contributeurs, tant les infos sont riches ! Sans compter les heures qu'ils ont dû passer pour nous faciliter la tâche.

Venons-en au fait :

Côté matériel:

- Je possède un DS418play (DSM 6.2.2-24922 Update 4) doté de 3 DD WD de 4To, en Raid SHR

- Le tout raccordé sur une BBox modèle F@st5330b, version logicielle 17.12.6 en IP Fixe (IPV4)

Côté config:

- Les IP (LAN) sont fixes également et associées aux adresses MAC des équipements du réseau (choix de ma part, afin de ne plus avoir de connections abusives "non maîtrisées" via le WiFi notamment. Ou du moins les limiter...)

- Le pare-feu de la BBox est désactivé momentanément, pour les essais

- Le routage est réalisé dans la BBox pour les ports 80 et 443 vers l'IP du NAS

- D'une manière générale, j'ai essayer de suivre tous les conseils de configuration des tutos (mais j'ai sans doute loupé quelque chose au passage...)

- Le pare-feu du NAS est configuré avec les deux autorisations du port 80, sur les deux IP de Let's Encrypt pour la création du certificat dans un premier temps (et les futurs renouvellements)

- Et je n'utilise pas QuickConnect

Pour terminer, j'ai acheté un nom de domaine chez OVH (en .fr) et j'y ai déclaré 6 sous domaines via l'interface "zone DNS" d'OVH. Tout semble correct si j'en crois la diffusion via le site de "whatsmydns.net".

Pourtant, je bloque à toutes mes tentatives d'ajout d'un nouveau certificat LE... J'ai essayé le ndd seul, le ndd et les sous domaines séparées par des ";" Rien y fait...

Aujourd'hui, je ne suis sûr de rien. Je n'arrive même plus à identifier d'où vient approximativement le problème; du NAS ? ou d'OVH ?

D'avance je vous remercie !

Titi-73

 

[PPJP]

Bonsoir

Il faut modifier les 2 premiers lignes de votre pare-feu.

Les adresses de Let's Encrypt ne sont plus valables.

Remplacez les pa r" tous"  le temps d'obtenir votre certificat.

[Titi-73]

Bonsoir PPJP,

Merci de votre réponse.

Il me semble avoir déjà effectué cet essai (lors de mes nombreuses tentatives...), mais bon, je viens de retenter l'expérience en paramétrant comme ci-dessous:

J'ai descendu les deux premières lignes douteuses, pour les remplacer par "toutes les IP des USA".

C'est en personnalisant les ports que je me suis aperçu des 2 types possibles de ces derniers (port de destination par défaut, ou port source).

Je n'ai d'ailleurs jamais vu d'infos au sujet du "port source". C'est assez étonnant, car la logique voudrait que ce soit bien ce choix là, non ?

Bref, comme les quantités de demandes auprès de Let's Encrypt sont limitées par semaine (j'ai déjà été bloqué pour cette raison), j'ai mis tout de suite les 2 types au cas où...

...et ça n'a pas fonctionné. 

Une première fois, où "Port source" était en première ligne. Le traitement était plus long que d'habitude, mais pour aboutir au message "Echec de l'opération. Reconnectez-vous à DSM et réessayez"

Chose que j'ai faite aussitôt en inversant l'ordre des deux premières lignes (on ne sait jamais...), et pas mieux : "Assurez-vous que le nom de domaine est valide"

Pour info, combien de temps dure la création (et/ou le renouvellement d'un certificat) ? Sachant qu'il y a 1 nom de domaine et 6 sous-domaines, des fois que la quantité ait un impact.

Je cherche toujours donc... Merci encore de vous être penché sur la question.

Titi-73

[PPJP]

Je n'utilise pas cette méthode pour gérer mes certificats. Cette réponse devra être confirmée par d'autres intervenants.

Les ports a utiliser sont des ports de destination.

De mémoire il me semble avoir lu que LE utilise également le port 443

De même je crois que LE utilise également des serveurs en Allemagne (pour l'Europe).

Vous devriez faire un essai avec les ports 80 et 443 ouverts sur "Tous" et le nom de domaine seul.

Votre zone DNS es-t’elle correcte chez OVH?

Où arrivez vous quand vous essayez de vous connecter depuis l'extérieur (avec votre nom de domaine, avec votre IP externe)

 

[Jeff777]

Bonjour,

PPJP a raison, Il faut ouvrir le port 80 complètement ne pas limiter aux USA

[Titi-73]

Bonjour,

Merci PPJP et Jeff777 pour votre aide.

