jjacques68 Posté(e) le 23 octobre 2019 Signaler Partager Posté(e) le 23 octobre 2019 (modifié) Hello tout le monde, Le sujet que je vais aborder n’a rien à voir avec la domotique, enfin pas directement... Je me suis mis à utiliser WebDev afin faire des site intra/extranet... enfin c’est plutôt des applications qui passent par un serveur HTTP (IIS de windows en l’occurrence). N’ayant pas de domaine, j’utilise mon IP public via un dyndns, avec un port spécifique. Tout fonctionne très bien pour le moment, mais de l’extérieur, niveau sécurité, c’est moyen. J’ai bien une demande d’authentification qui se fait par le serveur HTTP, mais rien est sécurisé. Je pense alors à mettre en place un certificat SSL sur le serveur afin de pouvoir avoir le fameux « S » du HTTP. Et là, il y a à boire et a manger... J’ai plus ou moins compris le principe (création de la demande sur IIS, demande d’un certificat à un organisme, envoi de la clé émise par le serveur, étapes de validation....) Les prix varient du simple au ... pas de limites.... Le type de certificat aussi OV, DV, EV (visiblement dans mon cas, ce serait un OV) Est ce que je procède de la bonne manière où y-t-il un autre moyen plus sûr de sécuriser une connexion http. pour un particulier ? Modifié le 23 octobre 2019 par jjacques68 Lien vers le commentaire Partager sur d’autres sites More sharing options...
mprinfo Posté(e) le 23 octobre 2019 Signaler Partager Posté(e) le 23 octobre 2019 Utilisé lets encrypt c'est gratuit et le renouvellement est tout les 3 mois tu peux utilisé un script pour renouveler cela automatiquement sous Linux j'utilise cerbotEnvoyé de mon BLA-L29 en utilisant Tapatalk Lien vers le commentaire Partager sur d’autres sites More sharing options...
jjacques68 Posté(e) le 24 octobre 2019 Auteur Signaler Partager Posté(e) le 24 octobre 2019 je connais pas... vais voir... en attendant j’utilise un certificat auto signé... ça vaut ce que ça vaut... Lien vers le commentaire Partager sur d’autres sites More sharing options...
jojo Posté(e) le 24 octobre 2019 Signaler Partager Posté(e) le 24 octobre 2019 J'utilise aussi SSL for free sur mon nas/de Ian via HAProxy. Attention pour le renouvellement automatique, il faudrait ouvrir le port 80. Un nom de domaine, c'est moins de 10€/an Lien vers le commentaire Partager sur d’autres sites More sharing options...
mprinfo Posté(e) le 24 octobre 2019 Signaler Partager Posté(e) le 24 octobre 2019 Comme@jojo j'utilise haproxy en reverse proxy dans une vm debian cela fonctionne très bien depuis plus d'un an j'ai un nom de domaine chez ovh pour 7 euros. Le plus chiant c'est la configuration de haproxy une fois cela fait ça roule il faut faire une redirection des ports 80 et 443Envoyé de mon BLA-L29 en utilisant Tapatalk Lien vers le commentaire Partager sur d’autres sites More sharing options...
jojo Posté(e) le 24 octobre 2019 Signaler Partager Posté(e) le 24 octobre 2019 je n'ai pas fait la redirection du port 80, pour des raisons de sécurité. Avec HAProxy, si tu veux, il esgt "facile" de transformer tout le trafic http en https Lien vers le commentaire Partager sur d’autres sites More sharing options...
jjacques68 Posté(e) le 24 octobre 2019 Auteur Signaler Partager Posté(e) le 24 octobre 2019 Ben voila ... comme tu dis un nom de domaine n’est pas si cher...Après quelle type de certificat me faudra-t-il ?Envoyé de mon iPhone en utilisant Tapatalk Pro Lien vers le commentaire Partager sur d’autres sites More sharing options...
