Re-used certificat Let's encrypt

[firlin]

Bonjour,

Désolé pour l'anglicisme dans le titre 😁,

MA question est la suivant:

Savez-vous si je peux re-utilisé un certificat let's encrypt que j'ai un un nas synology ( DS1813+) avec un reverse proxy, sur un serveur ubuntu 22.04 (docker, home assistant, plex etc..) .

Si je rajoute l'adresse Ip du serveur ubuntu  + les ports dans le reverse proxy cela va fonctionner  ?

[morgyann]

Bonjour,

J'ai souvent fait cette procédure, pour passer un site ou un container d'un emplacement Nas à un autre (exportation du certificat puis importation). Aucun souci, cela fonctionne instantanément dans la mesure de la validité de celui-ci.

Je me suis apperçu par la suite, qu'il était + simple de redemander un certificat.

il y a une heure, firlin a dit :

Si je rajoute l'adresse Ip du serveur ubuntu  + les ports dans le reverse proxy cela va fonctionner  ?

Pas bien compris la question,

1. Redirection du, des, NDD sur l'ip publique sur la ligne (box) où sont installés le ou les serveurs.

2. Si tu as plusieurs serveurs et plusieurs NDD sur chacun d'entres eux, tu devras faire un choix sur quel serveur tu utlises le 443 (ip locale) pour mettre tes NDD en "appelation seule". Sur les autres serveurs, NDD + port dédié au https.

Modifié le 21 octobre 2023 par morgyann

[.Shad.]

Il y a 21 heures, morgyann a dit :

Je me suis apperçu par la suite, qu'il était + simple de redemander un certificat.

Ceci à 1000%

[firlin]

Donc si je comprends bien je les rajoute avec ceux-ci et c'est bon

[morgyann]

Toujours un peu de mal avec ta question (?)

Si je comprends (???) l'appli concernée est installée sur ton serveur Ubuntu et tu voudrais valider son NDD ainsi que son accés (comme passerelle) via le Nas ???

Si c'est cela ?  c'est compliqué ... et je ne sais si c'est possible ...

La capture d'écran du proxy inversé de ton nas m'indique (si je ne trompe) 1 appli = 1 NDD (donc Nas en 443)

Si l'appli sur serveur Ubuntu ne peut fonctionner que sur celui-ci (et donc pas sur le Nas), il faut installer sur ce même serveur le logiciel Letsencrypt ou autre, valider un NDD ou sous domaine (autre que ceux de ton Nas) puis utiliser ton appli avec le NDD + un port dédié au https.

[.Shad.]

@firlin Tu ne t'embêtes pas à générer un certificat sur une machine pour l'utiliser sur l'autre.
Chaque machine génére son certificat via validation DNS. Ca ne présente aucun avantage d'avoir un même certificat réparti sur plusieurs machines, à moins d'acheter ton certificat, ce qui n'est a priori pas ton cas.

[Mic13710]

il y a 42 minutes, morgyann a dit :

le logiciel Letsencrypt ou autre, valider un NDD ou sous domaine (autre que ceux de ton Nas)

A ma connaissance, il n'y a pas de logiciel Letsencrypt mais des scripts tiers tels que acme.sh (pour ne citer que celui qui tourne sur nos NAS pour les ndd autres que ceux de Synology) pour importer des certificats.

Ensuite, rien n'empêche de refaire un certificat sur des machines différentes avec le même ndd. Le certificat émis ne tient pas compte des certificats actifs existants. Le script ne fait que vérifier la validité et la propriété du ndd dans la zone DNS et génère le certificat demandé. On peut très bien générer plusieurs certificats couvrants les mêmes ndd. Hormis la limite sur le nombre de demandes sur une période définie, Il n'y a pas de limitations à ce niveau là. C'est ce que je fais sur tous les sites dont je m'occupe lorsqu'il y a plusieurs NAS à couvrir sur le même ndd et ses dépendants.

