Asustor Renouvellement du certificat Let's Encrypt OK mais pas pris en compte : à cause du reverse proxy ?

JacquesNAS

Chevalier Jedi
21 Janvier 2016
438
56
28
Bonjour,

pour renouveler le certificat Let's Encrypt, comme ca marche pas, je le supprime et j'en refais un autre.

A ce stade, ADM me dit dans la fenêtre Settings > Certificate Manager :

"Cadenas vert" + date de péremption dans quelques mois et liste mes domaines ; bref, ça semble nickel.

MAIS .... le certificat n'est pas pris en compte par le Web Server d'ADM (un apache2 mais interfacé dans ADM, je pense).

Ce qui change par rapport à avant c'est que je vous parle dans ce post de mon 1er renouvellement de certificat avec le Reverse Proxy configuré.

Vais je devoir :

_ supprimer la config Reverse Proxy à la main (aucun bouton pour l'exporter en CSV ou autre....)
_ renouveler le certificat "à l'ancienne"
_ reconfigurer le Reverse Proxyà la main (aucun bouton d'import...)

ou bien y a t il une méthode plus pros / propre / ADM inside / commode / sexy / sympa pour procéder ?

Cdt,
 
Puis je m'appuyer sur ça pour export / import de la configuration du Reverse Proxy (entre autre...) :

Backup and Restore > System Settings

..... Ca parait sympa et casse figure en même temps....
 

Pièces jointes

  • Capture01.JPG
    Capture01.JPG
    42.3 KB · Affichages: 1 031
Salut, comment ou pourquoi tu utilises le reverse proxy ? Pour passer par un port https externe pour attaquer une application Web interne qui tourne en http sur un port spécifique ?
 
1er test ( ECHEC ) :

a. J'ai désactivé toutes les règles rerverse proxy puis router la box ADSL port 80 vers port http du web server ADM et port 443 pareil pour https.

b. j'ai décoché le port https du web server et la bascule d'ADM en auto en https.

c. désactivation ancien certificat letsencrypt (j'ai pas supprimé car je suppose que letsencrypt ne va pas me délivrer des milliards de certificats pour des noms de domaines identiques)

d. Ajout d'un nouveau certificat lestencrypt : passé comme une lettre à la poste (voir mieux car La Poste peut porter à polémique sur ce point :) )

e. roll back sur les actions a. et b.

Echec :
le navigateur ne reconnait pas de certificat et annonce un site web risqué.
tout mes sites sont ok sur le LAN via l'IP dans l'URL.
Reboot du NAS (mode désespoir activé) mais en rebootant le comportement de l'échec persiste.

Il me reste mes 2 yeux pour pleurer sans comprendre où je me rate.

Cdt,
 
cutedrake a dit:
Salut, comment ou pourquoi tu utilises le reverse proxy ? Pour passer par un port https externe pour attaquer une application Web interne qui tourne en http sur un port spécifique ?

Merci pour ce message ; c'est pour moi une trace de vie réactive donc plaisante.

usage du reverse proxy :
_ pour n'exposer que le 2 ports sur mon routeur internet (réduction de la surface d'attaque et ca cache mon implémentation locale),
_ pour ne pas avoir de numéro de port dans les URLS des sites web de ma communauté. Ca fait plus pro, non ?
_ pour attaquer une application Web interne qui tourne en http sur un port spécifique : oui j'ai une webapp dans ce cas.
 
Personnellement j'ai abandonné la solution reverse proxy du NAS, ça m'a gavé à un moment. Je suis passé à Traefik. L'un des avantages de Traefik c'est que ça gère les certif Let'sEncrypt tout seul, tu n'as rien à faire une fois que t'as démarré le docker, c'est assez génial. Ca demande un peu de travail pour configurer le docker pour ta config personnelle, mais ça se fait bien.

Du coup je n'utilise ni let'sencrypt d'ADM ni la solution de reverse proxy d'ADM. Je démarre un docker Traefik configuré avec quelques fichiers aux petits oignons et ça marche du tonnerre. Je ne touche plus à mes config let's encrypt.

