Aller au contenu

[TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"


oracle7

Messages recommandés

@oracle7,

j'ai passé une bonne partie de l'après midi à tourner autour de cette item :

         {
            "display_name" : "DSM Desktop Service",
            "display_name_i18n" : "common:web_desktop",
            "isPkg" : false,
            "owner" : "root",
            "service" : "default",
            "subscriber" : "system"
         },

  1. le redémarrage du service DSM, oui ca se fait.
    synoservice --hard-disable DSM
    synoservice --hard-enable DSM
    

    Mais rien ne prouve que cela va bien traiter cette entrée du fichier INFO, et prendre en compte le certificat déposé dans /usr/syno/etc/certificate/system

  2. ensuite, je me suis intéressé au service system.

    1. Pas réussi à en faire grand chose. Impossible à arrêter / redémarrer en commande opérateur.

    2. Et je passe sur le fait que bien qu'enable, son status soit error

      root@ds918:/usr/syno/etc/certificate# synoservice --status system
      service [system] status=[error]
      required upstart job:
              [3rdparty-services] is stop.
              [before-halt] is stop.
              [dsm-services] is stop.
              [fullburnin] is stop.
              [fullburninbylan] is stop.
              [hostname] is stop.
              [kill-all-process] is stop.
              [logrotate] is stop.
              [network-interface] is stop.
              [network-pppoe] is stop.
              [network] is stop.
              [poweroff] is stop.
              [rc-sysinit] is stop.
              [rc] is stop.
              [reboot] is stop.
              [root-file-system] is stop.
              [smallupdate] is stop.
              [grinst-create-vol] is stop.
              [syno_poweroff_task] is stop.
              [syslog-ng] is start.
              [tty] is start.
              [umount-root-fs] is stop.
              [synolog-service-handler] is stop.
              [synorelay-service-handler] is stop.
              [udevd] is start.
              [udevtrigger] is stop.
              [dsmupdate] is stop.
              [syno-auth-check] is stop.
              [dhcp-client] is stop.
              [syno-network-check] is start.
              [synortc] is stop.
              [synoddsm-ctnd] is stop.
              [cgmanager] is start.
              [dhcp-client6] is stop.
      =======================================
      root@ds918:/usr/syno/etc/certificate#
      

      Donc au final je ne sais toujours pas quoi faire de cet item. ....

Lien vers le commentaire
Partager sur d’autres sites

@bruno78

Arrêtes moi si je dis une C...

Est-il vraiment nécessaire de relancer le service DSM ? Si tu as toujours accès au bureau DSM, c'est qu'il tourne, Non ? donc quel en serait l'intérêt de le relancer.

Et puis, j'ai du mal à voir le lien entre ce service et le certificat LE. Autant je comprends avec un service telque WebStation ou Apache, mais avec DSM, quelle utilité ?

Au final, n'est-ce pas tout simplement un faux problème ?

Cordialement

oracle7😏

Lien vers le commentaire
Partager sur d’autres sites

Oui j'ai tendance à croire que c'est un faux problème, .... même si je ne vois pas ce que fait cet item dans le fichier INFO, ni à quoi correspond le sous répertoire system contenant des fichiers *.pem dans l'arborescence /usr/syno/etc/certificate/ ... Donc ce que je vais faire pour le moment, c'est copier dans ce répertoire les nouveaux fichiers *.pem du certificat renouvellé, mais ne rien redémarrer d'un tout .... car on ne sait pas ce qu'il faudrait, peut-être, redémarrer.

Test complet de l'ensemble du script avec renouvellement effectif prévu demain :-).

Lien vers le commentaire
Partager sur d’autres sites

@Einsteinium

Bonjour,

il y a 6 minutes, Einsteinium a dit :

Par contre tu devrais cité les sources que tu exploites à la fin de tes tutoriels

Ok message reçu pour l'avenir.

il y a 7 minutes, Einsteinium a dit :

exemple de Veovis qui donne les commandes sur le tutoriel

Désolé mais : perdu. La source de mes informations était principalement Github et bien d'autres donc difficiles de les citer toutes. De plus il faut bien voir que ce TUTO est le résultat d'un travail de synthèse d'informations très éparses qui prisent seules ne donnaient pas entière satisfaction quant au but à atteindre ... et qu'il m'a fallu faire un véritable tri parmi celles-ci pour en extraire le "bon grain de l'ivraie" et ainsi proposer au final quelque chose un tant soit peu cohérent.

