Synology [Résolu] Renouvellement du certificat Let's Encrypt impossible

Tiennou44

Nouveau membre
24 Février 2017
10
0
1
Bonjour à tous,

Peut-être que ce sujet a déjà été abordé dans ce forum, mais je n'ai rien trouvé qui puisse m'aider.

Voilà mon problème :
J'ai acheté un DS216+II il y a un peu plus de 3 mois. J'y ai installé 2 DD de 1 To en mirroring, le tout derrière une freebox V6 en dégroupage partiel (adresse IP fixe)
L'usage que j'en fais est professionnel :
- synchronisation permanente entre certains répertoires de mon ordi de travail et le NAS;
- synchronisation permanente d'un répertoire partagé entre plusieurs membres de mon équipe sur des sites distants;
- Partage de fichiers à la volée en mode sécurisé avec des clients de tout type (experts-comptables, banques, avocats, différents professionnels de santé, ...);
- ...

Ayant connu le système d'auto-hébergement YunoHost, je peux dire que je suis assez rompu à l'installation et à la config de ce genre de matériel.
L'installation s'est bien passée :
- j'ai suivi les instructions pour le NAS;
- j'ai ouvert les bons ports de la freebox, en particulier les parts 80 et 443 et TCP et UDP, ainsi que d'autres ports nécessaires à certaines applis Synology;
- J'ai utilisé un nom de domaine que j'avais acheté chez OVH, que j'ai mis à jour pour que tout fonctionne bien;
- j'ai configuré le NAS pour l'utilisation de ce nom de domaine et j'ai installé un certificat Let's Encrypt (ou j'ai fait l'inverse).

Tout s'est passé à merveille, et cela changeait vraiment de ce que j'avais connu avec YunoHost (il fallait souvent mettre la main dans le cambouis pour mettre à jour le système ...)
Pas de problème de mise à jour, le partage de fichiers en mode sécurisé fonctionnait à merveille.
Bref, le bonheur !

Jusqu'au moment où mon certificat Let's Encrypt arrivait tranquillement à sa date de péremption.
J'ai lu qu'il se renouvellerait automatiquement, et je ne me suis donc pas inquiété, jusqu'au moment où il a été périmé sans se renouveler.

Et là ... problèmes de partage de fichiers et de boîtes mail : demande d'exception de sécurité, certificat non reconnu, mauvais site, identité inconnue, et j'en passe et des meilleures.

Je me suis donc connecté sur DSM, j'ai ouvert le panneau de configuration, je suis allé sur la page "Sécurité", onglet "Certificat", et j'ai voulu renouveler mon certificat Let's Encrypt.
Impossible de le faire, avec un premier message m'indiquant que je devais ouvrir le port 80 sur le NAS et sur le routeur (la freebox en l'occurence).
J'ai vérifié la liste de redirection des ports sur la freebox : tout était ok.
Quant à l'ouverture du port 80 sur le NAS ...
J'avoue ne pas savoir le faire avec l'interface graphique de DSM.
J'ai désactivé toutes les sécurités (je sais, ce n'est pas une bonne idée ...), savoir le pare-feu, la protection DoS, le blocage auto, la protection du compte, désactivé la compression HTTP.
Pour l’accès externe, dans l'onglet "DDNS", j'ai laissé actif dès l'installation le compte fournis par Synology (xxxx.synology.me), et je n'y ai pas touché, dans l'onglet "Configuration du routeur" je n'ai touché à rien, d'ailleurs il n'y avait pas de règles de transmission de ports, et je n'ai touché à rien dans l'onglet "Avancé", en particulier les champs DSM (HTTP) et DSM (HTTPS) sont vides.
par la suite, j'ai testé en ajoutant des règles de transmission de ports, en particulier pour les ports 80 et 443, après avoir lancé la configuration automatique du routeur (ma freebox a été reconnue impeccablement bien), et le test de connexion a indiqué OK.
Au moment du renouvellement du certificat, j'ai à nouveau eu le message m'indiquant que je devais ouvrir les ports 80 sur le NAS et sur le routeur.
J'ai donc supprimé les règles de transmission de ports ajoutées.
Et lorsque j'ai voulu renouveler le certificat, j'ai eu un nouveau message : "Echec de l'opération. Reconnectez-vous à DSM et réessayez."
C'est ce que j'ai fait sans plus de succès.

Y aurait-il une bonne âme pour m'aider à comprendre quoi faire ?

Je la remercie d'avance.

PS : le constat est le suivant, concernant l'ouverture du port 80 sur le NAS :
- quand QuickConnect est activé, le port est inaccessible. Dès que QuyickConnect est inactif, le port est ouvert;
- dès qu'une règle de transmission de ports pour le port 80 est ajoutée dans l'onglet "Configuration du routeur" pour l'accès externe, le port est inaccessible. Il faut donc la supprimer.
 
Hello,

Ton expérience est troublante car tu as bien généré sans souci le premier certificat, le renouvellement aurait dû fonctionner de la même manière. Essaye de remettre le NAS comme précédemment (configuration et paramètre). Le port 80, il faut l'ouvrir manuellement sur la Freebox mais aussi sur le NAS si tu as le Pare-feu d'activer (Bouton Modifier les règles > Créer) mais si tu l'avais désactivé cela aurait dû fonctionner. Est-ce que le NAS a toujours accès vers l'extérieur avec son DNS (est-ce que le NAS peut aller chercher un paquet depuis le Centre de paquet ou Mise à jour de DSM) ? Ca m'est déjà arrivé ;) Comme ça, je n'ai pas trop d'idée... le domaine t'appartient toujours, pas de souci au niveau OVH ? Est-ce que le NAS est bien accessible sur le port 80 (même une page avec un message texte) ?
 
Bonsoir FX Cachem,

J'ai résolu mon problème de mise à jour de mon certificat Let's Encrypt.

En fait, il y avait plusieurs problématiques :
- les ports 80 et 443 n'étaient pas ouverts sur le NAS;
- Web Station ne fonctionnait pas correctement, surtout depuis le passage à DSM 6.1 : Web Station nécessite l'installation de paquets dorsaux, puis le choix d'un serveur principal HTTP et d'une version de PHP, et ce de façon explicite.
En effet, Let's encrypt vérifie qu'un serveur web est installé lorsque l'on tente de créer un certificat. Quand je parle de serveur web installé, je ne veux pas dire DSM installé et activé, je veux vraiment dire qu'un serveur web tourne sur le NAS (Apache ou Nginx).
Il faut donc avoir installé Web Station et que Web Station fonctionne correctement, et bien sûr que les ports 80 et 443 soient ouverts à la fois sur le routeur et sur le NAS, et au travers du pare-feu du NAS. Dès lors, un certificat Let's Encrypt peut être créé ou renouvelé.
- lors de la création ou du renouvellement du certificat Let's Encrypt, 3 informations sont demandées : un nom de domaine, une adresse mail, un autre nom de l'objet. Ce dernier champ posait problème
Concernant l'adresse mail, il est nécessaire d'y mettre une adresse valide d'un FAI connu sinon il y des chances que cela ne fonctionne pas.
Concernant un autre nom de l'objet, il est recommandé d'y mettre tous les sous-domaines permettant l'accès aux différentes fonctionnalités du NAS, par exemple note.domaine.fr, ou file.domaine.fr (domaine.fr étant le nom de domaine déclaré dans le premier champ).
Il est donc nécessaire de paramétrer les sous-domaines du domaine, ce au niveau du provider chez qui le nom de domaine a été acheté. Pour ma part, le nom de domaine que j'utilise a été acheté chez OVH, et la création de sous-domaines est gratuite.
Il est important de déclarer dans ce troisième champ les sous-domaines car cela permettra d'accéder aux fonctionnalités sans devoir paramétrer des exceptions de sécurité dans le navigateur (mais chacun fait ce qu'il veut ...).
Bien-sûr les sous-domaines déclarés dans ce troisième champ doivent correspondre à des sous-domaines existant, et c'est bien là où j'ai rencontré ma problématique.

J'espère que ces explications (même si j'enfonce des portes ouverts parfois) vous permettront de générer sans problème un certificat Let's Encrypt.
 
Bonsoir,
Le certificat ne peut pas etre renouvelé sans l'ouverture permanente du port 80?
 
Papag a dit:
Bonsoir,
Le certificat ne peut pas etre renouvelé sans l'ouverture permanente du port 80?

Tu ouvres le port 80 que lorsqu’il y a besoin de faire le renouvellement. Tu recois un mail de let’s encrypt quand il faut le faire.
 
Ok, merci

C'est mon coté fainéant qui a pris le dessus sur la question
 
Bonjour,


J'ai exactement le même problème ...
Je ne parviens pas à créer le let's encrypt pour le domaine que j'ai réservé chez OVH, et cela fonctionne pourtant pour ****.synology.me.

J'ai donc :
- Installé Web station, Mail Plus Server et Mail Plus Client, configuré Nginx et PHP7,
- Paramétré le pare-feu du NAS pour accepter les ports 80 et 443,
- Paramétré le pare-feu et routage de livebox pour accepter les ports 80 et 443 vers synology,
- Paramétré la zone DNS du nouveau domaine chez OVH.

Cela ne fonctionne toujours pas, je sèche malgré tous les tutos !
On me demande de m'assurer que le port 80 est ouvert ... ce qui est bien évidemment le cas, puisque cela a fonctionné pour celui de synology.me !



Edit:
Bizarrement je reçois quand même les mails de l'extérieur via mailplus, mais l'envoi met en "deferred", pour cause de timeout.
Pourtant j'avais fait en sorte de n'accepter les connexions qu'en TLS.
J'ai tenté la connexion depuis l'extérieur avec un client de messagerie et cela ne passe pas.

Bon ... il me faut ce certificat Let's Encrypt, et j'y parviens pas.

Edit 2:
Je viens de faire une vérification d'accès par ssllabs.com et visiblement il ne parvient pas à se connecter au serveur web en ipv6 !
En ipv4 c'est fonctionnel mais le certificat n'est pas valide pour le nom de domaine, ce qui est normal vu que le certificat utilisé est celui de synology.me et non pas le mien.

Je viens de tester avec le nom en *****.synology.me et finalement en ipv6, le serveur web n'est pas accessible non plus ... c'est donc pas ça.