[morgyann]

@Mic13710 désolé pour le vocabulaire de vulgarisation. Concernant, la suite oui tu peux faire valider le même NDD sur autant de serveurs que tu veux ... dns ... je fais la même chose quand je transfère un site d'un serveur à un autre ...

Cependant, je n'ai toujours pas bien compris la question de @firlin ni la manip qu'il souhaite opérer. 

Aussi, à la lecture du tableau "proxy inversé", je vois 3 périphériques ext (1 Nas en 29, 1 pér. sur 50 et 1 pér. sur 22). Je ne connaissais pas ce type de conf. Je vais tester et si cela fonctionne, je ne comprend d'autant moins la question.

[Mic13710]

il y a une heure, morgyann a dit :

Aussi, à la lecture du tableau "proxy inversé", je vois 3 périphériques ext (1 Nas en 29, 1 pér. sur 50 et 1 pér. sur 22). Je ne connaissais pas ce type de conf.

On peut tout à fait utiliser le Reverse Proxy pour joindre des adresses du réseau autres que le localhost. Comme @firlin j'utilise cette possibilité pour joindre mon NAS secondaire via une adresse https://monNASsecondaire.ndd, et aussi pour joindre par exemple mes Raspberry avec une adresse du type https://monRPI01.ndd.

L'avantage de ce type de connexion c'est qu'on utilise toujours le port 443 et le ndd, et donc qu'on est couvert par le certificat du ndd ce qui évite de devoir faire des exceptions au niveau du navigateur. C'est le cas pour mes Raspberry ou encore mes cameras IP dont les certificats par défaut ne sont pas reconnus comme étant fiables.

[firlin]

Bon, je vais essayer d’expliquer ce que je veux faire, vu que je me suis mal exprimer.

En clair sur mon nas j'ai un certificat let's encrypt (générer par docker et acme comme le dit @Mic13710 )
Je voulais savoir si je pouvez le réutilisé en passant par le reverse proxy (comme vu plus haut) pour avoir des adresses dans mon navigateur sécurisé (https) avec les docker du serveur Ubuntu. Ou dois je demander un certificat let's encrypt pour le serveur ou le docker aussi  ?

J'ai remonté un serveur ubuntu car le nas en question est un DS1813+ donc 4go de ram et pas beaucoup de coeur. j'ai installé Home assistant en docker pour instant je vais rajouter Plex aussi voir d'autre M....

[.Shad.]

C'est le terme "réutiliser" qui me gêne. Ton proxy inversé peut être utilisé pour atteindre n'importe quel périphérique de ton réseau local. Tu l'utilises donc, le réutiliser sous-entend dans ma compréhension que tu veux récupérer le certificat, et l'utiliser pour des applis dédiées en HTTPS natif. Ce qui est tout à fait possible mais fastidieux et peu utile dans ton cas d'utilisation. La question m'interpelle quand même car au vu de ton impression d'écran tu fais déjà ce que tu demandes vers Nextcloud, Jeedom et ton nas de sauvegarde. Ca marchera tout aussi bien vers ton serveur Ubuntu avec Docker.

Modifié le 23 octobre 2023 par .Shad.

[firlin]

Il y a 14 heures, .Shad. a dit :

C'est le terme "réutiliser" qui me gêne

je conçois que le terme peut être gênant voir trompeur mais sur le coup j'ai pas trouvé mieux.

Il y a 14 heures, .Shad. a dit :

La question m'interpelle quand même car au vu de ton impression d'écran tu fais déjà ce que tu demandes vers Nextcloud, Jeedom et ton nas de sauvegarde

c'est la capture de mon autre nas (1821+) qui et n'est pas localisé au même endroit.

Par contre mon nexcloud a un certificat propre généré par lui même, d’où mes questions, interrogation.
Donc si je comprends bien j'applique la même méthode que nextcloud pour HA dans mon revreso-proxy du DS1813+ et cela roule ma poule. Cela fonctionnera en extérieur  aussi

[.Shad.]

Oui ça fonctionnera.
Le fait que Nextcloud permette d'être exposé de façon sécurisée nativement ne t'empêche pas d'utiliser le proxy inversé avec.