Renouvellement certificat Let'sEncrypt

[alexislevrai]

Bonjour, 

Je me permet d'ouvrir un sujet car je ne trouve pas de post similaire au mien sur le forum. Je n'arrive pas a renouveler mon certificat Let's Encrypt, il me demande de vérifier que le port 80 et 443 sont ouvert ou que mes DNS sont correctes.

Concernant les ports 80 et 443 je suis sûr qu'ils fonctionnent car j'arrive à accéder à mon Syno de mon domicile alors que celui ci est au bureau. Pour simplifier l'accès j'utilise un nom de sous-domaine custom (https://hosting.monsite.fr) qui pointe vers l'adresse IP Fixe de ma box. Niveau DNS j'ai un type A hosting.monsite.fr vers l'IP de la box et un type A ipv4.hosting.monsite.fr aussi vers l'IP de la box. Manque t il quelque chose ? 

Je ne vois vraiment pas d'ou peut provenir le problème 😞 

Merci d'avance pour vos conseils.

[oracle7]

@alexislevrai

Bonjour,

Le niveau DNS est une chose mais vérifies dans ta box que les ports 80 et 443 sont bien transférés (NAT) de la box vers le NAS et que ces mêmes ports sont ouverts/autorisés dans le pare-feu du NAS.

Sinon par quelle méthode as-tu créé ton certificat LE ? via DSM ou autre chose ?

Cordialement

oracle7😉

 

[alexislevrai]

Ah mais ouais c'était le Firewall 😓 Je bloque toutes les IP en dehors de certains pays ou je me rend fréquemment. 

Je l'avais créé sur DSM via Let's Encrypt. Du coup maintenant j'ai une nouvelle erreur : Invalid domain please make sure this domain can be resolved into a public IP address. Mon nom de domaine est pourtant le bon … mais il est en .studio peut être ça le problème… 

[jpillias]

Egalement pour info : 

https://hosting.monsite.fr => port 443
http://hosting.monsite.fr (sans le s) => port 80

Le service de renouvellement let's encrypt utilise le port 80.
Tester https://hosting.monsite.fr test donc le port 443, tu n'as donc pas de garantie que le port 80 soit bien ouvert.
 

[oracle7]

@alexislevrai

Bonjour,

il y a 16 minutes, alexislevrai a dit :

Mon nom de domaine est pourtant le bon … mais il est en .studio peut être ça le problème…

Tu peux préciser STP, je ne comprend pas "en .studio"  ?????.

il y a 20 minutes, alexislevrai a dit :

Invalid domain please make sure this domain can be resolved into a public IP address

Que donne nslookup hosting.monsite.fr 1.1.1.1 (dans une fenêtre de CMD en mode admin) ? Cela devrait te ramener ton @IP externe (box), c'est le cas ?

Ton certificat est-il définit pour hosting.monsite.fr ou pour ipv4.hosting.monsite.fr ou pour les deux ?

As-tu appliqué correctement ce TUTO : Sécuriser les accès à son NAS ?

il y a 19 minutes, alexislevrai a dit :

Je bloque toutes les IP en dehors de certains pays ou je me rend fréquemment. 

Pour mémoire les serveurs LE sont aux USA.

Cordialement

oracle7😉

[alexislevrai]

@jpillias Ça fonctionne aussi en http:// 😉

@oracle7 

Citation

Tu peux préciser STP, je ne comprend pas "en .studio"  ?????.

Au lieu d'avoir un .fr ou un .com j'ai un .studio

Je sais que des fois pour s'inscrire sur un site, une newsletter ou quoi ça marche pas.

Citation

Que donne nslookup hosting.monsite.fr 1.1.1.1 (dans une fenêtre de CMD en mode admin) ? Cela devrait te ramener ton @IP externe (box), c'est le cas ?

Ça retourne bien mon domaine

Citation

Ton certificat est-il définit pour hosting.monsite.fr ou pour ipv4.hosting.monsite.fr ou pour les deux ?

Que pour hosting.monsite.fr

Citation

As-tu appliqué correctement ce TUTO : Sécuriser les accès à son NAS ?

Non mais ça a l'air plus que complet je vais tout passer en revue demain 🙂 

[oracle7]

@alexislevrai

Bonjour,

il y a 15 minutes, alexislevrai a dit :

Au lieu d'avoir un .fr ou un .com j'ai un .studio

Pas vraiment standard et source effectivement de problèmes, mais bon c'est ton choix ...

il y a 5 minutes, alexislevrai a dit :

Ça retourne bien mon domaine

Non, cela devrait retourner ton @IP externe (box).

il y a 6 minutes, alexislevrai a dit :

Que pour hosting.monsite.fr

Alors pour "ipv4.hosting.monsite.fr" il est normal que tu ais une erreur et un rejet avec une alerte de sécurité sur ce domaine.

Il te faut créer un certificat "wilcard" du type " *.hosting.monsite.fr " en même temps que pour " hosting.monsite.fr " afin de ne plus avoir de soucis et pouvoir gérer tous tes sous-domaines du type " xxxx.hosting.monsite.fr ". Regardes ma signature j'ai fais un TUTO pour cela si ton NAS ne supporte pas docker (même s'il le supporte d'ailleurs).

Sinon si j'étais toi, il serait plus simple de ne gérer qu'un domaine en "monsite.fr" avec son wilcard en "*.monsite.fr" pour tous tes sous-domaines. Maintenant ce que j'en dit ... C'est toi qui voit ...

Cordialement

oracle7😉

[alexislevrai]

Citation

Non, cela devrait retourner ton @IP externe (box).

A oui pardon c'est bien l'IP de ma box

Citation

Alors pour "ipv4.hosting.monsite.fr" il est normal que tu ais une erreur et un rejet avec une alerte de sécurité sur ce domaine.

Il te faut créer un certificat "wilcard" du type " *.hosting.monsite.fr " en même temps que pour " hosting.monsite.fr " afin de ne plus avoir de soucis et pouvoir gérer tous tes sous-domaines du type " xxxx.hosting.monsite.fr ". Regardes ma signature j'ai fais un TUTO pour cela si ton NAS ne supporte pas docker (même s'il le supporte d'ailleurs).

Sinon si j'étais toi, il serait plus simple de ne gérer qu'un domaine en "monsite.fr" avec son wilcard en "*.monsite.fr" pour tous tes sous-domaines. Maintenant ce que j'en dit ... C'est toi qui voit ...

En soit le nom de domaine .ipv4 je m'en fiche c'est 1&1 qui le crée par défaut.

J'avais voulu créer un wilcard pour tout le nom de domaine, mais mon nom de domaine "root" www.monsite.fr est le site front de mon activité et l'hébergeur y installe un certificat par défaut. 

La je viens de réessayer dans DSM d'ajouter un certificat avec Lets Encrypt qui remplace l'ancien et ça fonctionne, alors que le renouvellement ne marchait pas … très étrange. Je verrai dans 3 mois quand ce certificat sera expiré.

Merci en tout cas pour ton aide, ducoup je vais m'empresser de passer en revue le tuto sécurité 😉

 

[oracle7]

@alexislevrai

Bonjour,

Bon bah parfait pour le certificat et bonne lecture pour le TUTO sécurité.

Quand tu crées le certificat LE via DSM, il te faut bien indiquer dans "Autre nom de l'objet" la liste de tous tes sous-domaines séparés par des ";" avec la chaine de la liste qui ne dépasse pas les 254 caractères (limite imposée par Synology).

Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

Cordialement

oracle7😉