Cordialement

oracle7 😏

Lien vers le commentaire
Partager sur d’autres sites

@Einsteinium

il y a 2 minutes, Einsteinium a dit :

certains sont susceptibles à leurs recherches faites de plusieurs semaines et peuvent ce plaindre

Effectivement je peux le comprendre. MAIS et il y a un MAIS de taille : ceux-là ont publié en toute connaissance de cause sur la toile et ces publications sauf mentions contraires explicites (via par ex une licence opensource qui viendrait restreindre les choses ou des mentions légales) sont libres de droits. Donc finalement, tout à fait d'accord avec toi pour citer les sources quand elles sont licenciées. Pour les autres, ce n'est pas une obligation d'autant plus lorsque l'on en a extrait que quelques mots/lignes ou que l'on reprend juste une information citée qui est déjà largement disponible par ailleurs sur la toile. Il n'y a donc pas de propriété intellectuelle détournée dans ce cas.

Cordialement

oracle7😏

Lien vers le commentaire
Partager sur d’autres sites

Il faut s'assurer que le service Drive soit associé à ton certificat dans DSM. Dans panneau de configuration -> sécurité -> certificat -> configurer. Vérifier que Synology Drive soit associé à ton certificat valide.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Merci pour ce tutoriel. Etant sous mac j'ai tenté de suivre pas à pas le procédure et j'ai finalement abandonné et fait comme je le souhaitais..

Donc pas de clé SSH RSA, le simple sudo su -i fonctionne très bien. J'ai donc tout fait avec quelques difficultés surtout la connexion pour le déploiement du certificat.

Par contre, cela n'était pas précisé mais j'ai perdu le certificat par défaut Synology.me. Dans les faits, je ne l'utilisais pas mais bon j'ai du généré un nouveau certificat Synology.me au cas où.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Merci pour cet excellent tutoriel! Assez simple et efficace, j'ai juste eu un problème, j'ai dû renseigner manuellement le fichier /usr/local/share/acme.sh

Tout à fonctionné, mais, j'ai depuis le renouvellement du certificat (je pense que ça vient de là) une erreur de SSL non fiable...

sachant que mon certificat est pour le nom de domaine et, que je cherche à avoir sur un sous.domaine.et dans le panneau de configuration( sécurité / certificat) tout à l'air en ordre

si quelqu'un à une idée....

 

merci

 

Modifié par Jz84
Lien vers le commentaire
Partager sur d’autres sites

@Jz84

Bonjour,

il y a 28 minutes, Jz84 a dit :

j'ai juste eu un problème, j'ai dû renseigner manuellement le fichier /usr/local/share/acme.sh

Peux-tu STP préciser à quel endroit/moment dans le TUTO ? Tu as dû raté un truc car ce chemin est normalement à renseigner pour alimenter la variable ACME_HOME juste avant le lancement de la commande de création du certificat.

il y a 28 minutes, Jz84 a dit :

et, que je cherche à avoir sur un sous.domain

??? je ne comprends pas ta démarche : tu viens de créer un certificat "wilcard" de type "*.ndd.tld" donc valable quelque soit les sous domaines que tu vas utiliser. Expliques -toi mieux STP ...

 

il y a 28 minutes, Jz84 a dit :

Tout à fonctionné, mais, j'ai depuis le renouvellement du certificat (je pense que ça vient de là) une erreur de SSL non fiable...

Là encore je ne comprends pas ta démarche : tu viens de créer un certificat et déjà tu parles d'une erreur après le renouvellement ???? Le renouvellement n'aura lieu que dans trois mois. Tu es sûr de ton coup ?

Cordialement

oracle7😏

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir.

Merci pour la réponse rapide.

Du coup j'ai eu le souci au niveau des       export SYNO_Username  /    export SYNO_Password   /    export SYNO_Certificate   /  export SYNO_Create

Mais du coup ce souci à été réglé manuellement , le certificat à bien été déployé et la connexion était bien sécurisée  sur mes 3 applications accessibles depuis l’extérieur.

Aujourd'hui j'ai voulu tester le renouvellement,il fonctionne mais , je ne sais pas si c'est lié, mais la connexion sécurisé ne se fait plus.

Je pensais que ça venait de mes sous domaines mais du coup non, je viens de tester avec un autre navigateur sur mon téléphone, j'ai une erreur qui ressort, SLL_ERROR_BAD_CERT_DOMAIN.

 

là ou je suis déçu c'est que tout fonctionnait hier....

 

 

 

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous !

Déjà un grand merci au créateur du tuto et à tous les connaisseurs de ce forum, qui m'ont appris beaucoup de choses après avoir parcouru longuement le forum :)

 

Détenteur d'un NAS 218+, je tente de mettre en place ce tuto mais je bloque à l'étape de l'API OVH :/

Je m'étais trompé dans le login OVH et maintenant impossible de générer de nouvelles clés ! J'ai une erreur "502 Bad Gateway. The server returned an invalid or incomplete response.".

