Certificate name mismatch sur certificat Let's encrypt

[xav107]

Bonjour

j'ai paramétré mon NAS (DS720+) avec un nom de domaine OVH  sur une Freebox en full stack pour un accès extérieur, en grande partie grâce aux tutos sur ce site.

Je peux me connecter à distance, et mon Reverse proxy est fonctionnel. Pour l'accès au NAS mais aussi à différentes applications Synology ou Docker (Photos, Plex, Ubooquity ...)

Par contre je n'arrive pas à rendre opérationnel mon certificat Let's Encrypt.

Mon nom de domaine s'est bien propagé (https://www.whatsmydns.net) , j'ai l'impression que mes paramétrages OVH sont corrects (https://mxtoolbox.com/SuperTool.aspx), mais lorsque je me connecte j'arrive toujours sur l'erreur "votre connexion n'est pas privée ..."- et je dois forcer pour me connecter.

Je pense que j'ai trouvé une partie du problème: lorsque je teste mon nom de dommaine sur SSL Labs (https://www.ssllabs.com/ssltest/index.html ), il me répond "Certificate name mismatch" et apparemment il y a un cafouillage avec Synology.

J'ai fait beaucoup de manips, surement trop et j'ai dû mettre un mauvais réglage avec le NAS.

Merci d'avance pour votre aide et vos conseils.

[oracle7]

@xav107

Bonjour,

Quelle méthode utilises-tu pour générer ton certificat LE ?

Tu passes par DSM ou autre choses ?

Quelle URL utilises-tu pour te connecter ?

Cordialement

oracle7😉

[xav107]

Oui, j'ai fait l'inscription avec DSM (panneau de configuration/sécurité/certificat)

Mon nom de domaine est ndd.ovh

J'ai créé le certificat avec nas.ndd.ovh en adresse principale (et en secondaire photo.ndd.ovh, plex.nddd.ovh ...)

Tu as besoin d'infos plus précises, ou de copies d'écran ?

Merci 🙂

Modifié le 27 octobre 2021 par xav107

[xav107]

Bonjour

oracle7, je vois que tu as fait un beau tuto pour créér le certificat Let's Encrypt par un autre moyen que par DSM (je comprends donc ta question).

Tu me conseilles d'effacer mon certificat DSM et de passer par acme.sh ? J'ai peur que ça n'ait rien à voir avec mon problème, mais je prends tous les bons conseils !

Cordialement

xav107

[oracle7]

@xav107

Bonjour,

En premier lieu, par sécurité, corriges ton précédent post pour masquer ton domaine. Mets à la place une valeur générique du type ndd.tld.

Ensuite en première approche je serais tenté de dire vu ton message d'erreur "certificate name mismatch", que tu aurais fait une erreur de saisie lors de la création de ton certificat sous DSM. Du coup il ne serait pas correctement reconnu. C'est de toutes façons le cas car tu n'aurais pas alors d'alerte de sécurité sinon. Mais je peux me tromper ...

Peut-être effectivement serait-il bon de supprimer purement et simplement ton certificat dans DSM et d'essayer de le recréer tout en l'affectant bien à tes différents services (bouton Configurer). Sachant qu'avec cette méthode tu ne peut pas créer de certificat "wilcard = *.ndd.tld" qui couvrirait tous tes sous-domaines existants et à venir. En effet, Synology limite à 254 caractères la chaine SAN "Autres noms de l'objet" ce qui réduit fortement le nombre de sous-domaines gérables.

Pour éviter cela il y a effectivement la méthode que j'ai décrit dans mon TUTO (au passage valable pour DSM6.x, mais pour DSM7 il y a une restriction : il ne faut pas employer le script python qui n'est pas applicable et utiliser une autre façon d'assurer le renouvellement du certificat).

Maintenant c'est toi qui voit ...

Cordialement

oracle7😉

 

Modifié le 27 octobre 2021 par oracle7

[xav107]

Bonjour,

merci pour ton retour. Je n'étais pas à l'aise d'afficher mon nom de domaine, mais je croyais que tu en avais besoin.

J'ai déjà effacé plusieurs fois mon certificat créé avec DSM. La 1ère fois j'avais utilisé mon nom de domaine ndd.ovh en nom de domaine principal, puis j'ai essayé avec nas.ndd.ovh car j'ai compris qu'il ne fallait pas utiliser le nom de domaine "racine". Ca n'a rien changé. J'en viens même à me demander si je n'empire pas les choses en effaçant puis en recréant (?)

Je suis en DSM7. Je vais tester ton tuto. Si je m'en sors on avisera pour le renouvellement.

Cordialement

xav107

[oracle7]

@xav107

Bonjour,

1. Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

2. il y a 25 minutes, xav107 a dit :

   car j'ai compris qu'il ne fallait pas utiliser le nom de domaine "racine"

   NON pas du tout, je dirais même au contraire ainsi il peut couvrir tes sous-domaines directs de type xxxxx.ndd.ovh (avec un wilcard *.ndd.ovh, cela va sans dire). Alors que si tu fais par ex un certificat pour nas.ndd.ovh celui-ci ne sera valable que pour les sous-domaines en xxxx.nas.ndd.ovh (avec un wilcard *.nas.ndd.ovh). Tu me suis ?

3. Puisque tu es sous DSM7, saches que pour le renouvellement du certificat tu as juste à mettre cette commande dans le gestionnaire de tâches :

   bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --home /usr/local/share/acme.sh/

4. N'oublies pas non plus d'ajouter cette ligne pour la variable d'environnement :

   DEFAULT_ACME_SERVER='https://acme-v02.api.letsencrypt.org/directory'

   dans ton fichier "account.conf" (/usr/local/share/acme.sh/account.conf) .

Cordialement

oracle7😉

Modifié le 27 octobre 2021 par oracle7