[Résolu]Impossibilité de créer un certificat sur un nom de domaine

[Titi-73]

OK.

Dans le doute sur ma façon de rédiger ce fameux fichier ".htaccess" hier, j'ai préféré le refaire en passant par le classique bloc note sur un PC...

Le nouveau fichier déposé sous Web en lieu et place de l'autre, puis renommé comme il se doit...

Je pense avoir bien fait car la taille est différente et surtout, ça a l'air de fonctionner à présent (c'est le principal).

Tous les accès via http aboutissent bien en https sur le navigateur.

Sauf que bizarrement, j'ai la moitié de mes applications qui le font sans avertissement de sécurité (ouverture normale de la page demandée avec cadenas dans la barre d'adresse...)

et l'autre moitié qui affiche cet avertissement et bloque donc la page de l'application (ce qui parait cohérent puisque mes demandes de certificat LE ont toujours été en échec jusqu'à présent)

ça voudrait qu'une partie de mes sous_nom_de_domaine posséderait déjà un certificat ?... 

Mais bon, je vais effectivement pouvoir réitérer la demande puisque ça redirige correctement maintenant.

En lisant le tuto de Kawamashi, dans l'extrait qui suit juste après le code ".htaccess" :

Citation

Il faut ensuite redemander un certificat à Let's Encrypt, en ajoutant www.ndd.fr dans le champ 'Autre nom de l'objet" (en plus des noms de tous les sous-domaines).

J'ai un doute pour la saisie du champ "autre nom de l'objet"

Je mettais systématiquement (solution 1) :

monndd.fr  ;  sousndd1.monndd.fr  ;  sousndd2.monndd.fr  ;  etc.  (jusqu'au dernier sous domaine, et sans espace bien sûr. Ils sont ajoutés pour plus de clarté)

Est-ce bon ? ou faut-il plutôt (solution 2) :

www.monndd.fr  ;  monndd.fr  ;  sousndd1.monndd.fr  ;  sousndd2.monndd.fr  ;  etc.  (jusqu'au dernier sous domaine, et toujours sans espace...)

ou encore (solution 3) :

www.monndd.fr  ;  sousndd1.monndd.fr  ;  sousndd2.monndd.fr  ;  etc.  (jusqu'au dernier sous domaine, et toujours sans espace...)

Merci du retour, pour finaliser et réussir cette demande de certificat LE une bonne fois pour toute (j'espère...)

Titi-73

[Jeff777]

Moi j'ai toujours mis mon domaine ndd.ovh en haut et  tout le reste dans autre nom. ça marche comme cela. Mais on peut faire autrement je pense.

Par contre je te recommande fortement de mettre un nombre limité d'autres noms car sinon tu multiplies les risques de faute de frappe et ça devient ingérable.

Si tu as 10  noms différents, appelons les sous-domaines bien que le terme soit impropre, tu peux faire trois certificats par exemple. A chaque nouveau certificat tu marques toujours le ndd en haut il n'y a que les autres nom qui changent.

Attention que la demande de certificats est gratuite mais limitée en nombre au cours d'une période donnée. Et quand tu arrives à cette limite, le message de Let's Encrypt ne donne pas la vraie raison de l'échec.

Il me semble d'ailleurs que même une tentative de demande qui échoue est comptabilisée. Donc prends ton temps;

 

 

[Titi-73]

Merci pour le temps passé à me répondre et à analyser ma situation.

Effectivement, lors de mes tentatives de création de certificat LE (il y a quelques semaines de cela déjà), je ne connaissais pas encore l'existence de cette limite.

Et j'ai été bloqué pour un certain temps en effet.

Je ne saurais plus te dire quel message m'était envoyé exactement, ni le temps du blocage, et encore moins le nombre de tentative... Mais je te confirme que ces dernières sont bien comptabilisées !

J'ai lu qu'on pouvait créer plusieurs certificats, avec plus ou moins de sous-domaine (terme impropre en effet mais on se comprend mieux ainsi) sur chacun d'eux.

C'est d'ailleurs l'occasion de les regrouper en fonction de l'utilisation faite (applications du NAS, domotique, que sais-je encore...) et de nommer chaque certificat en conséquence pour mieux s'y retrouver.

il y a 14 minutes, Jeff777 a dit :

Donc prends ton temps;

C'est certain ! c'est d'ailleurs la raison pour laquelle j'ai demandé cette dernière confirmation avant d'y aller... C'est que depuis quelques jours, j'ai déjà bien du faire avancer mon compteur chez LE ! 

Allez, je m'y mets et je dis ce qu'il en est...

Titi-73

[PPJP]

Les limites de LE: https://letsencrypt.org/docs/rate-limits/

[Titi-73]

Oui, ça correspond bien à ce que j'avais déjà lu quelque part.