Est ce que quelqu'un saurait comment résoudre ce problème ? Je viens déjà de passer quelques longues heures sur le tuto SSH / Mises en place d'authentification par clés...

 

Un grand merci d'avance !

Bonne soirée la communauté NAS

 

Lien vers le commentaire
Partager sur d’autres sites

@Jz84

Bonjour,

Ton certificat a certes été renouvelé mais, il te faut maintenant le réappliquer à tous les services qui l'utilisent.

Vérifies dans "Panneau de configuration / Sécurité / Certificats / Configurer", il y a de fortes chances qu'uncun services ne soient affectés ... A toi de le faire pour chacun !

Cordialement

oracle7😏

 

@jo.p

Bonjour,

  1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau du membre. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...
  2. Pour ton problème : quel identifiant utilises-tu pour te connecter à OVH ? L'Id de compte OVH ou ton @eMail ? Il faut utiliser l'Id de compte OVH.
  3. Ensuite, avais-tu créées ou non tes clés d'API ?

Cordialement

oracle7😏

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Si,  mes services étaient affectés, c'est ce que j'ai dit dans mon premier message, c'est pour ça que je ne comprends pas....Je ne trouve rien de logique.

 

Avant de poser la question j'ai cherché donc sauf erreur de ma part, ce n'est pas une chose aussi simple....

 

J'ai recommencé le tuto, sans surprise ça remarche, je  forcerais mon renouvellement voir si le problème ne viens pas de là....

 

merci

Lien vers le commentaire
Partager sur d’autres sites

@Jz84

Bonjour,

Attention à faire trop d'essais tu va griller tes 5 cartouches auxquelles tu à droit par semaine chez LE !

Ce serait bien aussi que tu répondes à TOUTES les questions qui te sont posées, sinon il me sera difficile de t'aider plus ... et donc de trouver une solution qui pourrait aider aussi les autres membres dans ton cas.

Cordialement

oracle7😏

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Merci pour le tuto.  Je suis occupé à essayer de faire l'installation et cela marche pas mal jusqu'à cet commande :

Le 30/05/2020 à 10:35, oracle7 a dit :

./acme.sh --upgrade --auto-upgrade

Ou au point de générer le certificat.  En effet, dans ces 2 cas, je reçois le message suivant dans le terminal :

Citation

It seems that you are using sudo, please read this link first:

https://github.com/acmesh-official/acme.sh/wiki/sudo

Que dois-je faire ?  En lisant la page, il est dit de ne pas utiliser cette commande, mais je suis sous Mac...

Merci pour l'aide.

Lien vers le commentaire
Partager sur d’autres sites

@Pinpon_112

Bonjour,

Désolé mais tu as dû lire le TUTO en "diagonale". Au paragraphe 2 j'ai justement éditer le TUTO pour dire qu'il ne fallait pas utiliser la commande "sudo" et qu'il fallait configurer et se connecter en SSH via le "vrai" root que l'on soit sur PC comme sur MAC.

Suis le Tuto sur les "Accès SSH et ROOT via DSM6" et tu verras que cela se passe bien mieux pour toutes les commandes acme.sh... je ne peux de dire mieux, la balle est dans ton camp !

Cordialement

oracle7😏

 

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

@Pinpon_112

Bonjour,

  • Dans tous les cas tu ouvres une nouvelle session SSH sous "root" (le vrai !).
  • Tu recommence l'installation de acme.sh juste après la commande "tar" (tu exécutes TOUTES les commandes Shell indiquées à par tir de ce point). C'est nécessaire car acme mémorise les répertoires d'installations que tu indiques via les variables d'environnement.

Bonne installation.

Cordialement

oracle7😏

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, oracle7 a dit :

 

@jo.p

Bonjour,

  1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau du membre. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...
  2. Pour ton problème : quel identifiant utilises-tu pour te connecter à OVH ? L'Id de compte OVH ou ton @eMail ? Il faut utiliser l'Id de compte OVH.
  3. Ensuite, avais-tu créées ou non tes clés d'API ?

Cordialement

oracle7😏

Salut à toi oracle7 !

Merci pour cette réponse ultra rapide !

1. Fait à l'instant 🙂

2. Au premier essai, j'ai utilisé le mauvais identifiant (Nichandle pj*******-ovh au lieu de Code client : XXXX-YYYY-ZZ). J'ai fait le test et je parviens à me connecter à mon compte OVH uniquement avec l'adresse email ou le Code client. Le Nichandle n'était donc pas l'identifiant à utiliser (je me connecte avec mon adresse email d'habitude).

3. Mes clés se sont crées (je crois), mais quand j'ai voulu répéter la procédure, je tombe sur l'erreur 502 Bad Gateway.

Voila pourquoi je suis bloqué 😕

Modifié par jo.p
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.