[TUTORIEL] - Passage de Gladys en HTTPS via Let's Encrypt

tutoriel

#41

Bravo @Maegfea, superbe tutoriel suivi à la lettre sans aucun souci. Maintenant, je peux accéder à Gladys depuis l’extérieur sur mon nom de domaine et surtout valider la connexion grâce au certificat. C’est extra !

J’ai 2 bémols (qui n’ont aucun rapport avec le tutoriel lui même): impossible d’utiliser un port autre que 443 car certbot vérifie l’accès au serveur sur ce port (je me tâte pour modifier le script), et comme j’ai sécurisé l’utilisation de sudo par mot de passe, je ne peux pas automatiser le renouvellement du certificat via cron. Je planche pour remplacer ces mécanismes par un envoi d’email ou une communication de Gladys pour me rappeler de renouveler.

En tout cas, je suis super content d’avoir découvert Let’s Encrypt grâce à toi. Merci :slight_smile:


#42

@p6ril impeccable :slight_smile: merci pour le retour :slight_smile:

Pour la partie sudo etc. Ce que tu pourrais faire c’est de passer en root pour créer ta cron (sudo crontab -e) comme je l’ai fait dans le tuto. Avec ca pas de problème de droit :wink:
Pour l’envoi de mail, tu peux faire comme moi. Je reçois un mail pour chaque tache cron effectuée.
Ainsi lorsqu’un souci apparait je suis prevenu en live.


#43

Bonjour,

Je viens de réaliser le tutoriel. Résultat obtenu :slight_smile:

J’ai une question concernant les ports. J’ai changé après le tutoriel les ports pour plus de sécurité, est ce que le renouvellement automatique va fonctionner ? Ou je dois laisser sur le port 443 ?


#44

Salut,
Tu peux ne pas utiliser le port 443 pour tes connexions à Gladys.
Par contre, tu devras laisser le port redirigé pour que le certificat puisse se renouveler automatiquement :wink:


#45

Ok, mais ça veut dire que je dois laisser 2 entrées !

Ou il y a un autre moyen ?


#46

à toi de voir.
Tu ne laisses pas vraiment 2 entrées (même si ce n’est pas très propre) car il n’y aura pas de “porte” derrière.
Donc soit tu laisses le 443 tout le temps ouvert avec rien derrière.
Soit lorsque tu recevras un mail de leur part te disant que le certificat arrivera bientôt à expiration tu fais la redirection et régénère le certificat (dans ce cas plus besoin de cron).


#47

Tutorial utilisé pour mon cas, fonctionne parfaitement bien
Le mieux c’est de prendre un domaine en .ovh (ça vaut 2 ou 3 euros par an), avec ça, il faut installer “ddclient” sur son raspberry et le configurer de manière à avoir les ip dynamiques, OVH possède un bon système de dyndns, et hop, accès ouvert à l’extérieur en utilisant un nom de domaine en home.mondomaine.ovh :slight_smile:

Merci :slight_smile:


#48

sa marche super merci :wink:


#49

merci pour ce tuto
je me lancerais plus tard dedans


#50

Je suis avec une box 4G Bouygues et à priori (en le faisant dans mes tests pour d’autres box) le port 443 est redirigé vers le 8443 automatiquement.

Ca gêne quelque part ou pas ?

Edit : je viens de m’apercevoir aussi que ma box était accessible depuis l’extérieur avec simplement mon adresse IP… AU SECOURS… (c’est comme ça depuis plus d’un an avec les login/mdp d’origine… :confused: )

Edit 2 : impossible de toucher aux ports de la 4G box… Tout renvoie vers l’adresse IP et vers l’admin tout la box. Je comprend rien… J’ai fait à la barbare, testé différents ports mais rien ne marche. J’ai mis Gladys en DMZ : rien.


#51

Tu as bien mis l’adresse IP de ton Raspberry Pi sur le réseau dans “adresse IP LAN” ? (on sait jamais)

Sinon pour répondre à la question que tu avais posé sur ton post retour sur Gladys, à savoir pourquoi le HTTPS n’est pas activé par défaut dans Gladys et pourquoi ça prend des heures à ce setup :

Tout simplement parce que pour que ça ait un sens de faire du HTTPS, il faut que les clés soit générés chez toi ! Si je pre-génère les clés moi même, tous les utilisateurs Gladys auront les mêmes clés et au final n’importe qui pourra déchiffrer n’importe quel traffic SSL Gladys.
Tu dis que ça prend du temps, et effectivement sur un Raspberry Pi c’est très long ( on y peut rien, c’est pas une bête de course ^^ Et typiquement les clés Diffie-Hellman c’est assez long à générer même sur un serveur puissant )

Certes c’est moins clé en main que n’importe quel service en ligne ( vu que bon quand tu utilise un service hosté en ligne bah c’est eux qui ont générés ces clés ), mais bon c’est la rançon à payer pour avoir de l’open source self-hosté :slight_smile:


#52

Merci pour les explications, certainement que chez les autres les clés générés sont moins secure, je suppose qu’il y a d’autres formats.
L’article était “à chaud” pour respecter la première impression, il y en aura d’autres vu que j’ai testé d’autres box et que je suis revenu sur celle-ci :stuck_out_tongue:


#53

Je pense qu’ils ne génèrent pas de clés Diffie-Hellman, qui sont effectivement le truc le plus long. Je follow les best practices en terme de sécurité là dessus, je pense qu’une petite heure de génération au final c’est pas grand chose pour avoir un truc bien fait :slight_smile:


#54

D’accord avec toi, surtout avec l’ampleur que prend la domotique.


#55

Yep mais rien n’y fait…
Ca commence à me causer du souci pour l’utilisation de modules.

Des idées pour la config ?

Edit :
Est-il possible de créer un certificat valide avec un https://gladys.local ?


#56

J’avoue ne pas savoir comment cela fonctionne sur le réseau 4G de Bouygues, si c’est comme sur téléphone, forte chance que tu sois sur un réseau “interne” à Bouygues donc difficile à contourner.
Pour ta question sur https://gladys.local, impossible, il faut un “domaine internet”, celui que tu nous demandes porte bien son nom, il s’agit d’un domaine dispo seulement en local.


#57

Bon, problème résolu !
Mon DDNS était bien configuré, ma box aussi, c’est juste que ma box depuis mon ip faisait une redirection de mon DDNS sur l’interface admin de la box, à n’y rien comprendre…

J’ai testé en VPN et hop, le nom de domaine et accès depuis l’extérieur à Gladys est nickel. ^^

Si jamais quelqu’un passe dans le coin, il faut fixer l’ip en réseau local de gladys et ensuite créer des serveurs virtuels dans l’interface admin de la box 4G de Bouygues pour renvoyer les ports d’accès extérieur (ce qu’on veut en fait, genre monnnd.com:1234 vers l’ip local de la machine de Gladys avec le port 443 si elle est en https.)

Je suis heureux, je peux enfin surveiller ma maison de puis l’extérieur, je t’aime Gladys ! :love_letter:


#58

hahaha yeees :metal:

Content pour toi que ça marche enfin !


#59

Bonjour,

Tout d’abord, merci pour tous vos tutoriels ils sont simples et surtout mon permis d’installer et configurer facilement Gladys.

J’arrive à accéder depuis l’extérieur à Gladys. C’est normal lors de la première connexion à Gladys en https on reçoive quand même un avertissement pour dire que la connexion n’est pas sécurisée ? ( malgré le certificat via let’s encrypt)

Il y a juste qql chose que je ne comprends pas trop avec le port 443. Vous dites de le laisser ouvert le temps du tuto mais après que faire ? J’ai activé le renouvellement automatique du certificat.
Ensuite est ce correct d’avoir les ports : 8080, 80 et 443 ouverts ?

Je suis novice et même si vos tuto sont d’une simplicité, je bute la dessus …

Merci :slight_smile:


#60

Salut :slight_smile:
Alors chez moi le port 443 restait ouvert en permanence pour que je puisse accéder à Gladys directement :wink:
Sans ça pas d’accès.
Par contre, tes ports 80 et 8080 ne doivent SURTOUT PAS être accessible sur le net.
C’est des ports dits non sécurisés. (je crois par contre que le 80 est nécessaire avec les nouvelles versions de letsencrypt à toi de nous dire ;))
Tu ne devrais plus avoir de message d’erreur après avoir utilisé letsencrypt.
On est d’accord qu’après le tuto, tu t’es connecté sur l’adresse que tu avais déclaré et plus avec l’IP local de ta machine ? Car le certificat n’est valide que pour ton adresse DNS externe (une petite modif de ton host et hop le souci est réglé si tu souhaites garder ton IP interne).