OK pour les ports "de destination". Pour le port 443 utilisé par LE, j'ai un doute quand même. Selon le tuto de Kawamashi (extrait ci-dessous):

 

 

Il semble que le port 443 ne soit pas nécessairement à ouvrir en dehors de la France pour LE...

Et pour le 80, il faut effectivement être plus ouvert pour la création ou le renouvellement de certificat. Je vais remédier à tout ça au prochain essai.

Mais j'ai l'impression qu'il y a d'autres soucis à régler avant de s'occuper du certificat en question. La suite est assez détaillée, avec copie d'écran, pour vous faciliter la compréhension.

Côté OVH et nom de domaine :

J'ai refait des essais ce matin en partage de connection 4G de mon tel pour être sûr d'accéder depuis l'extérieur. Et pour chaque essai, je vidais préalablement l'historique du navigateur pour éviter tout rechargement d'une page mémorisée.

1/ avec http://ndd.fr   j'arrive sur la page d'accueil d'OVH...

2/ avec https://ndd.fr   il y a "échec de la connexion sécurisée" (logique a priori tant que je n'ai pas de certificat)

3/ avec http://sousdomaine.ndd.r   il y a échec de connexion après un loooong moment

J'ai vérifié sur mon compte, voici les infos :

Nom de domaine

Sous domaine (idem pour les 6 que j'ai déclarés)

Redirection

Pour le temps personnalisé de 60 secondes, c'était un essai au cas où le réglage par défaut aurait été la cause, mais ça ne change rien.

Et pour l'IP fixe, j'ai re-vérifié une éventuelle erreur de saisie...

Je ne parle pas des autres configurations (non modifiées) qui sont certainement nécessaires au fonctionnement d'OVH.

Côté propagation :

A part 1 ou 2 serveurs, tout est OK à chaque fois.

Voilà, désolé si c'est un peu long...

C'est peut-être une broutille, ce que j'espère à la limite... mais quand on découvre un peu le tout en même temps, ça déroute un peu quand même.

Merci à vous et bonne journée !

Titi-73

 

 

 

 

Modifié le 21 avril 2020 par Titi-73
Suppression copie d'écran en trop.

[Jeff777]

Bonjour,

Tu as des enregistrements NS dans ta zone??

[Titi-73]

Bonjour Jeff777,

Oui, j'ai deux ligne NS qui semblent cibler sur des serveurs ovh.net

Mais contrairement aux autres lignes, je ne vois pas d'accès pour modifier quoi que ce soit... 

[Jeff777]

il y a une heure, Titi-73 a dit :

Mais contrairement aux autres lignes, je ne vois pas d'accès pour modifier quoi que ce soit... 

ça me semble pas anormal.

Maintenant pour le sous domaine il faudrait peut-être attaquer le proxy inverse ?

Modifié le 20 avril 2020 par Jeff777

[Titi-73]

il y a 7 minutes, Jeff777 a dit :

Essaie de faire pointer ton sous domaine plutôt vers ns.ndd  que vers ndd

Tu peux me préciser un peu la méthode STP ?

Je suis sur mon compte OVH, et j'avoue que c'est un peu flou...

[Jeff777]

Non j'ai édité cette remarque. Regarde le message précédent.

ici:

 

Modifié le 20 avril 2020 par Jeff777

[Titi-73]

OK merci.

Sauf erreur de ma part, le proxy inverse, c'est le "reverse proxy" dans la config du NAS... Donc il n'y aurait pas de problème particulier avec OVH (NS ou autre) ?

Je regarde ça, et je reviens...

[Jeff777]

Non aucun problème.

 

[PPJP]

Le paquet Web Station est actif?

[Titi-73]

Jeff777,

J'ai refait des copies d'écran (c'est plus parlant...) 

Accès externe > Avancé

Réseau > Paramètre de DSM

Quant au portail des applications, j'ai fait exactement la même chose que Kawamashi.

 

Bonjour PPJP,

Merci de t'intéresser encore à mon problème. 🙂

Non, je n'ai pas installé le paquet Web Station. Parce que je ne l'avais lu dans aucun tuto, tout simplement... (du moins pour le B.A. BA de l'installation, config, etc.)

Et je n'en suis pas à créer mon propre site Web pour le moment... Est-ce que je dois le mettre malgré tout ?

Titi-73 

 

[PPJP]

Si l'on ouvre le port 80 c'est pour permettre à LE de communiquer avec le Nas

Mais pour cela il faut qu'un service soit en face pour répondre: Web Station ou Reverse proxy

Si aucun de ces deux services n'est actif c'est renvoyé vers les ports 5000 ou 5001

[Jeff777]

Oui installe webstation comme le dit PPJP.i  tu réessaiera d'aller sur ton sous domaine ça devrait t'amener sur une page du NAS.