Citation

The main limit is Certificates per Registered Domain (50 per week).

Citation

If you have a lot of subdomains, you may want to combine them into a single certificate, up to a limit of 100 Names per Certificate. 

50 certificats par semaine, et 100 noms pour chacun, ça laisse quand même de la marge...

J'avais du y aller fort pour être bloqué ! 😄

[PPJP]

Renewals are treated specially: they don’t count against your Certificates per Registered Domain limit, but they are subject to a Duplicate Certificate limit of 5 per week. Note: renewals used to count against your Certificate per Registered Domain limit until March 2019, but they don’t anymore. Exceeding the Duplicate Certificate limit is reported with the error message too many certificates already issued for exact set of domains.

[Titi-73]

Bonjour PPJP,

Je n'avais pas fait attention que le premier lien sur les limites de LE venait de toi. Désolé.

Dans la suite de l'article, que je n'ai pas décortiqué (mon anglais a aussi ses limites...), il est question de renouvellement il me semble, non ?

Si c'est le cas, je n'en suis pas encore là.

[Jeff777]

Bon il est tard et je n'ai pas trop envie de creuser à cette heure-ci mais PPJP a raison la limite doit être plutôt le renouvellement des certificats qui sont traités comme copie de certificat et limités à 5 par semaine.

Maintenant est-ce que lorsque l'on met le domaine en tête avec des sous-domaines différents ça compte comme renouvellement ou copie de certificat ...c'est possible et cela expliquerait que l'on atteint la limite assez rapidement!

Comme j'avais beaucoup de reverse proxy j'ai fini par prendre une wildcard chez SSLforFree .....tu y viendras peut-être 

[Titi-73]

il y a 8 minutes, Jeff777 a dit :

Comme j'avais beaucoup de reverse proxy j'ai fini par prendre une wildcard chez SSLforFree .....tu y viendras peut-être 

Oui, probablement... quand mes besoins augmenteront dans le temps.

En attendant, pour info, je viens de réussir la création du certificat, enfin... 🙂

Mais il se fait tard comme tu dis, je vais arrêter là pour aujourd'hui.

A bientôt, et encore merci à tous les deux pour votre aide précieuse !

Je vous tiens au courant de la suite bien entendu.

Bonne soirée !

[PPJP]

Content pour vous que vous ayez enfin obtenu ce certificat.

N'oubliez pas de vérifier sa  configuration  (panneau de configuration/certificat/configurer)

Bon courage pour la suite

[Jeff777]

Il y a 10 heures, Titi-73 a dit :

En attendant, pour info, je viens de réussir la création du certificat, enfin... 🙂

Super, mais suis bien le conseil de PPJP car lorsque tu auras plusieurs certificats il faut bien attribuer chacun au bons sous-domaines. Sinon ça ne fonctionnera pas ☺️

[Titi-73]

Bonjour,

J'espère que vous allez bien.

Une fois le certificat créé, je suis allé effectivement le configurer. Comme il n'y en qu'un pour le moment (à part celui auto-signé de synology.com, que je devrais peut-être supprimer définitivement d'ailleurs...), ben c'est vite vu, j'ai basculé tous les sous-domaines sur le nouveau.

Y compris 3 autres qui sont a priori liés au fonctionnement du NAS... J'ai bon ?

J'ai bien noté qu'avec la création d'un ou plusieurs autres certificats ultérieurement, il faudra bien configurer chaque sous-domaine sur celui qui le concerne, ça semble logique. Mais oui, il est bon de le rappeler 🙂

Suite à ça, j'ai refait les essais (repris ci-dessous avec nouveau résultat complété en bleu)

Citation

1/ Sur navigateur connecté en wifi sur ma BBox:

http://sousdomaine.monndd.fr => erreur 500 => OK, accès au NAS pour l'application concernée, et bien renvoyé sur page https, sans avertissement de sécurité.

http://monndd.fr => erreur 500 => OK, accès au Web Station, sur page https, sans avertissement de sécurité.

https://sousdomaine.monndd.fr => OK (accès au NAS pour l'application concernée) => toujours OK, heureusement !...

https://monndd.fr => erreur 500 => OK, accès au Web Station, sur page https, sans avertissement de sécurité.

2/Sur navigateur connecté via 4G :

Les 4 essais ci-dessus n'aboutissent à rien de rien... (ça rame un certain temps, puis le serveur ne répondait plus) => toujours pareil...

Il ne reste donc que le problème d'accès depuis l'extérieur...

