Aller au contenu

[TUTO] Certificat TLS/SSL - Let's Encrypt (le retour) avec o2switch


Gregoryen

Messages recommandés

Bonsoir🙂, si comme moi vous venez aprùs la guerre, parce que oui.. les certificats gratuits c’est (presque) finis.

Du moins c’est bien la galĂšre ! sslforfree.com ou encore freessl.org ayant changĂ© leur modĂšle Ă©conomique, si comme moi vous utilisez plusieurs sous-domaines vous devez passer Ă  la caisse. Mon domaine principal Ă©tant redirigĂ© vers un autre site, je n'utilise que les sous-domaines pour l'accĂšs Ă  mon NAS.

Alors vous devriez vous contenter d’un certificat pour un seul domaine et ce n’est pas ce qu’on cherche. 😕

Avec les certificats de Synology ou Quickconnect, ce genre de page s'affiche à chaque fois :

515565290_Screenshot21-10-2021-20h4448s-CleanShot-CleanShot.png.d89c78cc6c89184f0bb1da15ea7a14a3.png

 

Avant de commencer ce petit tutoriel, j’avais trouvĂ© sslmarket.fr que j’avais bien aimĂ©. Mais celui-ci aussi ne comprend qu’un seul domaine comme pour les autres.

MĂȘme s’il est obsolĂšte pour la raison Ă©voquĂ©e prĂ©cĂ©demment, je vous conseille de lire ce tutoriel qui est une rĂ©fĂ©rence pour moi, ça pourrait bien complĂ©ter celui-ci.
https://www.nas-forum.com/forum/topic/59433-tuto-obsolĂšte-certificat-tlsssl-lets-encrypt-wildcard/

Pour les invités, j'utilise des acronymes, au lieu de mettre mon vrai nom de domaine du genre "duchmol.fr" je met "ndd.tdl".

ndd= Nom De Domaine (Duchmol)

tdl= Top Level Domain (.fr)

 

Pour faire ce tutoriel, voici les prérequis :

- Avoir un abonnement chez o2switch comme précisé dans le titre (désolé pour les autres).
- Avoir une IP fixe
- Savoir lire
- Avoir un cerveau de taille moyenne (pas trop gros quand mĂȘme)
- Une connexion internet (enfin je crois) avec un abonnement de type illimité (sinon je vous donne 2h gratuite chez AOL)
- Un ordinateur personnel appelé communément un poste de travail 

 

 

--------------------------------------------------------------------------------------------------------

 1.  Se rendre sur votre CPANEL o2switch personnel dans la catégorie "Domaine > Sous Domaine".
1.png.2cbdab5152d14e75694da1766a0f378c.png

 

 

--------------------------------------------------------------------------------------------------------

 2.  Dans "CrĂ©er un sous-domaine", l’encart "Sous-domaine", mettre une Ă©toile *.
Cpanel vous configure le reste automatiquement, il vous créera un dossier intitulé "/_wildcard_.ndd.tdl" 2.png.25abc191950101f1bd14af73aa579436.png

 

 

--------------------------------------------------------------------------------------------------------

 3.  Retournez dans votre onglet "Domaine", rendez-vous dans "Zone Editor", cherchez votre domaine, et cliquez sur le bouton "Gérer".

3.png.6467bcab67ddbd5fd95e13b0c943375f.png

Cherchez dans la colonne "Nom" votre sous-domaine Ă©toilĂ© "*.ndd.tdl." avec un "Type" en A puis cliquez sur "Modifier" et rajoutez votre IP fixe (publique). J’ai mis le TTL Ă  1.

Il y a un deuxiĂšme champ qui concerne votre domaine Ă©toile, il s’agit d’un type TXT, gardez le texte mais remplacez son IP par la mĂȘme IP fixe avec le TTL Ă  1.
 

4.thumb.png.96bad706863985e55514fff107bb8e80.png

 

--------------------------------------------------------------------------------------------------------

 4.  Revenez Ă  la page d’accueil principal, et cherchez l’onglet "SecuritĂ©" puis "Lets Encryptℱ SSL".

5.png.95c6630e8d143743341d1b255b54f783.png

 

Ici sur cette page, vous verrez les certificats créés, et ceux à générer en bas de la page.
Rendez-vous dans "Générer un nouveau certificat" juste en bas, vous voyez votre sous-domaine étoilé *.ndd.tdl

6.thumb.png.b6be3fe8a567a32dac21397c38985cae.png

Cliquez sur "Générer". Une nouvelle page se charge, on vous demande de choisir une méthode de validation, qui par défaut est coché sur http-01 alors je laisse comme cela, et, cliquez sur Générer (ne cochez pas la case "Inclure les sous-domaines cPanel?" cela peut ne pas fonctionner).

7.thumb.png.4d64891a059cd361f270dcd216ea524c.png

 

Parfois j’ai eu des erreurs, car si vous venez tout juste de crĂ©er le sous-domaine dans l’étape prĂ©cĂ©dente, si c’est le cas, c’est normal il faut patienter et recommencer quelques minutes plus tard.

VoilĂ  votre certificat est crĂ©Ă©e ! Maintenant, comment le lier et l’intĂ©grer Ă  votre NAS ?

 

--------------------------------------------------------------------------------------------------------

 5.  Retournez Ă  l’accueil principal et cherchez la section SĂ©curitĂ© puis SSL/TLS.

8.png.a5cfd15548a1c756324336c48622e4e6.png

 

Cliquez sur "Gérer les sites SSL." 

9.thumb.png.8e5d2b0afcf2c56e289ffc0219fc15db.png

 

Ensuite, rendez-vous Ă  "Installer un site Web SSL" (si vous avez plusieurs domaines, vous ne verrez pas le menu qui se trouve tout en bas de la page, il faut scroller).

 

10.thumb.png.20dcb39608e92f9dc9962cf74ae6f669.png

 

Cliquez sur le gros bouton bleu "Parcourir les certificats" choisissez votre domaine et dans "Emeteur" vĂ©rifiez bien que ce n’est pas un certificat autosignĂ©, mais "Let’s Encrypt", puis cliquez sur "Utiliser le certificat".

Plus bas, vous avez 3 gros champs texte qui se sont remplis.

Certificat : (CRT)
Clé privée (KEY)
Fichier CA : (CABUNDLE)

 

Gardez cet onglet ouvert de cÎté.

 

--------------------------------------------------------------------------------------------------------

 6.  Il faut maintenant créer un fichier pour le certificat et la clé privée avec une extension ".pem".

J'ai eu du mal à trouver comment les convertir à ce format, alors j'ai trouvé une petite solution qui fonctionne, puisque cela a marché pour moi.

Il nous faut déjà un fichier déjà existant avec l'extension ".pem", alors, je vous les ai préparés en piÚce jointe, pour l'instant ils sont vides.

certificat.zip

792013848_Screenshot21-10-2021-19h5912s-CleanShot-CleanShot.png.644602614bfaad89b3b4822211c8088b.png

 

Sur votre navigateur, revenez dans l'onglet d'o2switch, et copiez le contenu de chaque certificat dans leurs fichiers respectifs.

Pour cela ouvrez "certificat.pem" avec Bloc-Notes sur Windows, ou bien TextEdit sur macOS, copiez TOUT le contenu du champ texte de "Certificat : (CRT)" et collez-le puis sauvegardez.

Faites de mĂȘme pour:

"cle-privee" avec le contenu "Clé privée (KEY)"

"intermédiaire" avec le contenu "Fichier CA : (CABUNDLE)"

 

Pour ceux qui veulent savoir comment j'ai fait pour avoir un fichier ".pem", voici comment j'ai fait:

6.1  Ouvrez un nouvel onglet pour aller sur votre NAS, puis allez dans l'onglet certificat.

Sur mon exemple, j'ai le certificat de Quickconnect et Synology. Faites un clic droit sur un des deux puis "Exporter le certificat".

2007665853_Screenshot21-10-2021-19h0826s-CleanShot-CleanShot.png.ef11993f3b784726020c8c0378935ce9.png

 

Cela va vous télécharger une archive, une fois décompressée, vous aurez plusieurs fichiers au format ".pem".

Gardez-en 3 que vous renommez, "cle-privee"; "certificat"; "intermediaire". J'ai fait exprĂšs de ne pas mettre d'accent, car bon, des fois que..

Ensuite, sur votre navigateur, revenez dans l'onglet d'o2switch, et copiez le contenu de chaque certificat dans leurs fichiers respectifs.

6.2  Pour ceux qui n'ont aucun certificat et obtenir celui de Synology, suivez la procédure suivante.

Se rendre dans "Panneau de configuration" 812184934_Screenshot21-10-2021-20h5339s-CleanShot-CleanShot.png.8c46d1b3ae69073245f8c9c07b7b2d9e.png puis "AccÚs externe" 

543031254_Screenshot21-10-2021-20h5353s-CleanShot-CleanShot.png.7a97850a72c3d9f2bd1964469caf9077.png

 

Allez ensuite dans DDNS, et sélectionnez la ligne Synology puis "Modifier".