En plus ça permet de s'affranchir d'un autre problème de la solution d'ADM : avec ADM tu ne peux pas simplement configurer un sous-domaine qui attaquerait ton appli web sur le port 4444 par ex, eh bien tu ne peux pas utiliser le port 443 en entrée https car ça se téléscope avec le serveur apache du NAS, ça t'oblige à faire un truc du genre :
https://monapp.mondomaine.com:4444 ==> http://NAS:4444

Avec Traefik tu peux faire très facilement
https://monapp.mondomaine.com ==> http://NAS:4444

Et du coup tu n'as d'ouvert que les ports 80 et 443.

C'est quand même plus élégant et plus pro comme tu dis :)
 
Merci cutedrake pour cette réponse argumentée, sympa et top !


OK je vais bosser sur un Traefik container, ça parait couvrir 100% de mes besoins avec le seul inconvénient de l'apprentissage mais c'est pour ça qu'on aime nos NAS et l'open-source non ? :)

bref, ma vie de confiné se poursuit avec joie grâce à cette perspective technique.
 
De rien :)
Oserai-je te proposer d'aller voir un post que j'ai rédigé (en espérant que ce post ne soit pas supprimé par un modo :rolleyes: ) pour configurer Traefik, j'ai suffisamment galéré pour en faire profiter les autres:

https://www.webdot.fr/blog/2021/02/installation-de-docker-et-de-traefik/

N'hésite pas à me poser des questions, si je peux y répondre ce sera avec plaisir. Je ne suis pas un expert de Docker ni de Traefik mais je peux sans doute aider quand même.
 
JacquesNAS a dit:
1er test ( ECHEC ) :

a. J'ai désactivé toutes les règles rerverse proxy puis router la box ADSL port 80 vers port http du web server ADM et port 443 pareil pour https.

b. j'ai décoché le port https du web server et la bascule d'ADM en auto en https.

c. désactivation ancien certificat letsencrypt (j'ai pas supprimé car je suppose que letsencrypt ne va pas me délivrer des milliards de certificats pour des noms de domaines identiques)

d. Ajout d'un nouveau certificat lestencrypt : passé comme une lettre à la poste (voir mieux car La Poste peut porter à polémique sur ce point :) )

e. roll back sur les actions a. et b.

Echec :
le navigateur ne reconnait pas de certificat et annonce un site web risqué.
tout mes sites sont ok sur le LAN via l'IP dans l'URL.
Reboot du NAS (mode désespoir activé) mais en rebootant le comportement de l'échec persiste.

Il me reste mes 2 yeux pour pleurer sans comprendre où je me rate.

Cdt,

il y a un bug avec la génération des certificats dans la dernière mise à jour d'ADM
 
Merci Dami1.

Asustor communique t il sur la date de disponibilité du patch ?

Attention, le problème ne porterait pas (conditionnel) sur la génération du certificat selon le retour de l'IHM car ADM annonce qu'il est bien appliqué (cadena vert).

En revanche, il est ignoré par le serveur web et les services pouvant utiliser ce certificat. (cela étant dit, le problème peut être, comme tu le dis, sur la génération du certificat car l’expérience IHM ne vaut pas des logs techniques dignes de ce nom pour un vrai diagnostique).
 

Pièces jointes

  • Sanstitre.jpg
    Sanstitre.jpg
    25 KB · Affichages: 874
cutedrake a dit:
De rien :)
Oserai-je te proposer d'aller voir un post que j'ai rédigé (en espérant que ce post ne soit pas supprimé par un modo :rolleyes: ) pour configurer Traefik, j'ai suffisamment galéré pour en faire profiter les autres:

https://www.webdot.fr/blog/2021/02/installation-de-docker-et-de-traefik/

N'hésite pas à me poser des questions, si je peux y répondre ce sera avec plaisir. Je ne suis pas un expert de Docker ni de Traefik mais je peux sans doute aider quand même.


Le lien est mort.
C'est bien dommage car ça a l'aire méga technique à installer et à configurer. Je ne comprends pas les tutos qu je trouve sur le net car il faut beaucoup de connaissances transverses (docker-compose, docker en cli, etc.) et ... la principale difficulté ; adapter ces tutos au NAS Asustor qui a ses propres particularismes et qu'il vaut mieux comprendre et respecter pour ne pas souffrir à chaque mise à jour (du système, de docker ou des applications des containers).

Merci de me proposer de te poser des questions : cette simple proposition est déjà un joli cadeau en soit !
 

