Accès externe sécurisé

[bertrand]

La seconde règle n'a pas d'intérêt et est même limite car tu ouvres ton port 80 au net.
443 vers 443 c'est suffisant.

80 vers 80 uniquement quand tu crées ou renouvelles un certif et ce pour lets encrypt pour les autres je sais pas !!
Bien penser à ouvrir le 80 puis le refermer après création/renouvellement.

[Romesl]

Ok @bertrand,

Merci pour ces informations, une autre question. J'ai suivi le tuto de domo-blog suivant où il propose de renouveler automatiquement le certificat SSL https://www.domo-blog.fr/securiser-jeed ... http-01/3/
avec cette commande :

Vous pouvez également utiliser la ligne suivante dans votre crontab afin de demander un renouvellement tout les 89 jours, soit la veille de l’expiration de votre certificat. (Merci à Max pour cette astuce)

0 1 * * * bash -c ‘[ $(expr $(date +\%s) / 86400 \% 89) == 30 ] && /usr/local/sbin/certbot-auto renew >> /home/pi/ssl-renew.log 2>&1’

Est-il nécessaire d'avoir son port 80 ouvert pour que ce renouvellement fonctionne ?
Merci

[bertrand]

Salut

Chez moi oui !
Essaye sans ouvrir le port 80 et regardes si tu as une erreur

Donc pas facile à automatiser
Un petit warning tous les 80 jours !

Peut être quelqu'un de plus compétent a une solution ?

[poluket]

Ne met pas de redirection pour le port 80. Cela ne sert a rien

[Romesl]

Bonjour,

Voilà que 90 jours ont passés et l'expiration de mon certificat est arrivé !!!
Malheureusement, la méthode du tuto de domo-blog n'a pas fonctionné :

Vous pouvez également utiliser la ligne suivante dans votre crontab afin de demander un renouvellement tout les 89 jours, soit la veille de l’expiration de votre certificat. (Merci à Max pour cette astuce)

0 1 * * * bash -c ‘[ $(expr $(date +\%s) / 86400 \% 89) == 30 ] && /usr/local/sbin/certbot-auto renew >> /home/pi/ssl-renew.log 2>&1’

Pouvez-vous m'indiquer comment remettre en place le certificat ?
Je n'arrive pas a révoquer l'ancien certificat et les 3 commandes suivantes ne fonctionnent pas :

rm /etc/letsencrypt/live/domaine -r
rm /etc/letsencrypt/renewal/domaine.conf
rm /etc/letsencrypt/archive/domaine -r

Merci de votre aide

[nicosoft]

J'ai eu le même problème hier
lancer /etc/certbot-auto a été salvateur mais j'aurais à nouveau le problème dans 90 jours.

Quand j'édite /etc/crontab j'ai

Code : Tout sélectionner

# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# m h dom mon dow user  command
17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly
25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6    * * 7   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6    1 * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )


0 1 30 * * /etc/certbot-auto renew  >> /var/log/ssl-renew.log
0 1 * * * bash -c ‘[ $(expr $(date +\%s) / 86400 \% 89) == 30 ] && /usr/local/sb
in/certbot-auto renew >> /var/log/ssl-renew.log 2>&1’

Je n'ai surement pas mis mes lignes de cron au bon endroit mais n'étant pas un habitué de Linux, je sèche un peu....

[Alex25]

Idem pour moi il y'a 3 semaines.

Certificat non renouvelé automatiquement, expiré, j'ai réussi à en créer un nouveau en suivant le tuto (sans la partie révocation).

J'ai vérifié et comme vous la ligne est bien sans fautes dans le crontab, mais ça ne fonctionne pas. Aucun renouvellement au 30 de chaque mois.

Si quelqu'un chez qui ça marche peut nous éclairer ? La commande est-elle fausse ? Mal placée ?

[Romesl]

Re,

J'ai tenté un /etc/certbot-auto, mais il m'affiche une erreur :


Certbot has problem setting up the virtual environment.

We were not be able to guess the right solution from your pip output.

Consult https://certbot.eff.org/docs/install.ht ... nvironment for possible solutions.
You may also find some support resources at https://certbot.eff.org/support/ .
$ Certbot has problem setting up the virtual environment.

We were not be able to guess the right solution from your pip
output.

Consult https://certbot.eff.org/docs/install.ht ... nvironment
for possible solutions.
You may also find some support resources at https://certbot.eff.org/support/ .

Une idée ?

[Romesl]

Re,

Impossible de remettre en place un certificat !!!
1er problème, lorsque je lance la commande :
"sudo /etc/init.d/apache2 restart", voici ce qu'il m'affiche :
[....] Restarting apache2 (via systemctl): apache2.serviceWarning: apache2.service changed on disk. Run 'systemctl daemon-reload' to reload units.
. ok

Cela a t'il une incidence sur la suite ?

[Networks514]

Re,

J'ai tenté un /etc/certbot-auto, mais il m'affiche une erreur :


Certbot has problem setting up the virtual environment.

We were not be able to guess the right solution from your pip output.

Consult https://certbot.eff.org/docs/install.ht ... nvironment for possible solutions.
You may also find some support resources at https://certbot.eff.org/support/ .
$ Certbot has problem setting up the virtual environment.

We were not be able to guess the right solution from your pip
output.

Consult https://certbot.eff.org/docs/install.ht ... nvironment
for possible solutions.
You may also find some support resources at https://certbot.eff.org/support/ .

Une idée ?

Cherche le message d’erreur qui est affiché : Certbot has problem setting up the virtual environment
Plusieurs fois évoqué sur le forum avec la solution

[Éros]

Bonjour à tous,

J'ai pratiquement le même souci qu'Alex25.

En local, aucun problème pour accéder à Jeedom.
En http, j'ai accès depuis l'extérieur (4G)
En https, aucun accès depuis l'extérieur (4G).

J'utilise un sous-domaine fourni par Synology, à savoir, jeedom.XYZ.synology.me avec un certificat Let's Encrypt.

L'ip du synology : 192.168.1.77

Dans la box :
-Je redirige le port 80 vers le port 9080 pour le http, jusque là, c'est ok

-Je redirige le port 443 vers le port 9081 pour le https, et là, problème, j'ai du louper quelque chose

J'ai testé le NDD via ssllabs.com, avec https://jeedom.XYZ.synology.me

Merci d'avoir prit le temps de me lire

Screenshot_20190613-173212.png (48.27 Kio) Consulté 1484 fois

Capture4.PNG (91.98 Kio) Consulté 1484 fois

[Networks514]

Bonjour à tous,

J'ai pratiquement le même souci qu'Alex25.

En local, aucun problème pour accéder à Jeedom.
En http, j'ai accès depuis l'extérieur (4G)
En https, aucun accès depuis l'extérieur (4G).

J'utilise un sous-domaine fourni par Synology, à savoir, jeedom.XYZ.synology.me avec un certificat Let's Encrypt.

L'ip du synology : 192.168.1.77

Dans la box :
-Je redirige le port 80 vers le port 9080 pour le http, jusque là, c'est ok

-Je redirige le port 443 vers le port 9081 pour le https, et là, problème, j'ai du louper quelque chose

J'ai testé le NDD via ssllabs.com, avec https://jeedom.XYZ.synology.me

Merci d'avoir prit le temps de me lire

Screenshot_20190613-173212.png

Capture4.PNG

J’ai essayé de relire plusieurs fois, qq chose m'échappe.
Jeedom tourne sur ton syno ou autre chose (pi3, smart etc.) ?
Le certificat, tu l’as créé sur ton syno ou bien sur jeedom en ssh ?
Pour la redirection, par défaut, jeedom écoutera sur le port 443, je ne comprends pas ta redirection :
Soit de l'extérieur , tu mets https://jeedom.xyz.synology.me et là faut rédiger le port 443 vers le port 443 et l’ip de jeedom
Soit de l'extérieur , tu mets https://jeedom.xyz.synology.me:8091 et là faut rédiger le port 8091 vers le port 443 et l’ip de jeedom
Soit de l'extérieur , tu mets https://jeedom.xyz.synology.me:8091 et là faut rédiger le port 8091 vers le port 8091 et l’ip de jeedom et avoir modifier ta conf ssl.

Conseil, si tu veux utiliser un port autre que le 443, utilises le port 8443 qui est le seul (en plus du 443) compatible avec l’application telegram

Après tu rediriges peut être tout vers ton syno, mais là faut utiliser un reverse proxy.
Bref , donnes plus d’infos pour qu’on puisse t’apporter nos modestes lumières

[Éros]

Bonsoir Networks514, merci d'avoir prit le temps de me répondre , effectivement je m'aperçois que j'ai omis certaines informations, quand on fait plusieurs choses en même temps, c'est pas la meilleure façon de faire...

Jeedom tourne sur ton syno ou autre chose (pi3, smart etc.) ?

Jeedom tourne sur Docker, installé sur un nas Synology (DS1815+ avec 12gb de ram)

Le certificat, tu l’as créé sur ton syno ou bien sur jeedom en ssh ?

Le certificat a été créé via le syno directement

Soit de l'extérieur , tu mets https://jeedom.xyz.synology.me et là faut rédiger le port 443 vers le port 443 et l’ip de jeedom

J'ai testé, mais ça n'a pas fonctionné

Soit de l'extérieur , tu mets https://jeedom.xyz.synology.me:8091 et là faut rédiger le port 8091 vers le port 443 et l’ip de jeedom

J'ai également testé, mais ça n'a pas fonctionné non plus

Soit de l'extérieur , tu mets https://jeedom.xyz.synology.me:8091 et là faut rédiger le port 8091 vers le port 8091 et l’ip de jeedom et avoir modifier ta conf ssl.

Pas essayé

Conseil, si tu veux utiliser un port autre que le 443, utilises le port 8443 qui est le seul (en plus du 443) compatible avec l’application telegram

Je n'utilise pas cette application. Je ne veux pas spécialement changer de port, c'était surtout pour tester

Après tu rediriges peut être tout vers ton syno, mais là faut utiliser un reverse proxy.

J'ai essayé aussi, mais j'ai aussi un problème

J'avoue que les règles des ports, des reverses proxys, etc, je m'y perds un peu...

(J'ai suivi ce tuto : http://sarakha63-domotique.fr/reverse-p ... ology-ssl/)

Capture.PNG (43.91 Kio) Consulté 1465 fois

[Networks514]

Tu indiques avoir configuré le reverse proxy et utiliser le certificat du syno.
Ton reverse proxy est configuré pour renvoyer vers l’ip du syno et le port du syno. As tu essayer de mettre dans le reverse proxy en destination le port 9081 ? (J’imagine celui que tu as configuré sur docker)

Regardes le post viewtopic.php?f=67&t=45558&hilit=Docker#p734078, voir à demander à Didier3L qui tourne avec cette configuration depuis un moment ?

Pour ma part, j’ai abandonné docker car j’avais testé au tout début et avais eu beaucoup de bugs qui sont peut être du passé à ce jour, et ce qui m’ennuyait le plus était qu’a chaque mis à jour de DSM ou de package, ma domotique était peut être impactée.
J’utilise mon syno comme solution de backup avec VMM et mis une image stretch, et je n’ai pas de conf particulière et cela fonctionne très bien.
A+

[Éros]

Ton reverse proxy est configuré pour renvoyer vers l’ip du syno et le port du syno. As tu essayer de mettre dans le reverse proxy en destination le port 9081 ? (J’imagine celui que tu as configuré sur docker)

Non c'est le 9080 sur docker, oui j'ai essayé :/

Regardes le post viewtopic.php?f=67&t=45558&hilit=Docker#p734078, voir à demander à Didier3L qui tourne avec cette configuration depuis un moment ?

C'est le tuto de Didier3L que j'ai suivi justement pour l'installation sur Docker

Pour ma part, j’ai abandonné docker car j’avais testé au tout début et avais eu beaucoup de bugs qui sont peut être du passé à ce jour, et ce qui m’ennuyait le plus était qu’a chaque mis à jour de DSM ou de package, ma domotique était peut être impactée.
J’utilise mon syno comme solution de backup avec VMM et mis une image stretch, et je n’ai pas de conf particulière et cela fonctionne très bien.

J'avais testé sur une machine virtuelle aussi, mais sur Docker ça m'a paru plus simple

[poluket]

Le plus simple. Utilise le reverse proxy de ton n'as et tu pointe sur le 9080 de jeedom
https://www.nas-forum.com/forum/topic/5 ... rse-proxy/

[Éros]

Merci poluket, c'est fait, mais tjs la même erreur qu'au dessus :/

Avec ou sans HSTS

[poluket]

La destination, c'est le port 9080 du nas

[Éros]

Merci poluket,

Oui oui j'avais bien lu, mais même erreur , j'avais juste réutiliser la capture du dessus

Capture.PNG (45.03 Kio) Consulté 1408 fois

[LuluDom]

Re,

J'ai tenté un /etc/certbot-auto, mais il m'affiche une erreur :


Certbot has problem setting up the virtual environment.

We were not be able to guess the right solution from your pip output.

Consult https://certbot.eff.org/docs/install.ht ... nvironment for possible solutions.
You may also find some support resources at https://certbot.eff.org/support/ .
$ Certbot has problem setting up the virtual environment.

We were not be able to guess the right solution from your pip
output.

Consult https://certbot.eff.org/docs/install.ht ... nvironment
for possible solutions.
You may also find some support resources at https://certbot.eff.org/support/ .

Une idée ?

J'ai aussi galéré lors de la recréation de mon certificat il y a quelques semaines. Voici les liens et conseils que j'ai utilisé pour ma part :
viewtopic.php?f=23&t=35339

Dis autrement, regarde déjà où la méthode de certificat que tu as déployé installe certbot-auto et utilise effectivement son chemin depuis la racine dans le commande du crontab pour éviter de lancer le mauvais certbot ou qu'il ne le trouve pas : selon les liens on voit effectivement:
- /opt/lestencrypt
- /etc/
- /usr/local/sbin/

Il semble que mon certificat ne s'est pas mis à jour après plus de 2 mois... alors que la commande préconisée dans le crontab ne marche pas en manuel en dehors du répertoire où est installé le certbot-auto et le crontab correspondant à l'installation du récent certificat... tandis qu'il y a un autre certbot-auto et crontab dans /etc/ vers lesquels malheureusement la commande "whereis" pointe sans que je sache pointer whereis sur ceux de /opt/letsencrypt... qui eux renouvèlent avec succès mon certificat depuis ce répertoire et seulement celui-ci et manuellement !

Bref je ne comprend pas tout... mais en exécutant manuellement la commande suivante (en sudo), qui ajoute de se déplacer dans le bon répertoire, le renouvèlement de certificat fonctionne depuis n'importe quel répertoire !

Code : Tout sélectionner

sudo -i
cd /opt/letsencrypt && /opt/letsencrypt/certbot-auto renew --no-self-upgrade --post-hook "systemctl restart apache2"

Par déduction, je parie que le bon crontab sera :

Code : Tout sélectionner

42 6 * * * cd /opt/letsencrypt && /opt/letsencrypt/certbot-auto renew --no-self-upgrade --post-hook "systemctl restart apache2"

Ne sachant pas quel crontab se lance, j'ai mis la ligne à la fois dans le crontab du répertoire /etc et dans celui du répertoire /opt/letsencrypt/.

Si quelqu'un comprend mieux et peut nettoyer ma configuraiton, je l'en remercie.

Si cette solution a fonctionné pour vous, merci de le signaler en retour SVP.