 

1657608650_Screenshot21-10-2021-20h5441s-SafariTechnologyPreview-Quival.thumb.png.eab96c88bc0c85636f67c864120e35c0.png

Cochez la case "Obtenez un certificat auprÚs de Let's Encrypt et définissez-le comme certificat par défaut", vous aurez ensuite un message, cliquez sur OK, ainsi, dans vos certificats, apparaitra celui de Synology !

--------------------------------------------------------------------------------------------------------

 7.  Maintenant, rendez-vous sur votre NAS depuis votre IP locale, cliquez sur Paneau de configuration et cherchez l’onglet "SĂ©curitĂ©" puis "Certificat".

12.png.86b8bf5afdd1cd7ece7d5a6993aaa236.png13.png.d95a6636d94906af90a454f3bd9d8f91.png

Cliquez sur "Ajouter", " Ajouter un nouveau certificat".

14.thumb.png.3dde146a7b2dcf8def1346830a94cad3.png

 

Dans la description j’ai mis "o2switch" mais mettez ce que vous voulez. Cochez bien la case "Configurer comme certificat par dĂ©faut" et laissez bien "Importer un certificat" puis cliquez sur suivant.

 

15.thumb.png.fed22c4328e664c3b1e4cda4b4a04bf8.png

 

C’est ici que l’on vous demande vos 3 fichiers, donc mettez vos fichiers texte correspondant au bon endroit, cliquez sur OK et votre NAS devrais redĂ©marrer le serveur web qui prend quelques secondes.

N'oubliez d'aller dans " ParamĂštres " pour vĂ©rifier qu'il soit bien par dĂ©faut, et c’est terminĂ© !Â Â đŸ„łđŸŸ

700140581_Screenshot21-10-2021-21h4539s-CleanShot-CleanShot.thumb.png.c0a75fab9ecafa312c1116b4d8b3abd8.png

 

VoilĂ , ce petit tutoriel n’est pas hyper dĂ©taillĂ©, il est plutĂŽt simple.

Pour ma part j’achetais un nom de domaine chez OVH pour avoir la fonction DynHost lorsque mon IP Ă©tait dynamique (ce que o2switch ne propose pas). . Puisque pour avoir un certificat chez OVH il faut avoir l'hĂ©bergement. Chez OVH je n'achĂšte que les NDD car le prix est plus attractif. Ils proposent un petit hĂ©bergement gratuit avec un NDD seul, seulement sur OVH, la gestion du certificat est diffĂ©rente et je ne pense pas pouvoir faire la mĂȘme chose (Ă  voir). Puisque j'hĂ©berge chez o2switch autant m'en servir jusqu'au bout, et la façon de crĂ©er le certificat Ă©tait d'une simplicitĂ© et j'ai bien aimĂ© le faire.

 

Pour les IP dynamiques, regardez DynDNS ou autre. Voir si on ne peux pas faire un CNAME ou quelque chose du genre vers son NDD Synology Connect qui lui peux servir de "DynDNS".

Maintenant que mon IP est fixe, je n’ai plus besoin du DynHost, alors j’ai changĂ© les serveurs DNS de mon NDD que j’ai envoyĂ© chez o2switch, pour la rentrer en dur dans le Zone Editor. Avec le CPANEL je peux mieux gĂ©rer tout cela, et ça fonctionne trĂšs bien.

Le certificat est valable 3 mois environ, je ne sais pas si je peux le renouveler automatiquement (je ne pense pas) mais ce n’est pas bien long et pas compliquĂ©.

 

Merci de m'avoir lu et dites moi vos retours !

16.png

11.png

Modifié par Gregoryen
Correction d'un module, suite Ă  une mise Ă  jour.
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
RĂ©pondre Ă  ce sujet


×   CollĂ© en tant que texte enrichi.   Coller en tant que texte brut Ă  la place

  Seulement 75 Ă©moticĂŽnes maximum sont autorisĂ©es.

×   Votre lien a Ă©tĂ© automatiquement intĂ©grĂ©.   Afficher plutĂŽt comme un lien

×   Votre contenu prĂ©cĂ©dent a Ă©tĂ© rĂ©tabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insĂ©rez-les depuis une URL.

×
×
  • CrĂ©er...

Information importante

Nous avons placĂ© des cookies sur votre appareil pour aider Ă  amĂ©liorer ce site. Vous pouvez choisir d’ajuster vos paramĂštres de cookie, sinon nous supposerons que vous ĂȘtes d’accord pour continuer.