[ LetsEncrypt ] [ 0.6 ] Free SSL/TLS Certificates

BitTorrent Sync, KODI, IPKG, NZBGet, pyLoad...
Avatar du membre
QoolBox
Représentant de QNAP
Messages : 6601
Enregistré le : 02 janvier 2014
Professionnel : Oui
Localisation : France
Contact :

[ LetsEncrypt ] [ 0.6 ] Free SSL/TLS Certificates

Message par QoolBox » 08 mai 2016 17:00

Image

source : https://letsencrypt.org

x86 version : http://www.positiv-it.fr/QNAP/APP/LetsE ... 6.qpkg.zip
x64 version :http://www.qoolbox.fr/LetsEncrypt_0.6_x86_64.qpkg.zip

Note :

open SSH command line
go in /opt/LetsEncrypt/bin

generate certificate with :

.

Code : Tout sélectionner

/letsencrypt --help

  letsencrypt [SUBCOMMAND] [options] [-d domain] [-d domain] ...

The Let's Encrypt agent can obtain and install HTTPS/TLS/SSL certificates.  By
default, it will attempt to use a webserver both for obtaining and installing
the cert. Major SUBCOMMANDS are:

  (default) run        Obtain & install a cert in your current webserver
  certonly             Obtain cert, but do not install it (aka "auth")
  install              Install a previously obtained cert in a server
  renew                Renew previously obtained certs that are near expiry
  revoke               Revoke a previously obtained certificate
  rollback             Rollback server configuration changes made during install
  config_changes       Show changes made to server config during installation
  plugins              Display information about installed plugins

Choice of server plugins for obtaining and installing cert:

  (the apache plugin is not installed)
  --standalone      Run a standalone webserver for authentication
  (nginx support is experimental, buggy, and not installed by default)
  --webroot         Place files in a server's webroot folder for authentication

OR use different plugins to obtain (authenticate) the cert and then install it:

  --authenticator standalone --installer apache

More detailed help:

  -h, --help [topic]    print this message, or detailed help on a topic;
                        the available topics are:

   all, automation, paths, security, testing, or any of the subcommands or
   plugins (certonly, install, nginx, apache, standalone, webroot, etc)
example :
./letsencrypt certonly -t --webroot -w /share/Web/example -d http://www.example.com

script example with Qapache ( here on legacy MD0_DATA, need to be adapted for HAL with CACHEDEV1_DATA )

/etc is not persistent on QNAP systems. Therefore, you need to change the letsencrypt config-dir to MD0_Data with the --config-dir parameter. My script looks like this:

Code : Tout sélectionner

#!/bin/sh

export PATH=/opt/LetsEncrypt/bin:$PATH
letsencrypt certonly --rsa-key-size 4096 --renew-by-default --webroot --webroot-path "/share/MD0_DATA/htdocs" -d domain.com,www.domain.com -t --agree-tos --config-dir "/share/MD0_DATA/letsencrypt"
/share/MD0_DATA/.qpkg/Qapache/Qapache.sh restart
Then, your certificates will be located in /share/MD0_DATA/letsencrypt, which is persistent after a restart.

http://wiki.qnap.com/wiki/Add_items_to_crontab shows how to add a cronjob to the QNAP crontab. My script mentioned above runs on my QNAP every month:

Code : Tout sélectionner

0 3 1 * * /share/MD0_DATA/custom_scripts/letsencrypt_cron.sh
With this QPKG, letsencrypt can run completely automated.
In addition, Apache 2.4 supports OCSP stapling which is very useful. The build-in QNAP Apache has version 2.2. If you use letsencrypt-certificates on your QNAP, you should configure your SSL-Settings to get an A+-Rating on SSLLabs (https://www.ssllabs.com/ssltest/). Here you find how to securely configure your Apache: https://raymii.org/s/tutorials/Strong_S ... ache2.html
Modifié en dernier par QoolBox le 20 juin 2017 20:51, modifié 1 fois.

giopas
Maître Jedi
Messages : 942
Enregistré le : 20 avril 2015
Professionnel : Non
Localisation : EU

Re: [ LetsEncrypt ] [ 0.5 ] Free SSL/TLS Certificates

Message par giopas » 09 mai 2016 12:26

Merci Stéphane!

This is really good. When my 1 year free SSL certificate with gandi.net will expire I will have a look at how to use it as a new certificate of my NAS!!

giopas
Qnap TS-253Pro 16Gb RAM - Single Storage Pool: 2 wred 4TB (RAID 1)
Qnap TS-453A 16Gb RAM - Single Storage Pool: 4 wred 4TB (RAID 5)

Avatar du membre
QoolBox
Représentant de QNAP
Messages : 6601
Enregistré le : 02 janvier 2014
Professionnel : Oui
Localisation : France
Contact :

Re: [ LetsEncrypt ] [ 0.5 ] Free SSL/TLS Certificates

Message par QoolBox » 09 mai 2016 17:03

de nada ;)

giopas
Maître Jedi
Messages : 942
Enregistré le : 20 avril 2015
Professionnel : Non
Localisation : EU

Re: [ LetsEncrypt ] [ 0.5 ] Free SSL/TLS Certificates

Message par giopas » 09 mai 2016 17:27

Il serait bien qu'il soit intégré par QNAP directement (je sais que cela pourrait nuire son certificate business)...
Qnap TS-253Pro 16Gb RAM - Single Storage Pool: 2 wred 4TB (RAID 1)
Qnap TS-453A 16Gb RAM - Single Storage Pool: 4 wred 4TB (RAID 5)

Avatar du membre
QoolBox
Représentant de QNAP
Messages : 6601
Enregistré le : 02 janvier 2014
Professionnel : Oui
Localisation : France
Contact :

Re: [ LetsEncrypt ] [ 0.5 ] Free SSL/TLS Certificates

Message par QoolBox » 09 mai 2016 18:36

C est dans la todo list ;)

CHAP
Apprenti
Messages : 58
Enregistré le : 07 mars 2016
Professionnel : Non
Localisation : Loiret France

Re: [ LetsEncrypt ] [ 0.5 ] Free SSL/TLS Certificates

Message par CHAP » 10 mai 2016 14:21

Bonjour,

Les possesseurs de NAS ARM sont encore oubliés ; j'ai remarqué que peut d'applications sont portées pour les processeurs ARM , pourquoi ?

JCCHAP
TS-221 / QTS 4.3.3
TS-251A /QTS 4.3.5

Avatar du membre
QoolBox
Représentant de QNAP
Messages : 6601
Enregistré le : 02 janvier 2014
Professionnel : Oui
Localisation : France
Contact :

Re: [ LetsEncrypt ] [ 0.5 ] Free SSL/TLS Certificates

Message par QoolBox » 10 mai 2016 18:55

CHAP a écrit :Bonjour,

Les possesseurs de NAS ARM sont encore oubliés ; j'ai remarqué que peut d'applications sont portées pour les processeurs ARM , pourquoi ?

JCCHAP
pour répondre à ta question.. les ARM en générale c'est un peu galère à cross compiler selon les applications.. quand c'est du C /C++ no problem.. bien que quelques fois à cause de la versio nde glbic des ARMV5 c'est des fois trés compliqués et demande un nombre de patch impressionant sans être sur du resultat.. pour les ARMV7 (series x31 et x31+) c'est déjà un peu plus simple, mais dés fois necessite un environnement ARM pour pouvoir lancer certains interpréteurs.. donc solution reste le chroot d'une distri avec glibc equivalent sur le NAS lui même et compilé directement sur le NAS...

mais la ca prends un siècle au regard de la puissance du processeur, et la faible quantité de mémoire

Toxic
Padawan
Messages : 91
Enregistré le : 21 février 2015

Re: [ LetsEncrypt ] [ 0.5 ] Free SSL/TLS Certificates

Message par Toxic » 21 déc. 2016 22:55

Stephane, is there a 64bit version for QTS 4.3.2 ?
Regards Simon

TVS-463-16G - 4.3.5.0760 - TS-453BT3 4.3.5.0760 - TS-121 - 4.3.3.0724
Network: VM Hub3 (200/10) - Sophos XG 17.5 Beta2 - UCK - UniFi AP AC Pro / AC Lite - TL-SG1016DE - Cisco SLM2008

Avatar du membre
QoolBox
Représentant de QNAP
Messages : 6601
Enregistré le : 02 janvier 2014
Professionnel : Oui
Localisation : France
Contact :

Re: [ LetsEncrypt ] [ 0.5 ] Free SSL/TLS Certificates

Message par QoolBox » 21 déc. 2016 22:56

Useless in 4.3.2 it is embedded by default

metalx
Messages : 2
Enregistré le : 31 décembre 2016

Re: [ LetsEncrypt ] [ 0.5 ] Free SSL/TLS Certificates

Message par metalx » 02 janv. 2017 14:41

Bonjour,
J'ai crée un certificat avec letsencrypt avec la commande suivante :
./letsencrypt certonly --standalone --rsa-key-size 4096 -d mydomain.com -t --agree-tos --config-dir /share/CACHEDEV1_DATA/.qpkg/LetsEncrypt/ssl/certs/
Cette commande me demande d'arrêter les processus tournant sur le port 80 et 443.

J'ai du stopper les deux processus suivants : ./thttpd.sh stop et ./Qthttpd.sh stop. Par contre, j'ai toujours le processus apache_proxy qui tourne. J'arrive bien à l'arrêter avec la commande suivant: /usr/local/apache/bin/apache -k graceful-stop -f /etc/apache-sys-proxy-ssl.conf mais il revient à chaque fois.

Je voudrais automatiser la generation du certificat tous les 3 mois. Savez vous comment on stop le processus apache_proxy définitivement ?

Cordialement,
Hervé

Répondre

Retourner vers « Applications tierces »

Qui est en ligne

Utilisateurs parcourant ce forum : Bing [Bot], Google [Bot] et 6 invités