Pièces jointes

  • Sanstitre01.jpg
    Sanstitre01.jpg
    65 KB · Affichages: 447
Alors en fait c'est normal :) j'avais une panne internet chez moi.
Je vis dans la montagne, à Saint-Pierre de Chartreuse, et quand on a une panne internet bah pas le choix faut attendre l'intervention qui peut durer :cry:
Cela vient d'être réparé, le site est de nouveau en ligne. Désolé.
 
Whaoooooooo ! Le blog de ouf ! C'est des sujets trop rares en français en plus !

Bravo.

Je n'avais pas vu ta réponse sur le forum du coup j'ai "perdu" mon temps en travaillant avec :
https://rafrasenberg.com/posts/docker-container-management-with-traefik-v2-and-portainer/

mais je vais repartir avec ton blog.

J'y apprends aussi que l'hybridation serveur web ADM et Docker ne semble pas souhaitable donc mon projet initial s'agrandit à : "passer toutes mes webapps en docker"

Donc ... l'utilisation d'ADM va devenir secondaire

Merci beaucoup, je ne pensais pas trouver autant de connaissances si vite et si adaptées à mon besoin. Yapuka (chez moi, cette étape peut être laborieuse quand même)
:)
 
Dami1 a dit:
il y a un bug avec la génération des certificats dans la dernière mise à jour d'ADM
Bonjour,

Et une maj pour ça arrive quand ? ça fait 2j que mon certificat à expiré. Ça commence à faire beaucoup à force... j'explique, j'ai jamais réussi à avoir 2 renouvellements de certificats de suite sans bug ! ça fatigue de devoir intervenir tout les 3 mois à trouver le fix ou workaround, ou pire de devoir, le cas échéant, donner le compte admin de mon nas au support pour un fix obscur (je génère une clé pour l'intervention et je la rechange derrière).

Du coup, j'ai tout mes services (cloud, contacts, gestionnaire de mdp, etc) qui me font des problèmes de certificats durant 1 ou 2 semaines à chaque fois, c'est fatiguant ... et surtout ça fait pas pro puis ça donne pas envie de revenir investir dedans.

Désolé du coup de gueule mais il fallait que ça sorte, ça fait 3-4 ans que j'ai le NAS et c'est toujours pareil.
 
Bonjour,

(coup de gueule légitime ; quand on achète le produit qui vous dit qu'il gère le certificat, on attend une ergonomie un niveau au-dessus de celle actuelle).

Pour remédier à cela, je suis passé par cet article très adapté à cette problématique.

https://www.webdot.fr/blog/2021/02/installation-de-docker-et-de-traefik/

Implication :
_ vider le RP d'ADM (inexportable donc ... suppression des règles screenshotées dans Word comme backup.....)
_ contrairement à mon poste précédent (et à ce stade) je garde mes sites publiés dans le Web Server d'ADM (un apache2 si je ne m'abuse).
_ apprentissage (merci Eric !) de ce qui semble être un bon RP reconnu dans le monde libre : Traefik.

Mon implémentation est un peu jeune pour confirmer le renouvellement des certificats en automatique avant échéance mais ça semble prometteur.

A confirmer dans le temps.
J.
 
Salut. Merci pour le petit mot Jacques :)
Je confirme qu'on peut utiliser le serveur Apache du NAS sans problème. J'ai modifié le post dont tu parles en conséquence (et supprimé mon post sur la nécessité de remplacer le serveur du NAS par un autre en docker). Il suffit effectivement de renvoyer le flux 80/443 passant par Traefik, sur le serveur Apache. C'est un peu bizarre parce qu'on balance le flux du NAS dans le docker Traefik qui renvoie le flux dans le NAS à l'endroit qui va bien :)
Concernant le renouvellement automatique des certificats letsencrypt je suis persuadé que ça doit marcher, Traefik gère ça très bien et c'est expliqué dans la doc : https://doc.traefik.io/traefik/https/acme/
Bref Traefik c'est trop trop bien :cool:
 
Ben28 a dit:
Bonjour,

Et une maj pour ça arrive quand ? ça fait 2j que mon certificat à expiré.

j'ai relancé la team.
En attendant tu peux ouvrir un ticket support et un employé du support va corriger tout ça manuellement dans l'attente du déploiement de la mise à jour