SSL Impossible : Après 3 semaines de recherche - A l'aide SVP

Forum dédié à l'accès à DomoticZ depuis l'extérieur de chez vous : routage de ports, VPN, VPS ...
La sécurité, c'est important !!
Répondre
flig
Messages : 24
Enregistré le : 21 avr. 2018, 11:47

SSL Impossible : Après 3 semaines de recherche - A l'aide SVP

Message par flig »

Bonjour,

Je viens solliciter votre aide SVP car je galère depuis 3 semaines. J'ai décidé de m'attaquer enfin à sécuriser mon domoticz en tentant d'installer un certificat Letsencrypt mais je n'y arrive pas malgré des centaines de lectures, des restaurations de backup sur ma carte SD, une nouvelle installation fraiche sur un autre raspberry de secours.
Rien ni fait.

Ma config :
OS="Raspbian GNU/Linux 10 (buster)"
Version: 2021.1
Python Version: 3.7.3 (default, Jan 22 2021, 20:04:44) [GCC 8.3.0]

Mes routages de ports sur mon routeur fonctionnent bien vers les ports indiqués dans les fichiers
/etc/init.d/domoticz.sh
/home/pi/domoticz/domoticz.sh

J'ai modifié les deux mais je ne sais pas si c'est utile ou s'il faut modifié seulement le premier ?

Après installation fraiche, lorsque je fais la commande "sudo netstat -plan | grep domoticz", je vois bien les deux ports 8080 et 443 indiqués en tcp6 en LISTEN et ESTABLISHED (même si je ne comprends pas ce que ça signifie car je suis nul en linux)

Lorsque j'accède à mon domoticz de l'interne en 192.168.xxx.xxx ou de l'externe avec mon dyndns de free le routage se fait bien par contre quand j'utilise le https sur le port 443, ça me connecte en non sécurisé. Normal, jusque là puisque je n'ai pas installé de certificat Letsencrypt encore.

Ensuite, après des journée de recherche, j'ai trouvé une procédure qui me permet d'installer mon certificat letsencrypt.
https://www.domoticz.com/wiki/Native_se ... ts_Encrypt
https://passionaute.medium.com/domoticz ... cb051a821c (pour palier au blocage que bcp rencontre absence du fichier letsencrypt-auto)

Le problème apparait suite à cette procédure, lorsque je relance la commande "sudo netstat -plan | grep domoticz", seul le port 8080 apparait, le port 443 a disparu.

J'ai tenté évidemment de redémarrer domoticz, de rebooter le raspberry, de changer le numéro du port, d'ajouter une ligne DAEMON_ARGS="$DAEMON_ARGS -sslcert /home/pi/domoticz/server_cert.pem" dans domoticz.sh

Rien n'y fait. J'ai le message suivant dans le les logs mais je ne le comprends pas et ne trouve rien sur le net.
2022-06-21 18:50:07.776 Error: WebServer(SSL) startup failed on address 0.0.0.0 with port: 443: use_private_key_file: no start line
Est-ce que l'un d'entre vous a une idée et peut me venir en aide ?

Merci beaucoup par avance pour le temps que vous prenez à lire ce message.

A bientôt

flig
Messages : 24
Enregistré le : 21 avr. 2018, 11:47

Re: SSL Impossible : Après 3 semaines de recherche - A l'aide SVP

Message par flig »

Bon et bien, j'avance. Problème presque résolu, il me reste plus qu'une chose à comprendre.

J'ai réussi à installer le certificat Letsencript. Pour celles et ceux qui auraient des soucis, j'ai eu deux problèmes tout bêtes :

Le premier une erreur de syntaxe au moment de copier les différents certificats téléchargés dans le fichier server_cert.pem.
J'oublier un symbole > à la troisième instruction ce qui écraser le contenu du fichier au lieu de concaténer. :oops:

$ sudo mv ~/domoticz/server_cert.pem ~/domoticz/server_cert.pem.org
$ sudo cat /etc/letsencrypt/live/hello.domo.com/privkey.pem > ~/domoticz/server_cert.pem
$ sudo cat /etc/letsencrypt/live/hello.domo.com/fullchain.pem >> ~/domoticz/server_cert.pem

Ensuite, alors que ça semblait fonctionner, j'ai fait une mise à jour de domoticz et celà ma écrasé le contenu du fichier server_cert.pem avec les certificats de domoticz en lieu et place de ceux de Letsencrypt.

Pour palier à cela, copier le fichier contenant les certificats server_cert.pem en letsencrypt_server_cert.pem et modifier le fichier /etc/init.d/domoticz.sh en ajoutant une ligne de type :
DAEMON_ARGS="$DAEMON_ARGS -sslcert /home/x/domoticz/letsencrypt_server_cert.pem"

Ainsi le certificat sera chercher par le système dans ce fichier paramétré.

Il me reste une interrogation à laquelle vous pourrez peut être répondre :

Pourquoi la connexion est non sécurisée quand je me connecte en local avec une adresse https://192.168.x.xxx:443 alors qu'elle est sécurisée depuis l'extérieur avec mon dyndns ?

Merci pour votre retour.

En espérant que mon expérience serve à d'autre
J'ai simplement utilisé les deux liens ci-dessous :
https://certbot.eff.org/instructions?ws ... bianbuster
https://www.domoticz.com/wiki/Native_se ... ts_Encrypt

Chrominator
Messages : 820
Enregistré le : 19 déc. 2015, 07:29
Localisation : France

Re: SSL Impossible : Après 3 semaines de recherche - A l'aide SVP

Message par Chrominator »

flig a écrit : 22 juin 2022, 18:58
Pourquoi la connexion est non sécurisée quand je me connecte en local avec une adresse https://192.168.x.xxx:443 alors qu'elle est sécurisée depuis l'extérieur avec mon dyndns ?
Certainement parce que cette adresse locale n'a pas été indiquée lors de la génération du certificat, ce dernier n'est pas valide pour cette adresse.
D'ailleurs tu as certainement introduit une exception dans ton navigateur pour pouvoir tout de même accéder à Domoticz de cette manière.
Partir, c’est pourrir un pneu.

Ubuntu 20.04.4 LTS - Domoticz v2022.1
sur Pentium G3220T 2.60GHz - 4Go DDR3
rfxcom RFXtrx433 USB Version: Pro1/1043
Z-Stick GEN5 Version: 1.6-1136-g07ea22bb
Rtl433 RTL-SDR receiver
RFLink Gateway with LAN interface 48.4

f-d-m
Messages : 92
Enregistré le : 25 juin 2019, 21:36

Re: SSL Impossible : Après 3 semaines de recherche - A l'aide SVP

Message par f-d-m »

flig a écrit : 22 juin 2022, 18:58
alors que ça semblait fonctionner, j'ai fait une mise à jour de domoticz et celà ma écrasé le contenu du fichier server_cert.pem avec les certificats de domoticz en lieu et place de ceux de Letsencrypt.

Je confirme. C'est comme ça depuis de nombreuses versions.
---
Bruxelles

RPi 3B, Domoticz 2020.2, SSD, PiZigate
IPX-800 V3
multiples Sonoff et similaires (Tasmota, ESPeasy), multiples appareils Zigbee
SMA Sunny Boy 3.6

Répondre