certificat let's encrypt sur DSM 7

[domtous]

Bonjour à vous tous.

Je reviens vers vous car impossible de trouver la solution pour avoir mon certificat

 Le résumé de la situation:

J'ai un nom de domaine chez OVH, sur ce nom de domaine pointe mon site.

J'ai un sous domaine qui pointe mon serveur Synology.

Je vois mon Synology sur le internet avec l'adresse (sous domaine.nom de domaine.com).

Chez OVH en zone DNS j'ai bien indiqué l'adresse IP de mon Synology pour le sous domaine 

Sur mon Synology dans DDNS, j'ai donné les informations, portail de connexion/Avancé/Proxy inversé (j'ai créé la règle), Sécurité/Pare-feu (j'ai ouvert quelques ports(5000,5001,443,80)

Et pour l'instant impossible d'avoir un résultat positif pour le certificat.

Merci pour votre aide.

 

 

 

 

 

Modifié le 1 décembre 2023 par domtous

[morgyann]

Bonjour,

C'est ta demande de certificat via l'appli Syno qui échoue ?

[domtous]

Bonjour Morgyann, oui

Modifié le 1 décembre 2023 par domtous

[Mic13710]

Pour pouvoir répondre à votre problème, il faudrait fournir plus de détails :

- Quel modèle de NAS ?

- Par quelle méthode passez-vous pour obtenir votre certificat (DSM, acme.sh, avec Docker, sans Docker)

- Quel(s) message(s) avez-vous qui indique que la tentative a échoué ?

- Est-ce que le ou les ndd que doivent couvrir le certificat existent dans la zone DNS ?

Autre chose : je vous conseille de supprimer la redirection du 5000. L'ouverture de DSM vers l'extérieur n'est pas recommandée en https, le faire en http est à proscrire totalement.

[Kramlech]

Il y a 3 heures, domtous a dit :

Le résumé de la situation:

J'ai un nom de domaine chez OVH, sur ce nom de domaine pointe mon site.

J'ai un sous domaine qui pointe mon serveur Synology.

 

Il y a 3 heures, domtous a dit :

Chez OVH en zone DNS j'ai bien indiqué l'adresse IP de mon Synology pour le sous domaine 

Petite précision, pour éviter que des novices lisant ces lignes ne se fassent de fausse idées : sauf si tous tes appareils sont en IP V6 et ouverts sur l'extérieur (ce qui ne semble pas être le cas à lire la suite de ton post), les IPs que tu as donné dans ta zone DNS correspondent à l'IP externe de ta BOX...

Et c'est ta BOX qui fait du routage de ports vers le bon serveur ... Donc la phrase que j'ai mis en rouge est fausse ...

[Mic13710]

@Kramlech tu as tout à fait raison.

Et pour compléter, la première citation que tu as faite est fausse elle aussi. Le "sous-domaine" (expression erronée comme chacun le sait) pointe vers l'IP publique de la box et certainement pas vers le NAS. C'est le routeur qui se charge de diriger la requête vers le NAS.

[domtous]

bonjour   Mic13710,  Kramlech 

 

Citation

- Quel modèle de NAS ?

     DS1817+

Il y a 2 heures, Mic13710 a dit :

- Par quelle méthode passez-vous pour obtenir votre certificat (DSM, acme.sh, avec Docker, sans Docker)

DSM

 

Il y a 2 heures, Mic13710 a dit :

- Quel(s) message(s) avez-vous qui indique que la tentative a échoué ?

       Veuillez vérifier que votre adresse IP, les regles de proxy inversé et les parametres du pare-feu sont correctement configurés, puis réessayez.                              

 

 

[Mic13710]

La méthode via DSM n'est vraiment adaptée que pour les certificats sur ndd du type "xxxx.synology.me" car elle assure le renouvellement automatique du certificat mais uniquement pour ce type de ndd. Pour les autres certificats, il faudra planifier leur renouvellement.

Votre NAS étant compatible Docker, je pense que vous devriez regarder plutôt de ce côté là :

Néanmoins (et c'est là que réside votre problème), quelle que soit la méthode, il faut qu'un certain nombre de prérequis soient validés :

• au niveau de la zone chez OVH où il faut que tous les ndd du futur certificat puissent être résolus, qu'il y ait un DynHost (si IP dynamique) ou un enregistrement A (si IP fixe) ou CNAME qui pointe vers l'IP publique de votre routeur,
• si IP dynamique, il faut qu'il y ait un DDNS actif dans DSM qui fonctionne avec le DynHost d'OVH pour que l'IP publique soit mise à jour au niveau de la zone OVH à chaque changement,
• si vous passez par DSM, il faut que les ndd du certificat qui pointent vers le NAS via le port 443 puissent être orientés via le reverse proxy vers les différentes applications,
• toujours via DSM, il faut que les réglages du menu sécurité autorisent au moins l'accès au port 443 du NAS et que cet accès soit aussi ouvert vers les US pour pouvoir communiquer avec les serveurs LE,
• Et j'en oublie sûrement....

Si vous avez récemment modifié votre zone, il faut attendre qu'elle soit propagée sur les autres serveurs (ce qui peut prendre jusqu'à 24h) avant de mettre en place votre certificat et qu'il puisse être opérationnel.

[domtous]

   @Mic13710 Bonjour,

Je te remercie pour cette réponse, je vais m'orienter sur la methode Docker.

sinon je viens de regarder chez OVH et je n'ai pas de CNAME pour le sous domaine.

je ne comprends pas bien dans le tuto

Citation

 

D) Création du certificat :

Avec le planificateur de tâche en exécution unique (cf point 2C) ou en ssh (root) en remplaçant "mydomain.com" :

 

faut-il créer une nouvelle tache planifier 

 

Modifié le 2 décembre 2023 par domtous

[Mic13710]

@domtous les questions qui concernent le tuto se posent dans le tuto. Sinon on n'y comprends plus rien.

[domtous]

ok @Mic13710 je comprends

j'y vais de ce pas 🙂

encore merci 

[domtous]

Il y a 3 heures, domtous a dit :

sinon je viens de regarder chez OVH et je n'ai pas de CNAME pour le sous domaine.

 @Mic13710 est ce que j'aurais dû le créer chez OVH 

[Mic13710]

Tout d'abord, un sous-domaine n'existe pas, c'est une dénomination qui n'a aucun sens. mondomaine.ovh est un domaine, au même titre que toto.mondomaine.ovh est un domaine qui est lié au domaine principal mondomaine.ovh.

Un CNAME n'est pas obligatoire. Ce qui l'est c'est au moins un enregistrement A (IPV4) et/ou AAAA (IPV6), ou un DynHost qui pointe vers l'IP publique de votre box. Un CNAME est un ndd lié à un de ces enregistrements. Il est donc obligatoirement dirigé vers l'IP publique de votre box.

Il faut d'abord savoir si votre IP publique est fixe ou dynamique. Quel est votre opérateur ?

[domtous]

Le 02/12/2023 à 12:10 PM, Mic13710 a dit :

Il faut d'abord savoir si votre IP publique est fixe ou dynamique. Quel est votre opérateur ?

mon opérateur est Nordnet et mon IP est dynamique 

Modifié le 4 décembre 2023 par domtous