Selon le tuto de Fenrir (extrait ci-après) :

Citation

La solution la plus sécurisée consiste à créer votre propre autorité de certification et à émettre vous-même vos certificats. Cette méthode présente quelques avantages mais aussi quelques inconvénients :

• Avantages :
  • vous n'avez pas à faire confiance à une entreprise que vous ne connaissez pas
  • vous n'avez pas à payer cette entreprise pour vos certificats (même si avec LetsEncrypt et quelques autres entités, c'est gratuit)
  • vous pouvez émettre autant de certificats que nécessaire
  • vous pouvez choisir ce qu'ils acceptent (wildcard ou multi domaine par exemple)
• Inconvénients :
  • vous devez savoir le faire
  • vous devez installer votre autorité partout où vous l'utilisez (dans vos navigateurs, smartphones, ...)

Le problème semblerait donc venir de l'autorité à installer a priori car je n'ai encore rien paramétré de particulier sur mes appareils mobiles (tel, tablettes...)

J'ai regardé vite fait sur le forum, et je n'ai pas trouvé de réponses plus détaillées à ce sujet. J'ai peut-être mal cherché... 😉

PS: ça me fait penser aux avertissements de sécurité qui apparaissaient sur la moitié seulement de mes demandes d'accès aux applications. Cela voudrait-il dire que pour celles qui s'ouvraient (l'autre moitié...) j'aurais accepté de continuer la navigation malgré l'avertissement (même si je sais que ce n'est pas bien...) ?

Et que de ce fait, j'ai maintenant une faille de sécurité... comme le dit Fenrir dans la suite de son tuto :

Citation

Enfin, la solution qui n'en est pas une consiste à accepter les avertissements de sécurité, en faisant ça, vous installez dans votre navigateur des certificats qui n'ont été validés par personne. C'est très dangereux mais il est assez difficile de vous expliquer pourquoi en quelques mots, gardez juste à l'esprit qu'accepter un certificat non reconnu peut permettre à un attaquant d'intercepter toutes vos communications vers le site de votre banque, même si ce dernier est protégé par un vrai certificat.

Si c'est le cas, y a-t-il un moyen de remédier à la situation et de supprimer quelque part ces "certificats non validés" qui n'ont plus lieu d'être ?

La sécurité informatique a un côté passionnant... mais j'ai encore du chemin à parcourir apparemment 😌

[Jeff777]

il y a 47 minutes, Titi-73 a dit :

Une fois le certificat créé, je suis allé effectivement le configurer. Comme il n'y en qu'un pour le moment (à part celui auto-signé de synology.com, que je devrais peut-être supprimer définitivement d'ailleurs...), ben c'est vite vu, j'ai basculé tous les sous-domaines sur le nouveau.

Y compris 3 autres qui sont a priori liés au fonctionnement du NAS... J'ai bon ?

Oui s'il ne reste plus rien tu peux déclarer ton nouveau certificat comme certificat par défaut et supprimer l'original

 

Concernant l'accès depuis l'extérieur :

Lorsque sur internet tu fais une requête avec une adresse  tartanpion.ndd.fr  il ya un serveur qui va répondre celui qui gère les adresses ".fr". Ce serveur il connait le serveur qui a attribué le domaine ndd donc il va t'envoyer vers OVH. Le serveur d'OVH il va trouver la zone correspondant à ndd.fr et il va trouver ton adresse IP. La requête arrive donc sur ta box (routeur)  avec le port 80 (si tu n'a rien marqué devant l'adresse ou si tu as mis http) ou le port 443 si tu as mis https. La box sait que les requêtes avec port 80 ou 443 sont a envoyer sur le NAS (si tu as bien renseigné les redirections de ports).

La requête avec un port 80 ou 443 arrive sur Webstation (si le pare-feu autorise cela) donc dans le dossier web et sur .htaccess qui transforme éventuellement http en https.

https://tartanpion.ndd.fr  si présent dans le reverse proxy est transformé en http://IPNAS : portdel'appli   et l'application s'ouvre  (IPNAS peut aussi être LOCALHOST s'il n'y a qu'un nas sur le réseau ou IP d'un autre NAS ou périphérique du réseau).

Bon ça fait un peu cuisine ce que je raconte et ce ne serait certainement pas validé par des pros de l'informatique mais c'est comme cela que j'ai appris tout seul.

Avec ça tu vas peut-être trouver où ça pêche !

Sinon fait aussi un nslookup pour vérifier que l'adresse est bien résolue.

 

Modifié le 22 avril 2020 par Jeff777

[PPJP]

Vos essais montrent que les connexions en LAN fonctionnent, donc le reverse proxy est OK.

Les connexions externes peuvent ne pas fonctionner si:

Le port 443 n'est pas ouvert pour l’extérieur (pare-feu)

Votre Zone DNS OVH n'est pas correctement paramétrée.

Pouvez nous montrer  un scan de cette zone(sans oublier de masquer votre IP et votre non de domaine)

 

[Titi-73]

C'est bon, je viens de trouver d'où venait le problème... C'est le pare-feu du NAS.

