Aller au contenu

[RESOLU] NDD et certificat


Messages recommandés

Salut,

j'ai un problème de certificat https que je n'arrive pas à résoudre. Probablement un problème de configuration dans ce domaine que je ne maitrise pas...

J'ai un nom de domaine chez OVH, NDD.OVH. J'ai une adresse IP dynamique, j'ai donc créé un Dynhost nas.ndd.ovh et le DDNS de mon Synology est configuré pour envoyer mon adresse IP externe à OVH, tout fonctionne bien.

J'ai également créé un CNAME domotique.ndd.ovh qui pointe ver nas.ndd.ovh , car j'ai une machine virtuelle qui heberge ma domotique et je veux y acceder à distance.

J'ai créé un certificat Let's Encrypt avec comme nom de domaine nas.ndd.ovh .
J'ai maintenant un beau certificat qui fonctionne pour nas.ndd.ovh. Le problème c'est que pour domotique.ndd.ovh le certificat n'est pas valide (normal).
Comment est ce que je peux faire pour que mon certificat couvre les deux noms de domaine?

Modifié par mbdrlp
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Lorsque tu crées un certificat Let's Encrypt, on te demande si tu veux rajouter des noms de domaine supplémentaires. Par exemple, si ton nom de domaine est ndd.ndd tu peux ajouter nas.ndd.ndd. Les noms de domaine supplémentaires doivent se terminer par la racine ndd.ndd. Mais comme tu as commencé par nas.ndd.ndd, tu es coincé.

Crée un certificat ndd.ovh et au moment de la création du certificat, ajoute l'alias nas.ndd.ovh.

Modifié par CyberFr
Explications plus claires
Lien vers le commentaire
Partager sur d’autres sites

@mbdrlp

Bonjour,

J'attire ton attention sur le fait que l'on ne peut pas ajouter indéfiniment des domaines supplémentaires (alias) au domaine principal dans un certificat Let'sEncript. Sur le NAS la chaîne de noms d'hôtes ("autres noms de l'objet") est limitées à 255 caractères par Synology.

La solution est alors de créer un certificat Let'sEncrypt dit "wilcard" du type "*.ndd.tld" et là tu n'auras plus de limitations, idéal pour la domotique. Cependant, il te faudra tout de même créer autant de CNAME que de domaines "xxxxx.ndd.tld" dans ta zone DNS chez OVH.

Cordialement

oracle7😏

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, CyberFr a dit :

Bonjour,

Lorsque tu crées un certificat Let's Encrypt, on te demande si tu veux rajouter des noms de domaine supplémentaires. Par exemple, si ton nom de domaine est ndd.ndd tu peux ajouter nas.ndd.ndd. Les noms de domaine supplémentaires doivent se terminer par la racine ndd.ndd. Mais comme tu as commencé par nas.ndd.ndd, tu es coincé.

Crée un certificat ndd.ovh et au moment de la création du certificat, ajoute l'alias nas.ndd.ovh.

 

il y a 50 minutes, oracle7 a dit :

@mbdrlp

Bonjour,

J'attire ton attention sur le fait que l'on ne peut pas ajouter indéfiniment des domaines supplémentaires (alias) au domaine principal dans un certificat Let'sEncript. Sur le NAS la chaîne de noms d'hôtes ("autres noms de l'objet") est limitées à 255 caractères par Synology.

La solution est alors de créer un certificat Let'sEncrypt dit "wilcard" du type "*.ndd.tld" et là tu n'auras plus de limitations, idéal pour la domotique. Cependant, il te faudra tout de même créer autant de CNAME que de domaines "xxxxx.ndd.tld" dans ta zone DNS chez OVH.

Cordialement

oracle7😏

Je ne peux pas créer de certificat ndd.ovh. J'ai le message d'erreur suivant:

image.png.3f254530622d07625c567e0d93251489.png

Je pense que ça vient du fait que j'ai un Dynhost du coté OVH, à cause de mon IP dynamique. Si je faisais en dur un ndd.ovh qui pointe vers mon IP dynamique alors je pense que la demande de certificat fonctionnerait.

J'ai essayé d'ajouter mon domotique.ndd.ovh comme autre nom de l'objet. Mais maintenant lorsque j'essaye d'accéder à ma page domotique j'ai l'erreur suivante:

image.png.9d2a85034df65a95bf3b8d2be05cd851.png

 

Je commence à me melanger les pinceaux et je n'arrive pas à comprendre pourquoi le certificat joue sur la redirection de page

Lien vers le commentaire
Partager sur d’autres sites

@mbdrlp

Bonjour,

Effectivement comme tu le dis, tu te mélanges un peu les pinceaux.🤪

  1. Ton DynDNS chez OVH devrait pointer sur "ndd.ovh" ainsi quand ton @IP externe changera "nnd.ovh" pointera à nouveau sur celle-ci. "ndd.ovh" sera alors ta "référence" pour ton @IP externe (celle de ta box/routeur).
  2. Maintenant sur le NAS, pour assurer la communication correcte avec les serveurs de LE, vérifies que tu as bien les ports 80 et 443 d'ouverts dans le pare-feu sur ton NAS et que ces mêmes ports sont bien transférés de ta box/routeur vers le NAS (paramètres NAT/PAT sur la box/routeur).
  3. Ensuite seulement tu peux créer ton certificat "wilcard" depuis l'interface de DSM sur le NAS pour ton domaine "ndd.ovh" et en complément pour "*.ndd.ovh". N'oublies pas de créer autant de CNAME que de domaines "xxxxx.ndd.tld" dans ta zone DNS chez OVH.

Voilà rien de bien compliqué en somme.

PS : Si ce n'est déjà fait, je t'invites à lire et suivre au minimum, le TUTO sur la sécurisation des accès à ton NAS, c'est important !. Il y a aussi d'autres TUTOs qu'il est conseillé de suivre aussi (DNS Server, Reverse proxy, etc ...) à toi de voir selon tes besoins ...

Accessoirement tu as aussi cette méthode pour créer ton certificat "wilcard".

Cordialement

oracle7😏

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Merci pour ta réponse. J'ai modifié mon Dynhost coté OVH et ca fonctionne. Je pensais qu'il fallait absolument un sous domaine...

Je peux donc maintenant crée mon certificat pour ndd.ovh, avec comme autre nom nas.ndd.ovh et domotique.ndd.ovh

Ca fonctionne bien pour nas.ndd.ovh, par contre j'ai perdu le lien vers domotique.ndd.ovh

image.thumb.png.5a6611d0095c35230b4419414f2a32f7.png

Lien vers le commentaire
Partager sur d’autres sites

@mbdrlp

Bonjour,

il y a 56 minutes, mbdrlp a dit :

par contre j'ai perdu le lien vers domotique.ndd.ovh

Que veux-tu dire avec "j'ai perdu le lien vers domotique.ndd.ovh" ? désolé je ne comprends pas.

???? tu parles de "domotique.ndd.ovh" et ton message d'erreur indique "domo.xxxx.ovh" : chercher l'erreur ???? il te faut être cohérent avec ce que tu as mis pour le certificat LE.

As-tu créé une redirection dans le reverse proxy du NAS du style "https://domo.ndd.ovh:443" vers "http://@IPdetaVMdomotique" ?

Cordialement

oracle7😏

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Désolé pour la confusion. Effectivement je parle de domotique.ndd.ovh depuis le début mais en fait c'est domo.ndd.ovh.

Lorsque je vais sur http://domo.ndd.ovh j'ai cette page la:

https://www.nas-forum.com/forum/uploads/monthly_2020_07/image.png.9d2a85034df65a95bf3b8d2be05cd851.png

Le reverse proxy du NAS est bien configuré:
image.thumb.png.05042c34e22304ee97bfe4405fe5ca95.png

de meme que ma redirection de ports

image.png.c14550c9fc42306899c453e4b84bcb1d.png

Je n'avais pas de problèmes avant de refaire mon certificat. Je n'arrive pas à comprendre le lien

 

Lien vers le commentaire
Partager sur d’autres sites

@mbdrlp

Bonjour,

Dans ta redirection du reverse proxy il te faut mettre "http://192.168.0.20" tout court, pas de port car ton reverse proxy écoute sur le port 443 lui même sécurisé, pas besoin d'en "rajouter".

Par curiosité, quelle est l'utilité des 3 premières redirections de ports 2000, 2001 et 2002 ? Vu le nom du service attribué, celles pour les ports 2000 et 2001 me paraissent redondantes avec respectivement NAS 80 et NAS 443, mais je peux me tromper ne connaissant pas ce qu'à besoin ta VM.

Cordialement

oracle7😏

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

J'ai supprimé la redirection en https pour du http uniquement mais ce n'est pas mieux.

les ports 2000 et 2001 sont mes accès en HTTP et HTTPS à DSM. Le 2000 pourrait être supprimé car je redirige automatiquement vers 2001.

Le 2002 c'est mon CardDav en HTTPS

Je perd le nord completement.

Dans le doute je viens d'essayer d'acceder à domo.ndd.ovh depuis mon smartphone avec une connexion 4G. Et ca fonctionne!

Donc ca ne fonctionne pas en interne sur mon WIFI mais ça fonctionne en externe depuis ma 4G. Qu'est ce qui explique ça?

 

Edit: Je viens de redemarrer le PC et ça fonctionne. Surement des choses qui restaient en cache.

En tout cas merci beaucoup pour ton aide!

Modifié par mbdrlp
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.