Asustor Vaultwarden et certificat

marcus54

marcus54

Chevalier Jedi
20 Juin 2025
183
21
23
nancy
Bonjour

J'ai Vaultwarden qui fonctionne depuis un certain temps. J'ai des clients sur PC et et Android.
Je viens d'abandonner Let's encrypt comme certificat pour passer à ionos.

Sur les clients PC, j'ai changé l'adresse du serveur vault.nomdomaine ça fonctionne sans problème.
Sur Android au moment de la connexion ça me génère une erreur du genre "Nous n'avons pas pu vérifier le certificat du serveur .... blablabla..."
J'ai vu dans la description de l'application :
3. Si le certificat SSL DDNS est créé après l'installation de l'application, veuillez désactiver et réactiver l'application depuis App Central pour générer un nouveau certificat pour le serveur.
Cliquez pour agrandir...
Cela n'a rien changé sur Android...
Avez-vous une idée de comment résoudre ce problème ?
Merci
 
Au fait, android ne connait pas ton certificat... tu dois l'importer dans le store de certificats de ton tel android. Il existe pas mal de tutos dessus.
 
Dami1 a dit:
pourquoi avez-vous abandonné "Let's Encrypt"?
Cliquez pour agrandir...
Car j'ai un nom de domaine et un certificat de sécurité qui est rattaché.
De plus, c'est peut-être aussi mon manque d'expérience. J'ai eu toutes les peines du monde sans y arriver à faire un HTTPS sur home assistant... Avec mon certificat Ionos, bizarrement ça a fonctionné du premier coup...
 
nedrack a dit:
Au fait, android ne connait pas ton certificat... tu dois l'importer dans le store de certificats de ton tel android. Il existe pas mal de tutos dessus.
Cliquez pour agrandir...
Ce qui me chagrine, c'est que la première fois que j'ai installé le client sur un téléphone Android, il n'y a pas eu de problème de certificat.
J'ai vu qu'il y avait un certain nombre de tutos qui préconisaient d'installer manuellement le certificat :
J'avoue que j'ai un petit peu essayé, je n'y suis pas arrivé.
C'est toujours un petit peu flou et dépendant du téléphone, ce n'est pas toujours le même répertoire, ou ce n'est pas le bon fichier...
 
C'est ChatGPT qui a trouvé la solution ! Franchement, il est trop fort. :) (y) (y)
C'est également un défaut du gestionnaire de certificat Asus Store. @Dami1
Je vous donne la solution que m'a fournie chez GPT Quasi immédiatement :

👉 Le client Android Bitwarden est plus strict que le client web ou le plugin navigateur sur la vérification de la chaîne complète du certificat SSL.
Cela explique pourquoi :


  • sur ton PC, tout fonctionne ✅,
  • sur Android via navigateur, ça passe ✅ (Android fait confiance à la chaîne globale du système),
  • mais sur l’app Bitwarden Android, tu obtiens ❌ “nous n'avons pas pu vérifier le certificat du serveur”.


🔍 Diagnostic probable​


Ton certificat IONOS est valide, mais le NAS ne fournit pas la chaîne complète (intermediate certificates) au client Android.
Windows, Chrome ou Firefox reconstruisent souvent la chaîne manquante depuis leurs propres magasins de certificats, alors que Bitwarden (appli native Android) exige que le serveur envoie la chaîne complète, c’est-à-dire :

[ Certificat de ton domaine (pass.garny.fr) ]
[ Certificat intermédiaire IONOS / Sectigo / DigiCert, etc. ]
[ Racine de confiance publique ]
Si le NAS Asustor ne fournit que le certificat principal (le .crt de ton domaine) sans le(s) intermédiaire(s), Android ne peut pas valider.



✅ Étapes à suivre pour corriger​


1️⃣ Vérifier la chaîne SSL envoyée​


Depuis un PC ou ton NAS, exécute (dans un terminal) :
openssl s_client -connect pass.garny.fr:443 -showcerts
Tu devrais voir plusieurs blocs de certificat (-----BEGIN CERTIFICATE----- ...).


  • Si tu n’en vois qu’un seul, c’est le problème.
  • Si tu en vois plusieurs (2 ou 3), alors la chaîne est probablement complète.


2️⃣ Télécharger les certificats intermédiaires chez IONOS​


IONOS fournit généralement la chaîne complète dans son interface SSL.


  • Va dans ton compte IONOS → SSL → ton certificat → Téléchargement.
  • Télécharge le “bundle complet” (parfois appelé chain.pem ou “Intermediate CA Bundle”).

Tu dois obtenir :


  • ton certificat principal (par ex. nomdedomainefr.crt)
  • le certificat intermédiaire (par ex. IONOS_CA.crt ou Sectigo_RSA_Domain_Validation_Secure_Server_CA.crt)

  • 3️⃣ Créer un fichier combiné (si Asustor ne le fait pas)​


    Concatène les certificats dans l’ordre suivant :
  • cat omdedomainefr.crt IONOS_CA.crt > fullchain.crt

  • Sur ton NAS Asustor​

    • Va dans Panneau de configuration → Certificats → Ajouter ou Modifier.
    • Supprime ton ancien certificat (IONOS simple).
    • Ajoute le certificat complet :
      • Certificat : fullchain.crt
      • Clé privée : ton fichier .key
    • Redémarre le service Web / Reverse Proxy (et éventuellement le NAS).
Cliquez pour agrandir...
Pour information, lorsque j'avais inséré mes certificats dans le gestionnaire, j'avais bien ajouté le certificat intermédiaire qui m'avait été fourni, mais qui n'avait pas été prise en compte.
De plus, après la suppression du certificat et la réinsertion du nouveau certificat, il a fallu cliquer sur tous les toutes les entrées du reverse proxy pour faire "éditer", pour les revalider.

c’est un comportement connu des NAS Asustor : leur gestionnaire de certificats ne combine pas automatiquement le certificat intermédiaire avec ton certificat principal, alors que certains clients (Windows, navigateurs) reconstruisent la chaîne eux-mêmes.


Donc la seule solution fiable est bien de fournir un fichier “fullchain” (certificat + intermédiaire) lors de l’import sur le NAS, ce que tu as fait.


Ton Bitwarden Android valide désormais le certificat parce que la chaîne complète est envoyée par le reverse proxy, ce qui contourne le défaut du gestionnaire Asustor. ✅


C’est exactement le comportement attendu avec les applications mobiles strictes en matière de SSL.
Cliquez pour agrandir...
 
  • J'aime
Réactions: shaks2022
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour