Asustor ssl + let's encrypt // renouvellement automatique?

chryslertvert

Chevalier Jedi
21 Juillet 2014
206
0
16
Bonjour,

Résumé de la situation

******************************************

Il y a quelques mois Let's Encrypt arrivait sur les Nas Asustor. Il était alors possible d'appliquer un certificat à ces vhost présent sur le Nas mais également à l'url d'accès universelle cool.myasustor.com.

L’inconvénient de let's encrypt est la durée de validité des certificats générés. Inconvénient qui peut être outrepassé grâce à l'option de renouvellement automatique.

J'avait tout mis en place (un certificat pour xxx.myasustor.com avec les domaines de mes vhost en alias) puis modifier mes vhost pour rediriger le http vers le https (https://www.forum-nas.fr/viewtopic.php?f=11&t=5053).

J'ai reçu les email d'alerte de lets'encrypt indiquant que le certificat arrivait à expiration.

Je me connecte aujourd'hui à l'un des sites:
Code:
Votre connexion n'est pas privée
...
Expires on: 1 avr. 2017
...
NET::ERR_CERT_COMMON_NAME_INVALID

Par ailleurs, les redirection ont sautées, normal, j'ai entre temps redémarrer le NAS pour la mise à jour d'ADM et il faut que je les remette en place.

Conclusion, le certificat semble s'être bien renouvelé pour xxx.myasustor.com.
Par contre les alias ne semblent plus pris en compte.

J'avais 4 alias, si je regarde le certificat que vérifie chrome, il me semble qu'il n'y en ait que 2:
PEM encoded chain:
Code:
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

******************************************

Est-ce que vous avez déjà rencontré le problème?
Est-ce que les alias sautent bel et bien au renouvellent?
Est-ce que je dois m'orienter vers le plan b et régénérer à chaque fois un nouveau certificat avec les alias qui conviennent?

Par avance merci pour vos retours d'expérience.
jb
 
Je complète le ticket...

Je reçois toujours les emails d'alerte de let's encrypt pour les domaines sensés être renouvelés sur le NAS:
Code:
Hello,

Your certificate (or certificates) for the names listed below will expire in 0 days (on 05 Jan 17 13:45 +0000). Please make sure to renew your certificate before then, or visitors to your website will encounter errors.

xxx.myasustor.com
...

A suivre,
jbo
 
Merci pour vos réponses.
Je vais peut-être ouvrir un ticket en effet. Sinon, il restera le plan b...

Bonne soirée,
jb
 
Bonjour,

J'ai eu une réponse du support.
Il s'agit d'un bug qu'ils ont déjà identifié et sur lequel ils se penchent.

Vu que cela n'avait pas l'air de concerner grand monde sur le forum, j'ai l'impression d'avoir une utilisation exotique du nas :rolleyes:

Je vous tiens au courant si j'ai du nouveau. Mais à priori cela devrait être corrigé dans une prochaine mise-à-jour de ADM... D'ici-là, je crois que je vais régénérer les certificats manuellement.

Bonne journée,
jb
 
J'ai aussi ce problème de message...

Hello,
Your certificate (or certificates) for the names listed below will expire in 9 days (on 15 Feb 17 15:51 +0000). Please make sure to renew your certificate before then, or visitors to your website will encounter errors.
xxx.myasustor.com
For any questions or support, please visit https://community.letsencrypt.org/. Unfortunately, we can't provide support by email.


J'ai depuis un moment le cadenas avec un point d'exclamation avant le HTTPS.
Pourtant, j'ai bien demandé le renouvellement automatique...
A propos, y-a-t-il d'autres certificats que celui-ci pour le NAS, plus conviviaux ne demandant pas de renouvellement, même payant ?
 
C'est de plus en plus difficile de se connecter au NAS via Chrome et Firefox...
Il ne reconnaissent plus le certificat let's encrypt, alors qu'il est encore valable et bien coché comme certificat par défaut.
Il faut que je passe par IE 11 pour y accéder maintenant !
Ca devient vraiment pénible ces histoires de certificats.
N'y a-t-il rien d'autres de plus sérieux, même payant ?
 
