BruceFeuillette Posté(e) le 16 mai 2020 Partager Posté(e) le 16 mai 2020 (modifié) Hello ! Est-ce que depuis la mise à jour de DSM, vous avez rencontré des problèmes de renouvellement pour vos certificats SSL ? Chez moi cela ne fonctionne plus. La configuration n'a pas été touchée que ça soit sur ma box, le reverse proxy ou autre depuis que j'ai généré mon certificat avec des noms alternatifs. J'ai remarqué que pour valider le certificat, Let's Encrypt se rend sur le sous domaine dédié à AudioStation. Or celui-ci était redirigé vers le port de l'application, donc cela n'était pas près de fonctionner... Il a, bizarrement, zappé le premier nom, celui qui fonctionnerait. Question annexe : est-ce que les adresses IP des serveurs Let's Encrypt ont changé ? Ma configuration est restrictive et je n'avais autorisé que le 64.78.149.164 et le 66.133.109.36. J'ai activé les logs NGINX en access pour valider tout ça, mais comme j'ai dépassé mon quota de validation en échec (5), je dois attendre 1 semaine... Modifié le 16 mai 2020 par BruceFeuillette Titre 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
BruceFeuillette Posté(e) le 16 mai 2020 Auteur Partager Posté(e) le 16 mai 2020 (modifié) Bon, finalement c'est passé. J'ai autorisé toutes les IP sur le port 80 à aller sur le NAS, sur la Freebox. Idem sur le parefeu. Redirection de mon sous-domaine AudioStation vers localhost en port 80 et le certificat est passé. Le fichier well-known n'est pas servi par NGINX, je vais donc essayer de trouver dans les logs ce qui s'est passé, si des logs existent. Vivement que Synology s'appuie sur certbot avec la possibilité de faire du challenge-dns, c'est quand même rudement plus simple et sans devoir tout ouvrir. EDIT : Finalement, si, les vérifications sont servies par NGINX. Par contre il y a pas mal d'adresses IP concernées. Au total il y a eu 9 vérifications par 4 adresses IP différentes, soit 1 vérification par sous domaine. Les adresses IP externes : 18.196.96.172, 52.15.254.228, 64.78.149.164, 34.222.229.130. Ce qui veut donc dire que si on veut valider correctement un certificat, il faut ôter toutes les restrictions sur le port 80, temporairement. Conclusion : je vais utiliser une distribution Debian pour faire du challenge-dns et j'irai mettre le certificat à la main dans la configuration. Modifié le 16 mai 2020 par BruceFeuillette 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 16 mai 2020 Partager Posté(e) le 16 mai 2020 Oui les anciennes adresses IP de Let's Encrypt ont changé depuis début janvier et il faut maintenant autoriser toutes les IPs sur le port 80 comme tu l'as fait 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
BruceFeuillette Posté(e) le 16 mai 2020 Auteur Partager Posté(e) le 16 mai 2020 (modifié) il y a 2 minutes, Thierry94 a dit : Oui les anciennes adresses IP de Let's Encrypt ont changé depuis début janvier et il faut maintenant autoriser toutes les IPs sur le port 80 comme tu l'as fait Oui, je viens d'éditer mon message avec un peu plus d'informations 🙂 C'est franchement pas top comme solution. Même si c'est temporaire ! Merci de la confirmation ! Modifié le 16 mai 2020 par BruceFeuillette 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 16 mai 2020 Partager Posté(e) le 16 mai 2020 Ce qu'il faut faire pour limiter les risques c'est de faire le renouvellement manuellement un peu avant la date d'échéance c'est à dire activer le routage du port 80, déclencher le renouvellement et désactiver le routage du port 80. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.