2 IP, 1 Certificat

[quart-temps]

Hello !

je galère depuis quelques temps avec la mise en place de mon certificat.

J'ai un nom de domaine (monadresse.fr), et plusieurs sous-domaines.

- La plupart des sous-domaines renvoient vers mon NAS herbergé à la maison, derrière une freebox en IP fixe (dsm.monadresse.fr, photo.monadresse.fr) ...

- un sous domaine renvoie vers un site hébergé chez lws (sitepro.monadresse.fr).

Les sous domaines et les renvois vers les bonnes IP sont configurés dans la zone DNS de lws.

Le site sitepro.monadresse.fr n'a jamais eu de souci avec le certificat (pas d'alerte de sécurité du navigateur en surfant sur le site). En revanche, tous mes sous domaines renvoyant sur mon NAS posent problème à ce niveau (alerte sécurité pour problème de certficat).

Comment me conseillez-vous de configurer mon certificat (sur le site de lws, sur mon NAS).

Merci ! Le support de LWS n'est vraiement pas réactif: question subsidiaire: est-ce une bonne idée de rapatrier mon site pro sur mon NAS (j'ai la fibre optique)

 

 

[oracle7]

@quart-temps

Bonjour,

As-tu bien configurer ton certificat pour toutes tes applications/services ?

--> Dans Sécurité > Certificat > Sélectionner le certificat > Bouton "Configurer"

Sinon comment as-tu créé ton certificat ? Quelle méthode ? As-tu fait aussi un "wilcard" (*.tondomaine.tld) ?

Cordialement

oracle7😉

Modifié le 14 décembre 2021 par oracle7

[quart-temps]

Hello @oracle7

J'avais créé un certificat let's encrypt dans dsm, incluant mes applications et services. Lorsque j'ai mis en ligne le site web, il était prioritaire qu'il fonctionne sans alerte de sécurité pour les utilisateurs. Donc c'est lws qui a pris le relai pour le certificat: tout ce qui était hébergé chez moi n'était plus reconnu par le certificat.

Aujourd'hui j'ai tenté de reconfigurer le certificat let's encrypt sur mon NAS, mais c'est le site herbergé chez lws qui n'est plus reconnu.

Non je n'avais pas créé de wildcard.

 

[oracle7]

@quart-temps

Bonjour,

il y a 23 minutes, quart-temps a dit :

Donc c'est lws qui a pris le relai pour le certificat

Tu peux préciser, je ne comprends pas.

Si ton certificat a été définit aussi pour tes applications et services, tu recharges alors ses fichiers sur le NAS pour le prendre en compte et il devrait couvrir tes Applications/services après configuration.

As-tu installé le Reverse Proxy sur ton NAS ? Si Oui avec une redirection du style https://sitepro.monadresse.fr:443 vers http://@IPduSiteChezLws:port cela marche-t-il ?

Cordialement

oracle7😉

 

[Jeff777]

il y a 51 minutes, quart-temps a dit :

Le site sitepro.monadresse.fr n'a jamais eu de souci avec le certificat (pas d'alerte de sécurité du navigateur en surfant sur le site)

Bonjour,

Ce site étant hébergé par LWS ce doit être un certificat LWS. 

Pour les autres sous domaines il faut que tu demandes un certificat en ajoutant tous ces sous domaines dans la rubrique autre nom. Ou alors comme le dit @oracle7 en ajoutant une wildcard :  *.monadresse.fr.

 

Edit: désolé @oracle7 j'ai cru que tu étais parti pour l'apéro 😉

Modifié le 14 décembre 2021 par Jeff777

[oracle7]

@Jeff777

Bonjour,

il y a 1 minute, Jeff777 a dit :

Ce site étant hébergé par LWS ce doit être un certificat LWS. 

👏A voilà donc le pourquoi. Je comprends mieux maintenant !😀

@quart-tempsDonc c'est bien cela : exportes les fichiers de ton certificat LWS et recharges les sur le NAS.

Cordialement

oracle7😉

[Jeff777]

 

il y a 6 minutes, oracle7 a dit :

voilà donc le pourquoi.

Oui a la lecture du premier message cela m'a semblé être le cas. Rien n'empêche de vérifier en cliquant sur le petit cadenas puis sur certificat.

[quart-temps]

Merci @oracle7et @Jeff777 . Je vais tenter le coup des wildcards. Ce qui m'embête c'est que je n'ai pas trouvé comment exporter le certificat lws.

[oracle7]

@quart-temps

Bonjour,

J'ai un peu regarder du coté de LWS, cela semble assez verrouillé. Tout semble être fait pour utiliser uniquement leur solution interne. Je n'ai pas trouvé non plus comment exporter le certificat, mais j'ai peut-être mal cherché.🥴

Maintenant, il semblerait que l'on puisse faire l'inverse mais sans garantie, je peux me tromper aussi. C'est à dire que tu pourrais importer un certificat SSL généré par ailleurs (par ex celui créé à partir de ton NAS).

