[Résolu] Certificat SSL

[nanette234]

Bonjour à tous,

 

J'espère me trouver dans la bonne partie du forum, sinon Pardon d'avance aux Admins...

 

Je suis en stage informatique dans société commerciale et mon employeur souhaiterai mettre en place une adresse sécurisée.

 

Avant souscrire à une offre d'autorité de certification, je souhaite prendre conseil auprès de vous.

 

La société possède un nom de domaine xxx.com avec un site web hébergé chez OVH.

 

Il y a un sous-domaine https://truc.xxx.com qui est redirigé vers le nas (Qnap TS 119 PII) de l'entreprise. Et c'est uniquement cette adresse qu'il faudrait certifiée. J'ai d'ailleurs fait en sorte a ce que l'adresse ne soit plus qu'accessible en https.

 

J'ai préparer un fichier .csr et .key mais je m’interroge sur l'adresse a spécifier dans ce fameux fichier .csr

 

Dois-je mettre :

xxx.com (nom de domaine)

truc.xxx.com (sous-domaine)

ou l'adresse ip statique du nas xxx.xxx.xxx.xxx ?

 

Je suis un peu paumée là, j'ai beau chercher partout sur le net, ça fait plus d'un semaine que je suis sur le cas et je ne trouve rien de probant. J'ai même souscrit une offre gratuite chez Start***, mais le certificat délivré ne contient pas la bonne adresse (le Wizard Certificate me proposait le bon nom de domaine, et à la question : Entrez le nom de votre sous-domaine, il n'a jamais voulu prendre truc.xxx.com en me disant que celui-ci était déjà existant. Maintenant que le certificat est édité, je ne peux ni le révoquer ni le modifier car cela coûte 24$.

Bref, pour ne pas recommencer une telle boulette, je veux être certaine de ce que je fais.

 

Merci de votre patience, et de votre aide!!

[nanette234]

Bonjour Christophe et Merci,

 

En réalité après vérification la redirection n'est plus en place (c'est une option offerte par ovh), cependant je ne suis pas assez experte pour vous dire de quel type de redirection il s'agit ici.

 

En fait, la première fois que j'ai eu accès à OVH, le sous domaine truc.xxx.com n'existait pas, seuls une redirection pointant sur le nas de l'entreprise avec cette fameuse adresse truc.xxx.com et un hôte de type A truc.xxx.com dans la zone DNS avec l'adresse de l'hébergement OVH était présents.

J'ai donc supprimé ces 2 enregistrements et mis en place le sous domaine du même nom.

J'ai ensuite créer un Champ Dynhost (en décochant l'option dynamique) et entré l'adresse du nas dans la destination.

 

Et pour le moment cela à l'air de fonctionner.

 

Je vais discuter avec mon employeur des informations que vous m'avez fournies pour éventuellement souscrire à une offre auprès de vous.

 

Merci encore!

 

Et quand cette fameuse adresse sera passée au vert je ne manquerais pas d’éditer mon post en "Résolu" et d'indiquer la procédure utilisée.

[Tonton]

Bonjour nanette234,

 

J'ai supprimé les messages de ChristopheW, car les solutions qu'il proposait sont payantes, ce qui est contraire à la Charte qui régit ce forum.

 

Tu trouveras, de toute évidence, sur Zébulon, des solutions qui te seront fournies gratuitement, conformément à l'esprit du forum.

 

Bonne continuation,

Tonton

[nanette234]

Bonjour Tonton,

 

Je comprends complètement et je suis tout à fait d'accord avec cet esprit que tu décris là.

D'ailleurs ces solutions ne m'ont pas aidées.

 

Le certificat (essai gratuit) auquel j'ai souscrit ne fonctionne pas.

Je ne sais plus comment m'y prendre, je crois qu'il va falloir que je reprenne de zéro.

 

Si toutefois quelqu'un avait une idée : J'ai rempli le certificat avec l'adresse du sous-domaine, télécharger sur le NAS la clé et le certificat d'autorité gratuit mais les accès sont maintenant refusés en HTTPS. Je ne comprends pas mon erreur.

 

Merci

[marc2006]

Hello =)

 

Ton domaine truc.xxx.com existe-t-il ? (dans les DNS d'OVH ou les tiens je ne sais pas lesquels tu utilises)

 

Si je vais sur truc.xxx.com, en https, il va résoudre l'IP etc... et me rediriger vers quelle adresse exactement ? Je veux dire quelle adresse apparait dans le navigateur ? Ton NAS est accessible de l'extérieur ?

[nanette234]

Bonjour marc2006,

 

Et Merci!

 

Alors il n'y a pas de DNS perso, ce sont ceux d'OVH qui sont utilisés, il est inscrit (le sous-domaine) en tant qu'hôte A dans la zone DNS d'OVH et l'adresse IP (statique) est celle de la boîte ou je bosse, donc du NAS qui en temps ordinaire est accessible avec http:xxx:xxx:xxx:xxx:8080.

Et là j'ai un double problème, en fait :

D'une j'ai mis en place le certificat (Geotrust free) via l'interface du NAS, l'adresse https://truc.xxx.com n'est donc plus accessible.

Et de deux, j'ai eu la malencontreuse idée de cocher une option "forcer la connexion sécurisée" et je n'ai plus accès à l'interface administrative web par quelconque adresse auparavant disponible (ni en locale). Je ne peux donc pas retirer ce certificat pour remettre celui par défaut.

 

J'ai accès par putty en SSH et/ou WINscp mais je ne sais pas comment remettre le certificat et la clé d'origine manuellement.

 

Merci d'avoir répondu, j’espère que tu pourra m'aider!

[nanette234]

Re,

 

Bon j'ai résolu mon premier problème...

Grâce à WinSCP : J'ai modifié le fichier uLinux.conf dans mnt/FDA_ROOT/.config

 

Force SSL de 1 à 0.

 

J'ai dons accès maintenant à l'interface administration Web et je peux remettre l'ancien certificat.

 

Mais reste mon ultime problème de certificat d'autorité le problème viendrait-il d'OVH?

[marc2006]

Re

 

Si tu veux, tu peux me filer les adresses par MP pour que j'essaie ... Dans le certificat, tu dois mettre les adresses tapées dans le navigateur sinon y a erreur ! Vous allez acheter un certificat, est-ce que vous payez au nombre d'adresses ou pouvez-vous faire *.xxx.com ?

[nanette234]

Re,

 

J'ai renouveler plusieurs fois la création du certificat pour être certaine de ne pas me tromper. De plus Geotrust fait une sorte de test pour voir si l'adresse existe bel et bien et ils ont accepté ma requête, signe d'après moi que mon certificat est remplit en bon et dû forme.

Concernant le certificat que nous comptons payer, je ne sais pas duquel il s'agit mais je pense qu'il prend en charge le sous-domaine et l'ensemble des pages en découlant

ex: truc.xxx.com/cgi-bin/html.etc...

Enfin j'éspère..

[marc2006]

Ok je viens de tester tes liens ...

 

Le certificat a été installé où ? Car là j'ai pas de certificat pour le serveur ... j'ai un certificat racine auto signé par le serveur NAS mais c'est pas ca que je veux ^^

 

quand tu tapes xxx.truc.com, l'IP résolue est directement celle du NAS enfin celle de ta boite, donc tu attéris directement sur le NAS exact ? Il faut mettre le certificat sur le NAS, là il l'est pas, en tout cas le certificat est vide lol Donc le certificat de geotrust qui contient un enregistrement DNS truc.xxx.com tu le mets au niveau du NAS à la place de celui que le NAS utilise par défaut

 

PS : un certificat protège une adresse, ce qu'il y a à droite n'a pas d'importance. En gros, xxx.com et truc.xxx.com sont 2 choses différentes d'un point de vue certificat ! sauf si ces adresses sont incluses dans le certificat ou un *.xxx.com est mis

Modifié le 27 mai 2013 par marc2006