Asustor nextcloud et https tls

JacquesNAS

Chevalier Jedi
21 Janvier 2016
438
56
28
Bonjour les ADMiennes et les ADMiens,

installation nextcloud depuis App Central d'ADM : OK

configuration de nextcloud : OK

génération d'un certificat dans ADM > Régalages > Gestionnaire de Certificat > certificat let's Encrypt généré pour mon URL : OK

.... Et là ? comment je fais pour que Nexcloud utilise bel et bien mon certificat et ne me présente plus la page qui fait peur aux utilisateurs qu'ils vont sur un silte malveillant ?

help !
 
pas testé
à voir ... https://blog.bandinelli.net/index.php?post/2015/12/19/Utiliser-Letsencrypt-avec-ownCloud%2C-Piwik%2C-Dotclear%2C-Drupal-et-des-sites-statiques-%21
 
Bonjour,

Merci Dami1. J'avais vu cette page avant de posté mais ça n'aide pas trop pour un Linux box.

Si j élargis le sens de ma question, ca pourrait être :

Comment faire profiter à tous les vhosts du serveur Web d'ADM du cerificat SSL ?

Je continue de chercher.
 
Bonjour,

La question est en faite la suivante :

Comment, dans le linux d'un NAS Asustor, activer un certificat sur un 2eme vhost qui répond à un autre nom de domaine que le 1er vhost géré et activé par l'IHM d'ADM ?

En effet, ADM ne semble vouloir gérer qu'un seul certificat pour un seul site, à mon niveau de compréhension.

A ce stade ;
_ j'ai 2 certificats Let's Encrypt Authority X3

_ Le 1er est celui dont la case à cocher est activée : "Définir comme certificat par défaut"
_ Le 2eme a un cadena ouvert et gris

====== aparté sur le produit APACHE en général ======
Quand on se penche sur la doc APACHE, on apprend que la configuration du certificat se fait à l'aide de balises :

SSLCertificateFile
SSLCertificateKeyFile
SSLCertificateChainFile

Ces 3 balises doivent pointer vers les fichiers du certificat dédié au vhost.

Il semble qu'il faille aussi ajouter cette ligne dans le vhost :
Header always set Strict-Transport-Security "max-age=15768000"

====== fin de l'aparté ======

Quand on applique cet aparté, en tout cas, chez moi, apache ne démarre plus.

cette application des balises ci-dessus a été faite dans le répertoire :

/volume0/usr/builtin/etc/apache2/sites-available

Là, j'ai imité le nom du fichier dédié à mon vhost activé via ADM ;

vhost_site01.providerDeDNS.com_443


contenant :

<IfModule mod_ssl.c>
<VirtualHost *:443>
ServerName site01.providerDeDNS.com
DocumentRoot "/volume1/Web/site01"

SSLEngine On

<Directory "/volume1/Web/site01">
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Require all granted
</Directory>
</VirtualHost>
</IfModule>

j'ai imité aussi ce contenu en l'adaptant à site02.provider02DeDNS.com

A ce stade, ca marche : le site est publié sur le web... mais ca se fait très bien aussi par la gestion des vhosts faite dans ADM donc 0 plus value à ce stade.


:-D Là où tout commence :


... reste à lui appliquer son certificat mais l'ajout des balises comme indiqué dans la doc Apache ne marche pas.

Et notons que pour le site "01" géré par ADM, ces fameuses balises ne sont pas dans le bloc de configuration du vhost ; alors où ?

Je vous propose pour finir la log produite par l'apache du NAS (niveau "debug") pour :

01 / le site activé par défaut dans l'IHM ADM (donc le site qui marche en SSL/TLS)

[Sat Sep 29 10:35:22.181814 2018] [ssl:info] [pid 31509] AH01914: Configuring server site01.providerDeDNS.com:443 for SSL protocol
[Sat Sep 29 10:35:22.182385 2018] [ssl:debug] [pid 31509] ssl_engine_init.c(1031): AH01904: Configuring server certificate chain (2 CA certificates)
[Sat Sep 29 10:35:22.182404 2018] [ssl:debug] [pid 31509] ssl_engine_init.c(445): AH01893: Configuring TLS extension handling
[Sat Sep 29 10:35:22.182832 2018] [ssl:debug] [pid 31509] ssl_util_ssl.c(443): AH02412: [site01.providerDeDNS.com:443] Cert matches for name 'site01.providerDeDNS.com' [subject: CN=site01.providerDeDNS.com / issuer: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US / serial: 042563A24AAA811597AE9D190959053 / notbefore: Jul 22 19:22:59 2018 GMT / notafter: Oct 20 19:22:59 2018 GMT]
[Sat Sep 29 10:35:22.182857 2018] [ssl:info] [pid 31509] AH02568: Certificate and private key site01.providerDeDNS.com:443:0 configured from /usr/builtin/etc/apache2/server.crt and /usr/builtin/etc/apache2/server.key

02 / le site activé par moi dans putty (donc le site qui NE marche PAS en SSL/TLS)

[Sat Sep 29 10:35:22.180545 2018] [ssl:info] [pid 31509] AH01914: Configuring server site02.provider02DeDNS.com:443 for SSL protocol
[Sat Sep 29 10:35:22.181126 2018] [ssl:debug] [pid 31509] ssl_engine_init.c(1031): AH01904: Configuring server certificate chain (2 CA certificates)
[Sat Sep 29 10:35:22.181144 2018] [ssl:debug] [pid 31509] ssl_engine_init.c(445): AH01893: Configuring TLS extension handling
[Sat Sep 29 10:35:22.181565 2018] [ssl:debug] [pid 31509] ssl_util_ssl.c(443): AH02412: [site02.provider02DeDNS.com:443] Cert does not match for name 'site02.provider02DeDNS.com' [subject: CN=site01.providerDeDNS.com / issuer: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US / serial: 042563A2JAAAA811597EE9D190959053 / notbefore: Jul 22 19:22:59 2018 GMT / notafter: Oct 20 19:22:59 2018 GMT]
[Sat Sep 29 10:35:22.181590 2018] [ssl:warn] [pid 31509] AH01909: site02.provider02DeDNS.com:443:0 server certificate does NOT include an ID which matches the server name
[Sat Sep 29 10:35:22.181604 2018] [ssl:info] [pid 31509] AH02568: Certificate and private key site02.provider02DeDNS.com:443:0 configured from /usr/builtin/etc/apache2/server.crt and /usr/builtin/etc/apache2/server.key


Question en sortie :

_ faut il rester sur la doc apache et chercher un scope (une portée...) du certificat du site 1 qui écraserait toute configuration faite au sein des blocs de conf apache des vhost ?
_ faut il voir ca avec les spécialistes ADM qui auraient fait une bidouille spécifique pour plus de sécurité ou éviter que les bidouilleurs du dimanche cassent leur NAS avant de se retourner vers le support qui croulerait alors sous les demandes...?
_ ... :( ?
 
Bonjour,

là je tombe sur le fichier ssl.conf qui contient :

SSLCertificateFile "/usr/builtin/etc/apache2/server.crt"
SSLCertificateKeyFile "/usr/builtin/etc/apache2/server.key"
SSLCertificateChainFile "/usr/builtin/etc/apache2/server.chain"

_ Faut il commenter tout cela pour injecter ces directives au seins de chaque bloc de configuration des vhost ?
_ Faut il injecter dans les fichiers en paramètre de ces directives les contenu des fichiers du 2eme certificat ?
_ ai je tout faux ? Où est la Vérité ? ou en attendant la Vérité, ... comment faire ? ;)
 
Bonjour,

il fallait simplement commenter les balises :

SSLCertificateFile
SSLCertificateKeyFile
SSLCertificateChainFile

de scope serveur et veiller à ce que tous les vhosts soient bien configurés (avec ou sans).

Dans mon cas un 3eme vhost mal configuré panalisé le setup.

Finalement un problème à la porter de n'importe quel connaisseur d'Apache ou de busybox.
 
Perdu !

Ces actions ne sont pas persistantes ; comprenez que vous retrouvez la configuration initiale après le reboot du NAS.

C'est bien quand on a fait une erreur ... mais quand on veut garder sa customisation, il va falloir disposer d'un script au démarrage.

... mais ces scripts sont ils persistants... hum, ça serait vraiment dommage qu'il faille passer par une appliance car ça consommerait trop de ressources pour faire la même chose et nos NAS tout Asustor sont ils, ne sont pas des monstres de puissances non plus...


=> je pars sur la solution du script et rapporterai ici mon expérience pour info.
 
ca s'est fini avec un cp bien senti en crontab suivie d'une relance apache et puis voilà.

Ca fait un peu bidouille mais ca marche.

dommage qu'il n'y ait rien de plus propre et proposé par ADM directement.
 
JacquesNAS a dit:
ca s'est fini avec un cp bien senti en crontab suivie d'une relance apache et puis voilà.

Ca fait un peu bidouille mais ca marche.

dommage qu'il n'y ait rien de plus propre et proposé par ADM directement.

nous sommes ouverts aux suggestions.
je t'invite à m'en faire part dans la sous-rubrique dédiée "divers" :)