Accès HTTPS et configuration HA

NLNL · Juin 4, 2024, 12:18

Bonjour à toutes et à tous,

Y a-t-il parmi vous des abonnés Free qui utilisent le nom de domaine offert par Free ?

Je souhaite accéder à mon Home Assistant depuis l’extérieur en HTTPS, mais c’est impossible.
Lorsque j’essaie de me connecter via « https://monnomdedomaine.freeboxos.fr », je reçois le message suivant : ERR_SSL_PROTOCOL_ERROR.
Cependant, cela fonctionne bien en HTTP, ce qui indique que mes redirections de port sont correctes.
L’accès fonctionne également en ajoutant « :8123 » à la fin, mais seulement en HTTP.

Pourtant, lors de la création de notre nom de domaine chez Free, il est indiqué que l’on peut obtenir un certificat TLS Let’s Encrypt.

Quelqu’un parmi vous a-t-il déjà rencontré ce problème ?
Si oui, comment l’avez-vous résolu ?

Merci d’avance pour votre aide et vos précieux conseils.

ddfdom · Juin 4, 2024, 12:21

Hello
Comment a tu générer ton certificat SSL ?
Car il 'e se génère pas de façon magique
Il faut soit utiliser un reverse proxy comme nginx proxy manager qui vas s’occuper de cela ou alors installer l’addon let’s encrypt sur HA

NLNL · Juin 4, 2024, 12:26

J’ai testé avec l’add-on Let’s Encrypt mais il me dit ça et si je ne me trompe pas ça veut dire qu’il y a déjà un certificat quelque part ?

Certbot failed to authenticate some domains (authenticator: standalone). The Certificate Authority reported these problems:
Domain: xxxx.freeboxos.fr
Type: connection
Detail: 82.xx.xx.xx: Fetching http://xxxx.freeboxos.fr/.well-known/acme-challenge/4ix8Up-90xQir5rvlXQzOWvy0_1hYOinamsWxAc9oqc: Timeout during connect (likely firewall problem)

Hint: The Certificate Authority failed to download the challenge files from the temporary standalone webserver started by Certbot on port 80. Ensure that the listed domains point to this machine and that it can accept inbound connections from the internet.

Some challenges have failed.
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.
s6-rc: info: service legacy-services: stopping
s6-rc: info: service legacy-services successfully stopped
s6-rc: info: service legacy-cont-init: stopping
s6-rc: info: service legacy-cont-init successfully stopped
s6-rc: info: service fix-attrs: stopping
s6-rc: info: service fix-attrs successfully stopped
s6-rc: info: service s6rc-oneshot-runner: stopping
s6-rc: info: service s6rc-oneshot-runner successfully stopped
s6-rc: info: service s6rc-oneshot-runner: starting
s6-rc: info: service s6rc-oneshot-runner successfully started
s6-rc: info: service fix-attrs: starting
s6-rc: info: service fix-attrs successfully started
s6-rc: info: service legacy-cont-init: starting
cont-init: info: running /etc/cont-init.d/file-structure.sh
cont-init: info: /etc/cont-init.d/file-structure.sh exited 0
s6-rc: info: service legacy-cont-init successfully started
s6-rc: info: service legacy-services: starting
services-up: info: copying legacy longrun lets-encrypt (no readiness notification)
s6-rc: info: service legacy-services successfully started
[14:23:50] INFO: Selected http verification
[14:23:51] INFO: Detecting existing certificate type for xxxx.freeboxos.fr
Saving debug log to /var/log/letsencrypt/letsencrypt.log
[14:24:02] INFO: No certificate found - using ‹ ecdsa › key type.
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Requesting a certificate for xxxx.freeboxos.fr

WarC0zes · Juin 4, 2024, 1:01

Bonjour @NLNL,
oubli pas de cacher les ip et dns et ne pas les laisser en apparent en public. J’ai modifier ton message.

