[TUTO] Certificat TLS/SSL - Let's Encrypt (le retour) avec o2switch

[Gregoryen]

Bonsoir🙂, si comme moi vous venez après la guerre, parce que oui.. les certificats gratuits c’est (presque) finis.

Du moins c’est bien la galère ! sslforfree.com ou encore freessl.org ayant changé leur modèle économique, si comme moi vous utilisez plusieurs sous-domaines vous devez passer à la caisse. Mon domaine principal étant redirigé vers un autre site, je n'utilise que les sous-domaines pour l'accès à mon NAS.

Alors vous devriez vous contenter d’un certificat pour un seul domaine et ce n’est pas ce qu’on cherche. 😕

Avec les certificats de Synology ou Quickconnect, ce genre de page s'affiche à chaque fois :

 

Avant de commencer ce petit tutoriel, j’avais trouvé sslmarket.fr que j’avais bien aimé. Mais celui-ci aussi ne comprend qu’un seul domaine comme pour les autres.

Même s’il est obsolète pour la raison évoquée précédemment, je vous conseille de lire ce tutoriel qui est une référence pour moi, ça pourrait bien compléter celui-ci.
https://www.nas-forum.com/forum/topic/59433-tuto-obsolète-certificat-tlsssl-lets-encrypt-wildcard/

Pour les invités, j'utilise des acronymes, au lieu de mettre mon vrai nom de domaine du genre "duchmol.fr" je met "ndd.tdl".

ndd= Nom De Domaine (Duchmol)

tdl= Top Level Domain (.fr)

 

Pour faire ce tutoriel, voici les prérequis :

- Avoir un abonnement chez o2switch comme précisé dans le titre (désolé pour les autres).
- Avoir une IP fixe
- Savoir lire
- Avoir un cerveau de taille moyenne (pas trop gros quand même)
- Une connexion internet (enfin je crois) avec un abonnement de type illimité (sinon je vous donne 2h gratuite chez AOL)
- Un ordinateur personnel appelé communément un poste de travail 

 

 

--------------------------------------------------------------------------------------------------------

 1.  Se rendre sur votre CPANEL o2switch personnel dans la catégorie "Domaine > Sous Domaine".

 

 

--------------------------------------------------------------------------------------------------------

 2.  Dans "Créer un sous-domaine", l’encart "Sous-domaine", mettre une étoile *.
Cpanel vous configure le reste automatiquement, il vous créera un dossier intitulé "/_wildcard_.ndd.tdl" 

 

 

--------------------------------------------------------------------------------------------------------

 3.  Retournez dans votre onglet "Domaine", rendez-vous dans "Zone Editor", cherchez votre domaine, et cliquez sur le bouton "Gérer".

Cherchez dans la colonne "Nom" votre sous-domaine étoilé "*.ndd.tdl." avec un "Type" en A puis cliquez sur "Modifier" et rajoutez votre IP fixe (publique). J’ai mis le TTL à 1.

Il y a un deuxième champ qui concerne votre domaine étoile, il s’agit d’un type TXT, gardez le texte mais remplacez son IP par la même IP fixe avec le TTL à 1.
 

 

--------------------------------------------------------------------------------------------------------

 4.  Revenez à la page d’accueil principal, et cherchez l’onglet "Securité" puis "Lets Encrypt™ SSL".

 

Ici sur cette page, vous verrez les certificats créés, et ceux à générer en bas de la page.
Rendez-vous dans "Générer un nouveau certificat" juste en bas, vous voyez votre sous-domaine étoilé *.ndd.tdl

Cliquez sur "Générer". Une nouvelle page se charge, on vous demande de choisir une méthode de validation, qui par défaut est coché sur http-01 alors je laisse comme cela, et, cliquez sur Générer (ne cochez pas la case "Inclure les sous-domaines cPanel?" cela peut ne pas fonctionner).

 

Parfois j’ai eu des erreurs, car si vous venez tout juste de créer le sous-domaine dans l’étape précédente, si c’est le cas, c’est normal il faut patienter et recommencer quelques minutes plus tard.

Voilà votre certificat est créée ! Maintenant, comment le lier et l’intégrer à votre NAS ?

 

--------------------------------------------------------------------------------------------------------

 5.  Retournez à l’accueil principal et cherchez la section Sécurité puis SSL/TLS.

 

Cliquez sur "Gérer les sites SSL." 

 

Ensuite, rendez-vous à "Installer un site Web SSL" (si vous avez plusieurs domaines, vous ne verrez pas le menu qui se trouve tout en bas de la page, il faut scroller).

 

 

Cliquez sur le gros bouton bleu "Parcourir les certificats" choisissez votre domaine et dans "Emeteur" vérifiez bien que ce n’est pas un certificat autosigné, mais "Let’s Encrypt", puis cliquez sur "Utiliser le certificat".

Plus bas, vous avez 3 gros champs texte qui se sont remplis.