The Burgund a dit:
C'est de plus en plus difficile de se connecter au NAS via Chrome et Firefox...
Il ne reconnaissent plus le certificat let's encrypt, alors qu'il est encore valable et bien coché comme certificat par défaut.
Il faut que je passe par IE 11 pour y accéder maintenant !
Ca devient vraiment pénible ces histoires de certificats.
N'y a-t-il rien d'autres de plus sérieux, même payant ?

comme dit par Spartanineo je n'ai pas ce souci avec le domaine .myasustor.com
Cela fait des mois que les navigateurs "voient bien le certificat green"
 
J'ai compris, hier pourquoi :
De temps à autres, je ne sais pas pourquoi, Chrome et/ou Firefox, change mon adresse de "https://xxxxxxxxx.myasustor.com:8001/...." en "https://192.168.0.xx:8001/..." et c'est là que j'ai le problème de reconnaissance du certificat.
Maintenant, je vais faire attention à cette adresse si cela se reproduit !
 
The Burgund a dit:
J'ai compris, hier pourquoi :
De temps à autres, je ne sais pas pourquoi, Chrome et/ou Firefox, change mon adresse de "https://xxxxxxxxx.myasustor.com:8001/...." en "https://192.168.0.xx:8001/..." et c'est là que j'ai le problème de reconnaissance du certificat.
Maintenant, je vais faire attention à cette adresse si cela se reproduit !

IP LAN (locale) = 192.168. xxx = let's encrypt étant rattaché au DDNS .myasustor => ça ne peut pas fonctionner ;)
 
Bonsoir,

comment fait on pour renouveler un certificat letsencrypt dont la date est expiré ? (j'ai coché mise à jour auto);
est qu'il faut que certains ports soit ouvert pour qu'une mise à jour se fasse ?

j'avais bien reçu les mails de letsencrypt pour me prévenir que mon certificat allait expiré mais je n'ai pas su quoi faire .
 
davidou a dit:
Bonsoir,

comment fait on pour renouveler un certificat letsencrypt dont la date est expiré ? (j'ai coché mise à jour auto);
est qu'il faut que certains ports soit ouvert pour qu'une mise à jour se fasse ?

j'avais bien reçu les mails de letsencrypt pour me prévenir que mon certificat allait expiré mais je n'ai pas su quoi faire .

tu as coché la case "mise à jour auto" et ça ne s'est pas fait?
peux-tu me dire sous quelle version d'ADM tu es?
 
oui, j'ai coché la mise à jour auto (mais je ne me souviens plus si je l'ai coché avant ou après la fin de l'expiration; je ne sais pas si ca une importance)

ADM2.7
 
davidou a dit:
oui, j'ai coché la mise à jour auto (mais je ne me souviens plus si je l'ai coché avant ou après la fin de l'expiration; je ne sais pas si ca une importance)

ADM2.7

2.7.1.RFT5 ?
 
Non
2.7.0.RF72, pourquoi tu crois que ca marcherait mieux avec la dernière release ?

La derniere fois que j'ai fais la maj en 2.7 ca m'a viré ma config tvheadend alors je suis pas très chaud ...
 
davidou a dit:
Non
2.7.0.RF72, pourquoi tu crois que ca marcherait mieux avec la dernière release ?

La derniere fois que j'ai fais la maj en 2.7 ca m'a viré ma config tvheadend alors je suis pas très chaud ...

Non pas spécialement car la 2.7.0 corrige déjà la souci de let's encrypt mais pour ce faire il faut supprimer ton certificat et le réinstaller
Pour savoir comment sauvegarder ta configuration tvheadend, contacte le support d'ASUSTORet/ou vois directement chez tvheadend https://tvheadend.org/ (forum, wiki etc)
 
ok merci.
je l'ai supprimé et réinstallé.

pour que le certificat se mette à jour automatiquement, faut -il que certains ports soit ouvert sur le nas ?