Tu décoches la case "rediriger automatiquement les connexion http vers https.

ceci fait planter le reverse proxy. Tu remplaces par un .htaccess dans le dossier web qui sera activé lorsque tu aura installé webstation.

Décoche également "activer un domaine personnalisé".

Le htaccess il est expliqué dans le tuto de Kawamashi. Suis le et tu devrais avoir tout ce qu'il faut😉

Modifié le 20 avril 2020 par Jeff777

[Titi-73]

Ok, merci à tous les deux.

Je m'en occupe et je vous tiens au courant...

[Titi-73]

Bonsoir,

Je vous amène enfin les nouvelles (avant d'aller me coucher puisqu'il est 3h passé... LOL)

J'ai bien installé Web Station, et j'ai bien créé et ajouté sous le dossier Web, le fichier ".htaccess" pour permettre la redirection automatique http > https.

Petit détail qui ne doit pas avoir une énorme importance, j'ai installé plus de paquets PHP que le prévoit le tuto de Kawamashi. Je suppose que ce n'est qu'une question de date et que depuis le tuto, il a dû y avoir ces deux nouvelles versions 7.2 et 7.3. qui se sont rajoutées...

En bref, j'ai tout installé et dans les paramètres généraux de Web Station, j'ai bien entendu paramétré la dernière version (7.3) par défaut.

Mais pour autant la demande certificat LE n'a toujours pas fonctionné.

J'ai donc repris point par point le tuto :

- J'ai vérifié sur mon compte OVH. Tout semble OK, j'ai même ajouté (pour faire un essai) le domaine générique "*.monndd.fr" en CNAME. Mais je pense que je le supprimerai très rapidement à terme, si les autres fonctionnent bien

- Ma BBox redirige bien a priori les ports 443 et 80 vers l'IP fixe (LAN) de mon NAS

- Le Pare-Feu de la BBox est toujours pour le moment désactivé (je regarderai ça après...), et pour celui du NAS, j'ai remplacé les deux lignes précédemment créées avec les IP de LE, par : autorisation du port 80 / TCP / pour tous... (uniquement le temps de créer le certificat...)

- J'ai vérifié la configuration du portail des applications, tout est bien en HTTP

- J'ai vérifié le bon fonctionnement en tapant pour chaque domaine créé :  IP_Locale_du_NAS:port (HTTP de l'application)

- Là, tout fonctionnait sauf une application qui refusait de s'ouvrir et me renvoyait un message "l'utilisateur a été désactivé ou supprimé". Or, tout est configuré comme il faut côté "utilisateurs". Après tous ces essais, je me suis dit qu'un petit arrêt / marche ne lui ferait peut-être pas de mal... Et j'ai bien fait, tout est redevenu correct aussitôt (la magie du reset !)

- J'ai donc vérifié le Proxy inversé, tout est OK également : https://application.monndd.fr et  http://localhost:port (correspondant à l'application bien entendu)

C'est là que ça coince. Quand je tape https://application.monndd.fr sur un navigateur depuis l'externe (partage de connection en 4G) et quelle que soit l'application, rien ne répond... Je ne suis redirigé nulle part, et je n'ai aucun avertissement de sécurité.

Le problème est donc bien au niveau des noms de domaines. Ils sont non reconnus, mal orientés, rejetés, ou perdus en route...

Sachant que finalement (sauf erreur de ma part) :

> le nom de domaine n'est pas utilisé dans les paramètres "Accès externe", "Réseau" et "Sécurité",

> l'absence de certificat LE ne doit pas être bloquant dans un premier temps. Je devrais au moins avoir l'avertissement !

Je me demande vraiment où ça peut coincer...

Existe-t-il un genre de journal (dans le NAS ou la BBox éventuellement) qui permettrait de cibler un peu plus précisément l'endroit du blocage ?

En tout cas, même si cela ne marche toujours pas, je suis plutôt satisfait d'avoir appris pas mal de chose aujourd'hui... Et l'installation de Web Station est déjà faite pour la suite, c'est déjà ça !

Allez, je ne tiens plus, je vais me coucher.

Au plaisir de vous relire ! (si vous ne me laissez pas dans la mouise...)

Titi-73

[Jeff777]

Tu devrais vérifier tes enregistrements A dans ta zone OVH. Il ne devrait y avoir que l'IP publique de ton domaine or le site "whatsmydns.net"  te répond par deux IP.

 Et retire tes copies d'écran de "whatsmydns.net".  🙄

 

Modifié le 21 avril 2020 par Jeff777

[Titi-73]

Bonjour Jeff777,

Bien vu pour les copies d'écran. Merci.