Regardes ce lien en tous cas. La manipulation commencerait en fait à partir du point "Choisissez la catégorie 6-Outils web, scripts, bases puis sélectionnez SSL".

A toi de voir et tu nous confirmeras éventuellement ou non cette possibilité, auquel cas tu aurais la main complète sur ton certificat LE, ce qui me parait bien plus sain au demeurant !

Cordialement

oracle7😉

[quart-temps]

Je viens de les avoir en ligne. Ils me disent que je peux créer un certificat sur mon serveur local pour le sous domaine, même si le nom de domaine pointe sur leurs serveurs, avec son propre certificat. étrange. je vais essayer.

[oracle7]

@quart-temps

Bonjour,

Cela revient à ce que je te disais, importer ton certificat généré par DSM sur le NAS vers LWS.

Cordialement

oracle7😉

[quart-temps]

 Tiens ! Vous avez déjà eu ce type de message ? Une mauvaise config de ma part ?

[oracle7]

@quart-temps

Bonjour,

Non, les serveurs LE sont aux USA, maybe temporarily overloaded 🤪 Sois patient et réessaies dans un moment.

Cordialement

oracle7😉

[quart-temps]

Ouf. C'est juste un complot mondial. ça va 🙂

[Jeff777]

il y a 52 minutes, quart-temps a dit :

Ils me disent que je peux créer un certificat sur mon serveur local pour le sous domaine, même si le nom de domaine pointe sur leurs serveurs

Là je ne comprends pas. C'est le sous domaine (on devrait toujours parler de domaine) sitepro.monadresse.fr qui pointe vers leur serveur pas ton domaine monadresse.fr qui lui pointe sur ton nas. Je me trompe?

Dans un premier temps je te conseillerais de créer un certificat LE pour monadresse.fr avec tes sous domaines du nas un.monadresse.fr, deux.monadresse.fr etc...comme autres noms, sans mettre sitepro. et sans faire de wildcard car sitepro ne pointe pas sur le nas.

Regarde si ça fonctionne. Si c'est le cas fait un autre certificat avec sitepro.mondonmaine.fr en nom de domaine sans autre nom.

il y a 30 minutes, quart-temps a dit :

Vous avez déjà eu ce type de message

Hum, il me semble que lorsque l'on dépasse les 5 tentatives de renouvellements le message n'est pas très explicit. Je me demande si ce n'est pas le cas.

[quart-temps]

sitepro.monadresse.fr et monadresse.fr pointent vers leurs serveurs. LWS ne permet pas qu'un sous domaine pointe vers leurs serveurs si ce n'est pas déjà le cas pour le domaine parent.

J'ai créé un certificat pour dsm.monadresse.fr sur mon NAS et ça a l'air de marcher.

Pour les wildcards, il faut absolument faire la manip d' @oracle7 ?

En l'état j'ai ce message :

 

[Jeff777]

il y a 16 minutes, quart-temps a dit :

sitepro.monadresse.fr et monadresse.fr pointent vers leurs serveurs.

Ah oui, pardon, je confonds toujours avec un auto-hébergement de sa zone. Dans ce cas, je ne comprends pas pourquoi ça ne marcherait pas avec tout tes sous-domaines.

 

[oracle7]

@quart-temps

Bonjour,

Sous DSM seuls les domaines en "xxxxx.synology.me" peuvent avoir un "wilcard"  du type "*.xxxx.synology.me" dans "Autre nom de l'objet" lors de la création du certificat LE.

Si tu as un domaine du type "ndd.tld" alors pour pouvoir créer un certificat LE couvrant le wilcard de ce domaine (*.ndd.tld), il te faut passer impérativement par une autre méthode de création. Par ex avec le script "acme.sh". Il existe sur le présent forum deux méthodes pour mettre en œuvre ce script selon que tu disposes d'un NAS qui accepte docker ou non. Voir respectivement ces TUTOs : ici et ici.

Sinon tout simplement pour tes domaines concernant des applications/services de ton NAS, chez LWS as-tu essayé de faire une redirection de chacun de ces domaines vers l'@IPExterne:443 de ton NAS (dans la zone locale DNS LWS : ajout d'enregistrements de type "xxxx.ndd.tld 84600  A @IPexterneNAS" ? Et ensuite d'utiliser le Reverse Proxy du NAS pour rediriger en interne ces URL (https://xxxxx.ndd.tld:443) vers http://alias_application.ndd.tld:port_application.

Cordialement

oracle7😉