NLNL · Juin 4, 2024, 1:07

Merci.
L’ip n’était pas complète ^^
Le DNS j’ai dû l’oublié effectivement.

ddfdom · Juin 4, 2024, 1:16

Non pas du tout, il n’arrive pas a authentifier ton IP

Il faut que depuis la freebox tu redirige le port 80 vers ton serveur HA et relancer la création du certificat, c’est ce qui bloque

de plus les certificats expirent au bout de 90 jours et doivent être renouvellés il faut pour cela créer une automation pour déclencher ce renouvellement, toutes les 24h par example

WarC0zes · Juin 4, 2024, 1:46

Je rajoute, qui faudra redémarrer complètement HA pour la prise en charge du nouveau certificat.

NLNL · Juin 4, 2024, 1:56

Pourtant mon port 80 est bien redirigé vers le port 8123.

NLNL · Juin 4, 2024, 1:57

Oui j’ai vu un tuto avec Node Red.
Je le mettrais en place une fois que ça marchera.

ddfdom · Juin 4, 2024, 1:57

et ne pas oublier @NLNL de configurer dans le fichier configuration.yaml le chemin des certificats avant de rebooter

http:
  ssl_certificate: /etc/letsencrypt/live/xxxxxx/fullchain.pem
  ssl_key: /etc/letsencrypt/live/xxxxxx/privkey.pem
  ip_ban_enabled: true
  login_attempts_threshold: 5

remplace XXXXX par ton nom de domaine

et d’ajouter le banissement d’ip au bout de 5 erreurs tu trouvera les ip bannies dans le fichier ip_bans.yaml

NLNL · Juin 4, 2024, 1:59

Merci je vais tester et je reviens vers vous.

Qu’en est-il de ce code que j’avais testé ?

http:
  ssl_certificate: /ssl/fullchain.pem
  ssl_key: /ssl/privkey.pem

ddfdom · Juin 4, 2024, 2:01

je viens de regarder la doc et oui tu as raison ce sont les bon chemins

  ssl_certificate: /ssl/fullchain.pem
  ssl_key: /ssl/privkey.pem

NLNL · Juin 4, 2024, 2:02

Pourtant chez moi ça ne veut pas.

J’ai ce message d’erreur :
Erreurs de configuration
Invalid config for ‹ http › at configuration.yaml, line 14: not a file for dictionary value ‹ http->ssl_certificate ›, got ‹ /ssl/fullchain.pem ›
Invalid config for ‹ http › at configuration.yaml, line 15: not a file for dictionary value ‹ http->ssl_key ›, got ‹ /ssl/privkey.pem ›

WarC0zes · Juin 4, 2024, 2:04

ta bien les certificats créer ?

j’utilise samba share pour voir le dossier SSL. Les pro utilise le terminal

NLNL · Juin 4, 2024, 2:12

Dossier vide chez moi.
Il faut les récupérer comment ?
J’avais essayé une fois mais ça n’avait pas marché mais je ne sais plus comment j’avais fait.

NLNL · Juin 4, 2024, 2:14

Ah si ça me revient.
J’avais essayé avec Let’s encrypt et justement ça me donnait le message d’erreur que je vous avais montré au début.

Krull56 · Juin 4, 2024, 2:15

Hello

Ton port 80 doit être redirigé vers le port 80 de HA et non le 8123.
Il te suffit d’aller verifier dans la configuration de letsencrypt , tu verras le port utilisé :

@+

ddfdom · Juin 4, 2024, 2:15

je t’ai répondu pour ça

edit :

aah oui forcement

NLNL · Juin 4, 2024, 2:19

Ah ok.
CAr moi j’avais mis dans le rrport de la box :
port début : 80
port fin : 80
Port de destination: 8123

J’ai changé le port de destination en 80 et ça a l’aire de marcher.

Merci pour l’astuce.

Donc chaque machine a plusieurs ports ?
Je pensais que HA c’était 8123 et c’est tout.

ddfdom · Juin 4, 2024, 2:20

chaque service réseau discute sur un port différent des 100aines différents