Je viens de regarder mon compte OVH. Effectivement, il y a une deuxième redirection vers l'IP de leur serveur Webmail. Je pensais qu'il ne fallait pas toucher au réglage par défaut initial et simplement ajouter mes propres besoins.

Ben vu les circonstances, et comme je n'utilise pas ce service chez eux, je l'ai supprimé...

Après vérification sur "whatsmydns.net" il n'y a dorénavant que l'IP de mon domaine.

Je viens de faire les essais suivants :

1/ Sur navigateur connecté en wifi sur ma BBox:

http://sousdomaine.monndd.fr => erreur 500

http://monndd.fr => erreur 500

https://sousdomaine.monndd.fr => OK (accès au NAS pour l'application concernée)

https://monndd.fr => erreur 500

2/Sur navigateur connecté via 4G :

Les 4 essais ci-dessus n'aboutissent à rien de rien... (ça rame un certain temps, puis le serveur ne répondait plus)

Sur le site d'OVH, ils associent l'erreur 500 à une mauvais configuration du site du client (le contraire m'aurait étonné !)

Mais ils précisent également que les sources d'erreurs peuvent être liées à ".htaccess", aux permissions/droits ou une erreur de script. C'est une piste de recherche...

Titi-73

[Jeff777]

Deux premières erreurs devraient se résoudre avec htaccess 

Le dernier c'est normal.

.htaccess    vérifie ton fichier

C'est aussi le moment de faire un certificat.

Pour .htaccess    copier/coller les lignes suivantes dans un fichier texte :

 

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Sauvegarde et renomme le fichier (l'extention doit être visible afin de renommer l'ensemble) :    .htaccess        ne pas oublier le point devant.

Modifié le 21 avril 2020 par Jeff777

[Jeff777]

il y a 26 minutes, Titi-73 a dit :

il y a une deuxième redirection vers l'IP de leur serveur Webmail.

On parle bien des enregistrements A dans ta zone DNS chez OVH pas ce qui est marqué dans l'onglet suivant : DNS

Lorsque j'ai fait un nslookup sur la deuxieme IP donnée par le whatsmydns c'était pas du tout le webmail d'ovh...mais alors pas du tout 🙄

[Titi-73]

Oui, je parle bien de l'onglet "Zone DNS" d'OVH. Quand je filtre pour ne voir que la cible "A" il n'y a plus que la ligne de monndd avec mon IP (du moins maintenant, après avoir supprimé la deuxième ligne qui ciblait l'IP de leur serveur Webmail, comme précisé ce matin).

En regardant l'onglet "Serveur DNS", pour info, il y a deux lignes de serveur DNS au staut "actif" sans adresse IP associé.

Si je pousse plus loin avec l'onglet "Redirection" et que je filtre également sur "ipv4 - A", je ne vois que monndd et mon IP également (comme "zone DNS")

Pour la deuxième IP, c'est ce que j'ai pu lire via un moteur de recherche (Webmail...), mais je n'ai effectivement pas été plus loin que ça.

C'était quoi alors ? Il ne fallait pas la supprimer ?

 Pour le fichier ".htaccess"

il y a 36 minutes, Jeff777 a dit :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Sauvegarde et renomme le fichier (l'extention doit être visible afin de renommer l'ensemble) :    .htaccess        ne pas oublier le point devant.

Il n'y a rien à modifier dedans ? je l'ai copié tel quel avant de l'enregistrer sous le répertoire Web créé par Web Station.

Pour info, je suis passé par TextEdit (sous MAC) et j'ai enregistré au format RTF proposé par défaut.

Quand je l'ai copié sous "Web", je l'ai renommé ".htaccess" j'espère que cette manip n'a pas altéré quoi que ce soit.

Sinon, j'ai vu d'autres propositions de contenu (légèrement différent) sur le site d'OVH où l'on voit le nom de domaine d'inscrit. Mais je ne suis pas un pro du PHP, donc je préfère demander...

Titi-73

[Jeff777]

il y a 3 minutes, Titi-73 a dit :

C'était quoi alors ? Il ne fallait pas la supprimer ?

Si il fallait.

 

il y a 4 minutes, Titi-73 a dit :

Sinon, j'ai vu d'autres propositions de contenu (légèrement différent) sur le site d'OVH où l'on voit le nom de domaine d'inscrit.

Non celui que je t'ai donné et que tu trouveras de nombreuses fois dans ce forum est bon.

Si maintenant tu refais tes tests ça devrait rediriger une connexion http vers https

Par contre il faudait faire ton certificat.