QNAP Let's encrypt erreur port 80 et 443

[flacon030]

Bonjour,
J'ai un Qnap 855X (version à jour) QTS 5.2.6.3195
La version de "QTS SSl Certificate" est la dernière aussi en V2.2.67
J'ai mon nom de domaine chez 1&1 ionos avec des sous domaine
Je souhaite renouveler mon certificat LET'S ENCRYPT qui est arrivé a expiration.
Cela échoue avec le message d'erreur de type "Aucun test de validation de domaine n'a été reçu du serveur ACME... vérifier que votre routeur ou QNAP acceptent tous les 2 le trafic sur les ports 80 et 443"
Mon routeur laisse bien passer ces flux entrants, j'ai les port 80 et 443 qui sont bien ouvert pour le serveur web
Je n'ai pas activé le FW du QNAP et pourtant j'ai toujours le même message d'erreur
Le certificat avait bien été validé il y a 3 mois sans problème

Merci de votre aide

 

[zypos]

J'ai mon nom de domaine chez 1&1 ionos avec des sous domaine

De mémoire Ionos propose un certificat pour les noms de domaine créer chez lui . Normalement il faut l'implanter manuellement .
Le certificat Let'S Encrypt est configurer pour quel domaine ? celui d' Ionos ?

 

[flacon030]

Bonjour
Oui, il y a celui de ionos mais pas que...
Et c'est bien la le problème
J'ai aussi un nom de domaine chez OVH

 

[zypos]

J'ai aussi un nom de domaine chez OVH

Tu ne peux pas faire pointer deux noms de domaine sur le même NAS .C'est soit l'un soit l'autre si tu utilises les ports standard (80/443) qui pointe vers le reverse proxy du NAS . De plus difficile d'avoir un certificat Let'S Encrypt de type ACME ( CNAME) pour un nom de domaine tiers . Une solution de contournement existe pour OVH , j'ignore si elle fonctionne pour Ionos .

 

[CyberFR]

Tu ne peux pas faire pointer deux noms de domaine sur le même NAS .C'est soit l'un soit l'autre si tu utilises les ports standard (80/443) qui pointe vers le reverse proxy du NAS .

Si, si, c'est possible. Je possède deux noms de domaine qui pointent sur l'IP publique du NAS (ils sont tous les deux chez OVH). Au niveau du reverse proxy je tiens compte du nom de domaine car une requête sera du genre xxx.ndd1.fr et l'autre yyy.ndd2.fr.

De plus difficile d'avoir un certificat Let'S Encrypt de type ACME ( CNAME) pour un nom de domaine tiers . Une solution de contournement existe pour OVH , j'ignore si elle fonctionne pour Ionos .

Chez Synology on peut associer le domaine tiers à "Autre nom de l'objet" lors du renouvellement du certificat y compris si ce nom relève d'un domaine différent. Pour en revenir au problème de @flacon030 il est plus facile de ne dépendre que d'un seul registar, OVH ou Ionos parce que sinon ça devient compliqué.

 

[flacon030]

Si j'avais deux nom de domaine avec let's encrypte sur mon nas, et cela fonctionnait très bien
Un chez ovh et l'autre chez ionos avec des sous domaine
cela fonctionne depuis plus de deux ans, et la impossible de renouveler ou de remplacer le certificat

c’était avec ce type de configuration
"Panneau de configuration", "sécurité", "certificat SS et clé privé", "remplacer le certificat", "obetinir un certificat auprès de let's encrypte"
et dans "certificat intermédiera" j'ajoutais ma liste de la façon suivante:

www.ford-rs.fr, www.emaes.fr, forum.ford-rs.fr, fordenco.ford-rs.fr, graph.ford-rs.fr, graphhc3.ford-rs.fr, comtos.ford-rs.fr, site.ford-rs.fr, 855jcbmyqnapcloud.com

et le "www.emaes.fr" est chez ovh, tous les autres sont chez ionos

 

[CyberFR]

Si j'avais deux nom de domaine avec let's encrypte sur mon nas, et cela fonctionnait très bien

Je n'ai pas dit qu'il était impossible d'avoir deux registars, je dis simplement que ça complique les choses.

 

[flacon030]

Bon j'avance un peut
Je peut générer un certificats lest's encryte sur le qnap avec plusieurs sous domaines, mais pas avec mes deux domaines différents
C'est la que les choses on semble t'il changé

 

[EVO]

mais pas avec mes deux domaines différents

peut etrre que un ne répond pas correctement.
Si tu utilise les hote virtuel, ... essaye de les désactiver pour la génération du certificat

 

[flacon030]

Merci cela a fonctionner en désactivant les hôtes virtuel
Tous est a nouveau fonctionnel

 

[zypos]

on peut associer le domaine tiers à "Autre nom de l'objet" lors du renouvellement du certificat

Oui , mais tu es limité dans le nombre et tu dois ajouter manuellement les noms de domaine , sous-domaine .

 

[CyberFR]

Oui , mais tu es limité dans le nombre et tu dois ajouter manuellement les noms de domaine , sous-domaine .

Tu utilises un DDNS Synology une wildcard ou autre ?

 

[zypos]

Tu utilises un DDNS Synology

Avec le DDNS Synology tu n'es pas limité . Mais avec un nom de domaine tiers oui , car le nb de caractères est limité dans le champ " autre nom de l'objet"

 

[CyberFR]

Avec le DDNS Synology tu n'es pas limité . Mais avec un nom de domaine tiers oui , car le nb de caractères est limité dans le champ " autre nom de l'objet"

Il est possible, d'après les règles de Let's Encrypt, de définir un maximum de 100 noms par certificat. C'est précisé dans la rubrique "New Orders per Account" de cette PAGE.

Ça laisse de la marge avant d'atteindre 100 noms par certificat. Et si cela ne suffit pas on peut faire une demande d'ajustement des limites !
D'autre part Synology n'indique pas de limite particulière dans la rubrique "Autres noms de l'objet" comme indiqué ICI.

Après, chacun fait comme il l'entend. Le DDNS de Synology facilite grandement les choses, sans prise de tête mais j'y vois deux inconvénients. En cas migration vers un NAS autre que Synology il faut repartir de zéro puisque le certificat ne t'appartient pas. Quand on utilise le DDNS, le compte Synology doit être ouvert en permanence sur le NAS et ça peut poser des problèmes de confidentialité.