jojo Posté(e) le 24 octobre 2019 Signaler Partager Posté(e) le 24 octobre 2019 voici ma doc : https://www.nas-forum.com/forum/topic/59433-tuto-certificat-tlsssl-lets-encrypt-wildcard/ Certificat TLS/SSL - Let's Encrypt "Wildcard" Au départ du site https://www.sslforfree.com Lien vers le commentaire Partager sur d’autres sites More sharing options...
jjacques68 Posté(e) le 25 octobre 2019 Auteur Signaler Partager Posté(e) le 25 octobre 2019 @jojo, j’ai lu tes liens. Je veux bien créer un nom de domaine, mais je ne souhaite pas être dépendant d’un hébergeur genre OVH ou 1&1... du coup je suis un peu perdu... (je découvre ce milieu...) Si je créé un nom de domaine, comment je fais le lien entre le nom de domaine et mon l’IP de mon serveur ? Cela se passe à quel endroit ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Nico Posté(e) le 25 octobre 2019 Signaler Partager Posté(e) le 25 octobre 2019 Tu créer ça chez OVH, mais tu n'es pas dépendant d'eux du tout, ils n’hébergent rien, ils servent juste à gérer ton nom de domaine. J'ai ça chez OVH depuis des années, aucun souci. Ensuite tu as accès sur leur site à une page de paramétrage ou tu gères tout, tes rediections, ip fixe, dyndns si dynamique etc etc. 1 Lien vers le commentaire Partager sur d’autres sites More sharing options...
jojo Posté(e) le 25 octobre 2019 Signaler Partager Posté(e) le 25 octobre 2019 donc ils ne sont là que pour propager ton nom de domaine sur les serveurs DNS (les même qui hébergent www.ggogle.com, ...) Pour ton adresse publique externe (qui doit évidemment être connue pour faire le lien avec ton nom de domaine),ils ont un service DDNS qui peut être mis à jour automatiquement par ton NAS ou Routeur. Regarde ce lien : https://www.nas-forum.com/forum/topic/62627-tuto-pourquoi-et-comment-utiliser-un-nom-de-domaine/ Lien vers le commentaire Partager sur d’autres sites More sharing options...
jjacques68 Posté(e) le 30 octobre 2019 Auteur Signaler Partager Posté(e) le 30 octobre 2019 ah ben voilà, merci les gars, je comprends mieux maintenant ! bon ben je vais m’occuper de ça ! merci ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
jojo Posté(e) le 30 octobre 2019 Signaler Partager Posté(e) le 30 octobre 2019 Bon amusement Lien vers le commentaire Partager sur d’autres sites More sharing options...
Nico Posté(e) le 30 octobre 2019 Signaler Partager Posté(e) le 30 octobre 2019 Yes, good fun Lien vers le commentaire Partager sur d’autres sites More sharing options...
jjacques68 Posté(e) le 30 octobre 2019 Auteur Signaler Partager Posté(e) le 30 octobre 2019 YES ça marche !! Suis en ip fixe en fait, donc ça simplifie... J’ai quand même essayé de passer par mon compte dyndns pour faire le lien, mais j’ai pas trouvé... J’ai pas eu besoin de passer par le NAS. J’ai ajouter une entrée type À avec mon IP public dans la zone DNS. J’ai aussi supprimé toutes les autres entrées par défauts dans Zone DNS... J’ai juste redirigé le HTTPS vers l’ip du serveur IIS sur le port 443 sur mon routeur. Etrange cependant, si je mets es www dans l’adresse ça marche pas, je tombe systématiquement sur la page de connexion de OVH... Maintenant l’étape suivant serait d’avoir un “vrai“ certificat SSL. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Nico Posté(e) le 31 octobre 2019 Signaler Partager Posté(e) le 31 octobre 2019 Un vrai à long terme pro, c'est payant, pas le choix. Et c'est pas donné. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lazer Posté(e) le 31 octobre 2019 Signaler Partager Posté(e) le 31 octobre 2019 Un certificat Let's Encrypt, c'est tout ce qu'il y a de plus vrai, et c'est gratuit. Pas besoin de dépenser de l'argent inutilement, il est loin le temps où les autorités de certifications étaient réservées à quelques élites qui les facturaient fort cher. La seule limitation, si je puis dire, c'est que le certificat a une durée de vie très courte de 3 mois seulement. Mais ça n'est pas un souci, avec le bon script certbot il est renouvelé automatiquement à chaque fois. Je crois même que les Synology savent s'en charger tout seuls. Aujourd'hui tu as juste besoin de payer le nom de domaine, ce qui coute une poignée d'euros chaque année. Rien de bien méchant. Chez OVH, Gandi, etc... EDIT : je radote, je viens de voir que @mprinfo avait déjà précisé tout cela au début du topic. 1 Lien vers le commentaire Partager sur d’autres sites More sharing options...
jjacques68 Posté(e) le 31 octobre 2019 Auteur Signaler Partager Posté(e) le 31 octobre 2019 Pour le certificat, j’en avais vu à 35 € chez GlobalSign... bien-sur à l’’année... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lazer Posté(e) le 31 octobre 2019 Signaler Partager Posté(e) le 31 octobre 2019 Let's Encrypt on te dit Lien vers le commentaire Partager sur d’autres sites More sharing options...
jjacques68 Posté(e) le 31 octobre 2019 Auteur Signaler Partager Posté(e) le 31 octobre 2019 Ouiiii promis ! je vais regarder ! D’abord faut que je regarde si, comme tu le penses, le syno gère ça tout seul...Parce que ajouter encore un script... ... bofÇa commence sérieusement à devenir compliquer nos installations...Mais c’est super intéressant !Envoyé de mon iPhone en utilisant Tapatalk Pro Lien vers le commentaire Partager sur d’autres sites More sharing options...
jjacques68 Posté(e) le 31 octobre 2019 Auteur Signaler Partager Posté(e) le 31 octobre 2019 Et quelqu’un s’y connaît avec IIS ?Parce que niveau authentification sur les pages, je passe par une authentification Windows de base avec un user déclaré.Ça marche très bien, mais ces c... de navigateurs mémorisent les mots de passe !Et je voudrait forcer dans IIS l’obligation après un timeout de se re-identifier...Si je peux pas le faire avec IIS, va falloir le gérer avec Webdev... faisable mais pfffff. D’après la doc, il faut jouer avec les paramètres ASP.net du serveur web, ce que je fais, mais sans succès...Merci à vous !Envoyé de mon iPhone en utilisant Tapatalk Pro Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lazer Posté(e) le 31 octobre 2019 Signaler Partager Posté(e) le 31 octobre 2019 IIS sur Internet, t'es pas fou toi ? Même Microsoft ne le fait pas. IIS c'est tout juste bon pour les applications propriétaires codées pour un usage en Intranet. Sur le Web, il faut utiliser Apache, Ngynx, LightHTTP, etc Lien vers le commentaire Partager sur d’autres sites More sharing options...
jjacques68 Posté(e) le 31 octobre 2019 Auteur Signaler Partager Posté(e) le 31 octobre 2019 ok... ça, c’est dit... comme ça c’est clair...Bon ben c’est reparti pour des heures de lectures Envoyé de mon iPhone en utilisant Tapatalk Pro Lien vers le commentaire Partager sur d’autres sites More sharing options...
jjacques68 Posté(e) le 31 octobre 2019 Auteur Signaler Partager Posté(e) le 31 octobre 2019 A la base c’était pour de l’intranet, mais j’ai vite voulu passé à l’extranet...Envoyé de mon iPhone en utilisant Tapatalk Pro Lien vers le commentaire Partager sur d’autres sites More sharing options...
jojo Posté(e) le 1 novembre 2019 Signaler Partager Posté(e) le 1 novembre 2019 Le 31/10/2019 à 19:11, Lazer a dit : Let's Encrypt on te dit https://www.nas-forum.com/forum/topic/59433-tuto-certificat-tlsssl-lets-encrypt-wildcard/ Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés