Comment accéder en https à 2 jeedom derrière une seule freebox

Bonjour,
Je ne suis pas sûr d’être dans la bonne catégorie mais je n’ai pas trouvé mieux. Excusez m’en.
J’ai 2 jeedom chez moi, à deux endroits différents. J’accède au premier en https avec un certificat Lets’encrypt et un nom de domaine OVH et le second en http et une redirection de port. Je voudrais protéger le second et y accéder également en https mais je n’y parviens pas. Quelles sont les différentes manières d’y parvenir ? je reçois ce message quand je veux générer le certificat :
sudo certbot --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Please enter the domain name(s) you would like on your certificate (comma and/or
space separated) (Enter ‹ c › to cancel): ipmonnomdedomaine Requesting a certificate for ipmonnomdedomaine

Certbot failed to authenticate some domains (authenticator: apache). The Certificate Authority reported these problems:
Domain: ipmonnomdedomaine
Type: unauthorized
Detail: Invalid response from http:// ipmonnomdedomaine /.well-known/acme-challenge/dobrCSpB-SuZWq62RycTZHFgI3n5RW9dI8-3V8y13pE [78.199.191.156]: 403

Hint: The Certificate Authority failed to verify the temporary Apache configuration changes made by Certbot. Ensure that the listed domains point to this Apache server and that it is accessible from the internet.

Some challenges have failed.
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.

Merci de votre aide

Bonjour

Probablement modifier les ports sur la 2nde machine, et ouvrir les 2 ports sur le routeur pour lancer letsencrypt.

1 « J'aime »

Merci de ta réponse,
C’est déjà fait puisque j’accède à cette seconde machine via ipmonnomdedomaine:8080.

Il faut deux noms de domaines (peut être des sous domaine, exemple box1.domaine.com et box2.domaine.com et utiliser ceux ci sur chaque box.

Et de plus avoir deux ports differents.
Mais ça va coince pour le renouvellement automatique.

Le mieux est de placer un reverse proxy, les deux domaines arriveront sur ce proxy en 443 (un seul port ouvert sur la box internet donc) et lui transferera la requête vers le bon jeedom en fonction du sous-domaine.

Salut,
Pourquoi ne pas utiliser un superviseur dans cette machine !
puis créer 2 machines virtuelle qui auront chacune une ip différentes …
il te faudra installer aussi un proxy et c’est lui que tu sécurisera et qui dispatchera sur tes 2 jeedom.

Bonjour,

J’ai eu la même question qui a finalement été traitée dans ce post

https://community.jeedom.com/t/acces-externe-https-multi-jeedom-erreur-401-acces-non-autorise/79187?u=eridani78

En synthèse, voici comment j’ai finalement solutionné le problème :

  • un nom de domaine chez OVH : exemple = nomdedomaine.net
  • deux ports d’entrée distincts sur ta box qui pointent vers le port 443 sur chacune de tes machines (chacun de tes Jeedom)
  • il faut créer deux sous domaines chez OVH (onglet ‹ DynHost ›) du type
    jeedom1.nomdedomaine.net
    jeedom2.nomdedomaine.net
  • créer deux certificats différents Let’s Encrypt pour chacun de tes Jeedoms
    C’est la que ca devient un peu « tricky » car j’ai créé deux certificats « wildcart » de type *.nomdedomaine.net en utilisant le Dns-01 Challenge OVH.
    La cerise sur le gateau est qu’alors, le renouvellement devient automatique.
    Je peux laisser le port 80 fermé en permanence sur ma box.

A noter, j’espère que l’avertissement de @Mips (… Mais ça va coince pour le renouvellement automatique …) ne sera pas avéré mais je dois attendre 3 mois pour le savoir car l’installation de mes deux certificats est toute récente.

En espérant que ca aidera …

Si tu es en challenge DNS-1, alors le renouvellement peut fonctionner (car comme tu le dis, le (les) port 80 n’est plus necessaire).
Le wildcard n’était pas obligatoire, mais ca marche aussi :slight_smile:

Merci à vous tous pour vos réponses, je n’ai plus qu’à me mettre au boulot.
@Eridani78 Ce que j’ai déjà :

  • un nom de domaine chez OVH
  • 2 sous domaines

Par contre ça je ne sais pas bien faire. Je suis sur une Freebox Révolution. On peut avoir 2 ports d’entrée qui pointent vers le même port ? Peux-tu, stp, me donner un exemple ? Merci

Etant chez Orange, je ne connais pas l’interface utilisateur de la Freebox mais si tu rentres dans ses paramètres de configuration, tu devrais trouver une rubrique « Reseaux » puis une sous rubrique règles NAT/PAT ou équivalent.

La, tu crée 2 règles avec 2 numéros différents pour chaque port et une redirection vers le port interne 443 de chacune de tes machines cibles.

Après, l’accès a tes Jeedom se fera sous la forme :
https://sousdomaine1.nomdedomaine.xxx:numerodeport1
https://sousdomaine2.nomdedomaine.xxx:numerodeport2

Merci @fwehrle pour la confirmation.
Je pensais bien effectivement que cela devait fonctionner pour le renouvellement.
Le wildcard n’est pas obligatoire effectivement mais c’est super pratique je trouve. Et ca ne réduit pas trop l’enveloppe de sécurité du domaine.
Par contre, je n’ai pas réussi a ne créer qu’un seul certificat qui aurait pu fonctionner pour les deux Jeedom. J’ignore si cela est juste possible ou si je n’ai pas fait les bonnes manips ?

Non un seul port ver une IP qui est ton proxy
et c’est le proxy qui re dirige vers une IP différente en fonction de ton sous domaine

Hélas, je n’ai aucune notion de ce qu’est un proxy. Si quelqu’un veut bien m’aider, merci à lui (ou eux).

Ce n’est pas un proxy mais un proxy inverse (ou reverse proxy) qu’il te faut.

Exemple avec un Synology.

1 « J'aime »

@Jeandhom Merci de ta réponse. Puis-je faire cela avec uniquement une freebox revolution ?

A priori, pas disponible sur Freebox Os.

Ton certificat wildcard fonctionne pour tes 2 jeedom (pour tout les sous domaines). Le problème, si tu ne veux en générer qu’un, c’est que tu le génére sur un des 2 jeedom, et ensuite, il faut le copier sur l’autre.
Un script sh pourrait convenir, mais ta solution est bien aussi.

Il y a la solution simple du dns jeedom aussi.

A tenir compte

4 « J'aime »

Perso un bon reverse proxy (Synology) pour gérer mes serveurs web et renouvellement certificats. Facilité et sécurité.

Et si on a pas de Synology ?
Merci

Ouais, je sais : on en achète un :joy:

1 « J'aime »

Enfin je dis Synology une VM avec xpenology dessus ça marche très bien et c’est gratuit :grin: