Bonjour,
J'ai contacté le support car l'installation de vhost sur le NAS avec certificat SSL Let's encrypt (super nouveauté au passage) me causait des cheveux blancs.
Il y avait ce post: https://www.forum-nas.fr/viewtopic.php?f=11&t=4769&p=31668&hilit=vhost#p31668 mais je voulais en avoir le coeur net.
Ils ont toujours répondu avec rapidité et gentillesse, comme à leur habitude. Voici une synthèse avec quelques élément qui pourraient être utile à d'autres.
Avant propos
J'ai bien vu ce tuto sur let's encrypt: https://www.forum-nas.fr/viewtopic.php?f=54&t=4920
J'ai déjà installé et configuré un serveur fonctionnel (nginx pour le coup) avec let's encrypt. Mais je voulais le faire proprement en utilisant les outil d'ADM.
Synthèse de la situation
J'ai deux vhosts:
- le permier pour owncloud: owncloud.mondomaine.com
- le second pour un site statique: sub.mondomaine.com
J'ai deux certificats généré:
- celui par defaut d'asustor
- un pour le domain owncloud.mondomaine.com avec let's encrypt
Et deux problèmes:
1 - la redirection automatique http vers https
2 - la génération de nouveaux certificats let's encrypt
Sur les conseils du support, j'ai coché dans ADM / Configuration générale "redirection automatiques des connexions http vers https".
Ensuite, ils m'ont suggéré de coché par défaut mon certificat let's encrypt. Effectivement dans ce cas là https://owncloud.mondomaine.com fonctionnait parfaitement avec un certificat valide. Par contre, pas de redirection d'une part et cela me semblait bizarre que ce soit ce certificat qui soit utilisé également pour ADM et les autres applications. Conclusion, à mon sens, la solution n'était pas propre.
Le support m'a précisé :
Comme cela me semblait bizarre ("in other words, i can't enabled 2 certificats: one by vhost apart the certificate by defaut used for ADM"), ils m'ont suggéré:
Enfin, j'ai une erreur d'email lorsque j'essai de générer un second certificat let's encrypt:
Conclusion
Comme l'avait suggéré Yakatape dans le post précédent (cf plus haut), l'interface graphique ne semble pas aujourd'hui apporté la souplesse suffisante pour une mise en place de multiple vhost bien certifiés, proprement. Du coup, vu que j'ai déjà un certificat let's encrypt fonctionnel, je vais essayer de suivre les conseils de Yakatape en modifiant à la main un premier vhost pour owncloud.
[edit] Au passage, sauriez-vous où sont stockés les certificats générés par let's encrypt (cert.pem, privkey.pem, fullchain.pem)? J'ai été voir du côté de /volume0/usr/builtin/etc/certificate/letsencrypt, et c'est vide alors qu'il m'est bien indiqué dans ADM qu'un certificat a été généré???
Je vous tiens au courant.
Bonne journée,
jb
J'ai contacté le support car l'installation de vhost sur le NAS avec certificat SSL Let's encrypt (super nouveauté au passage) me causait des cheveux blancs.
Il y avait ce post: https://www.forum-nas.fr/viewtopic.php?f=11&t=4769&p=31668&hilit=vhost#p31668 mais je voulais en avoir le coeur net.
Ils ont toujours répondu avec rapidité et gentillesse, comme à leur habitude. Voici une synthèse avec quelques élément qui pourraient être utile à d'autres.
Avant propos
J'ai bien vu ce tuto sur let's encrypt: https://www.forum-nas.fr/viewtopic.php?f=54&t=4920
J'ai déjà installé et configuré un serveur fonctionnel (nginx pour le coup) avec let's encrypt. Mais je voulais le faire proprement en utilisant les outil d'ADM.
Synthèse de la situation
J'ai deux vhosts:
- le permier pour owncloud: owncloud.mondomaine.com
- le second pour un site statique: sub.mondomaine.com
J'ai deux certificats généré:
- celui par defaut d'asustor
- un pour le domain owncloud.mondomaine.com avec let's encrypt
Et deux problèmes:
1 - la redirection automatique http vers https
2 - la génération de nouveaux certificats let's encrypt
Sur les conseils du support, j'ai coché dans ADM / Configuration générale "redirection automatiques des connexions http vers https".
Ensuite, ils m'ont suggéré de coché par défaut mon certificat let's encrypt. Effectivement dans ce cas là https://owncloud.mondomaine.com fonctionnait parfaitement avec un certificat valide. Par contre, pas de redirection d'une part et cela me semblait bizarre que ce soit ce certificat qui soit utilisé également pour ADM et les autres applications. Conclusion, à mon sens, la solution n'était pas propre.
Le support m'a précisé :
> donc à priori, suivant le certificat coché par defaut, le deuxième certificat et les autres seraient caduques.Please note the NAS can only allow one certificate as default, and only the default certificate could be seen as trusted connection.
Comme cela me semblait bizarre ("in other words, i can't enabled 2 certificats: one by vhost apart the certificate by defaut used for ADM"), ils m'ont suggéré:
> cela supposerait en d'autres termes, qu'à chaque fois que j'ajoute un vhost, sur le même domaine ou non, je suis obligé de modifier le certificat par défaut en ajoutant des domaines alternatifs.For the issue mentioned, you need to input the domain names in the subject alternative name to apply the one certificate to virtual hosts.
Enfin, j'ai une erreur d'email lorsque j'essai de générer un second certificat let's encrypt:
> donc l'erreur devrait être levée. Maintenant que j'y pense, mailserver est installé sur le NAS. C'est peut-être lui qui pose problème.Also, we do find the "Mail is not correct (Ref. 5016)" issue in current ADM version, the issue was reported to our engineer team and they are doing their best to fix it. I'll keep this ticket open and update the latest news about this in my reply.
Conclusion
Comme l'avait suggéré Yakatape dans le post précédent (cf plus haut), l'interface graphique ne semble pas aujourd'hui apporté la souplesse suffisante pour une mise en place de multiple vhost bien certifiés, proprement. Du coup, vu que j'ai déjà un certificat let's encrypt fonctionnel, je vais essayer de suivre les conseils de Yakatape en modifiant à la main un premier vhost pour owncloud.
[edit] Au passage, sauriez-vous où sont stockés les certificats générés par let's encrypt (cert.pem, privkey.pem, fullchain.pem)? J'ai été voir du côté de /volume0/usr/builtin/etc/certificate/letsencrypt, et c'est vide alors qu'il m'est bien indiqué dans ADM qu'un certificat a été généré???
Je vous tiens au courant.
Bonne journée,
jb