Certificat : (CRT)
Clé privée (KEY)
Fichier CA : (CABUNDLE)

 

Gardez cet onglet ouvert de côté.

 

--------------------------------------------------------------------------------------------------------

 6.  Il faut maintenant créer un fichier pour le certificat et la clé privée avec une extension ".pem".

J'ai eu du mal à trouver comment les convertir à ce format, alors j'ai trouvé une petite solution qui fonctionne, puisque cela a marché pour moi.

Il nous faut déjà un fichier déjà existant avec l'extension ".pem", alors, je vous les ai préparés en pièce jointe, pour l'instant ils sont vides.

certificat.zip

 

Sur votre navigateur, revenez dans l'onglet d'o2switch, et copiez le contenu de chaque certificat dans leurs fichiers respectifs.

Pour cela ouvrez "certificat.pem" avec Bloc-Notes sur Windows, ou bien TextEdit sur macOS, copiez TOUT le contenu du champ texte de "Certificat : (CRT)" et collez-le puis sauvegardez.

Faites de même pour:

"cle-privee" avec le contenu "Clé privée (KEY)"

"intermédiaire" avec le contenu "Fichier CA : (CABUNDLE)"

 

Pour ceux qui veulent savoir comment j'ai fait pour avoir un fichier ".pem", voici comment j'ai fait:

6.1  Ouvrez un nouvel onglet pour aller sur votre NAS, puis allez dans l'onglet certificat.

Sur mon exemple, j'ai le certificat de Quickconnect et Synology. Faites un clic droit sur un des deux puis "Exporter le certificat".

 

Cela va vous télécharger une archive, une fois décompressée, vous aurez plusieurs fichiers au format ".pem".

Gardez-en 3 que vous renommez, "cle-privee"; "certificat"; "intermediaire". J'ai fait exprès de ne pas mettre d'accent, car bon, des fois que..

Ensuite, sur votre navigateur, revenez dans l'onglet d'o2switch, et copiez le contenu de chaque certificat dans leurs fichiers respectifs.

6.2  Pour ceux qui n'ont aucun certificat et obtenir celui de Synology, suivez la procédure suivante.

Se rendre dans "Panneau de configuration"  puis "Accès externe" 

 

Allez ensuite dans DDNS, et sélectionnez la ligne Synology puis "Modifier".

 

Cochez la case "Obtenez un certificat auprès de Let's Encrypt et définissez-le comme certificat par défaut", vous aurez ensuite un message, cliquez sur OK, ainsi, dans vos certificats, apparaitra celui de Synology !

--------------------------------------------------------------------------------------------------------

 7.  Maintenant, rendez-vous sur votre NAS depuis votre IP locale, cliquez sur Paneau de configuration et cherchez l’onglet "Sécurité" puis "Certificat".

Cliquez sur "Ajouter", " Ajouter un nouveau certificat".

 

Dans la description j’ai mis "o2switch" mais mettez ce que vous voulez. Cochez bien la case "Configurer comme certificat par défaut" et laissez bien "Importer un certificat" puis cliquez sur suivant.

 

 

C’est ici que l’on vous demande vos 3 fichiers, donc mettez vos fichiers texte correspondant au bon endroit, cliquez sur OK et votre NAS devrais redémarrer le serveur web qui prend quelques secondes.

N'oubliez d'aller dans " Paramètres " pour vérifier qu'il soit bien par défaut, et c’est terminé !  🥳🍾

 

Voilà, ce petit tutoriel n’est pas hyper détaillé, il est plutôt simple.

Pour ma part j’achetais un nom de domaine chez OVH pour avoir la fonction DynHost lorsque mon IP était dynamique (ce que o2switch ne propose pas). . Puisque pour avoir un certificat chez OVH il faut avoir l'hébergement. Chez OVH je n'achète que les NDD car le prix est plus attractif. Ils proposent un petit hébergement gratuit avec un NDD seul, seulement sur OVH, la gestion du certificat est différente et je ne pense pas pouvoir faire la même chose (à voir). Puisque j'héberge chez o2switch autant m'en servir jusqu'au bout, et la façon de créer le certificat était d'une simplicité et j'ai bien aimé le faire.

 

Pour les IP dynamiques, regardez DynDNS ou autre. Voir si on ne peux pas faire un CNAME ou quelque chose du genre vers son NDD Synology Connect qui lui peux servir de "DynDNS".

Maintenant que mon IP est fixe, je n’ai plus besoin du DynHost, alors j’ai changé les serveurs DNS de mon NDD que j’ai envoyé chez o2switch, pour la rentrer en dur dans le Zone Editor. Avec le CPANEL je peux mieux gérer tout cela, et ça fonctionne très bien.

Le certificat est valable 3 mois environ, je ne sais pas si je peux le renouveler automatiquement (je ne pense pas) mais ce n’est pas bien long et pas compliqué.

 

Merci de m'avoir lu et dites moi vos retours !

Modifié le 21 octobre 2021 par Gregoryen
Correction d'un module, suite à une mise à jour.