Voici la config, quand ça ne marchait pas :

Il n'y avait que le minima (inspiré du tutuo de Fenrir), auquel j'avais ajouté les deux lignes du bas pour la création du certificat de LE.

Ces deux lignes étaient bien entendu activées et remontées en tête pour la création du certificat, puis à l'issue de cette étape, décochées et redescendues en dessous la dernière ligne "refuser tout" (capture d'écran ci-dessus)

Et voici la config que je viens de mettre en place :

J'ai remonté et activé la ligne 443,80 / TCP / France,Martinique   (que j'ai récupéré du tuto de Kawamashi).

Et là, ça fonctionne. ☺️

 

Bonjour PPJP, je viens de voir ta réponse, effectivement, le souci venait bien du blocage du port 443 par le pare-feu du NAS.

Mais du coup, la nouvelle config est-elle trop "ouverte" ? Est-ce qu'on peut restreindre un peu ?

 

PS: et comme ça fonctionne sans avoir changer quoi que ce soit sur mes appareils mobiles, je reste perplexe sur le sujet des autorités à installer. Je ne comprends pas en fait...

 

[Jeff777]

Impec !

il y a 19 minutes, Titi-73 a dit :

Est-ce qu'on peut restreindre un peu ?

Je trouve ça pas mal. Après ça dépend de ton utilisation. Certain utilise toujours le VPN depuis l'extérieur ce qui permet de de fermer les port sauf celui du VPN.

Sinon tu as restreint à France Martinique. C'est bien, ce qui est essentiel c'est de ne pas ouvrir au monde entier mais limiter aux pays où tu as des utilisateurs.

Il y a aussi certains qui ferme le port 80 et ce qui oblige à faire les requêtes en https.  Personnellement j'ai fait comme toi avec la redirection.

 

 

[PPJP]

Si vous pouvez supprimer l'ouverture du port 80 sur votre quatrième ligne.

Mais il sera nécessaire de remonter  et réactiver votre dernière ligne pour le renouvellement du certificat.

Vous n'avez pas à installer d’autorité de certification sur vos appareils mobiles.

Cela n'est nécessaire que si l'on utilise des certificats auto-signés .

[Titi-73]

 

Super, merci à tous les deux pour vos conseils !

Je vais voir ce qui correspondra le mieux à mes besoins pour le port 80, je sais de quoi il en retourne maintenant.

Et merci également à Fenrir, Kawamashi, unPixel (entre autres...) pour leurs tutos très instructifs.

Je pense que tout seul, je n'y serais jamais arrivé, ou du moins j'aurais galéré encore plus, avec certainement des doutes sur le résultat final.

Le VPN, je m'y intéresserai assez rapidement. Mais maintenant que je peux exploiter mon NAS de manière "un peu plus sécurisé", je vais déjà passer un peu de temps pour stocker, trier, ranger (en bref, faire du ménage 🙂) mes données réparties sur beaucoup trop de supports à mon goût, et configurer des profils utilisateurs pour la famille.

Et puis 3 mois, ça passe vite ! Je regarderai pour l'automatisation du renouvellement du certificat...

Enfin, vu qu'il s'agit d'un premier sujet posté (en ce qui me concerne), comment le passe-t-on au statut "résolu" ? Autant que ça serve à d'autres...

Encore un grand merci.

Titi-73

 

PS: Jeff777, est-ce que je peux te joindre en MP STP ? 

[Jeff777]

il y a 2 minutes, Titi-73 a dit :

PS: Jeff777, est-ce que je peux te joindre en MP STP ? 

Bien sûr

il y a 9 minutes, Titi-73 a dit :

Enfin, vu qu'il s'agit d'un premier sujet posté (en ce qui me concerne), comment le passe-t-on au statut "résolu" ? Autant que ça serve à d'autres.

Je pense que tu le signales à un Modo comme @Mic13710  par exemple. Et il le fera quand il passera par là.

[Titi-73]

il y a 23 minutes, Jeff777 a dit :

il y a 26 minutes, Titi-73 a dit :

Enfin, vu qu'il s'agit d'un premier sujet posté (en ce qui me concerne), comment le passe-t-on au statut "résolu" ? Autant que ça serve à d'autres.

Je pense que tu le signales à un Modo comme @Mic13710  par exemple. Et il le fera quand il passera par là.

Très bien, merci.

Je vais lui envoyer un MP.

Au plaisir.

[Jeff777]

Le lien que j'ai mis lui envoie une notification.

Bonne soirée

Modifié le 22 avril 2020 par Jeff777

[Mic13710]

Le problème est maintenant résolu. N'hésitez pas à ouvrir un nouveau message en cas de problème. Ceci est une réponse automatique.