Import impossible d'un certificat SSL Cloudflare Origin pour un Multisite

Jean-PhilippeM1 2022-12-22 12:33:31 UTC #1

Bonjour à tous les experts OVH,

En attendant que mon ticket support "non-prioritaire" Kimsufi soit pris en compte depuis 4 jours (CS6874997), l'import d'un certificat SSL Origin Server de Cloudflare est impossible sur mon hébergement mutualisé.

Je souhaite mettre en place cette solution (pour garder le mode SSL "Strict" côté Cloudflare ou mes sites sont proxifiés) car ma zone DS record étant chez Cloudflare, je ne peux plus générer automatiquement un certificat SSL pour mon domaine/sous-domaine depuis OVH avec LE.

Pour ce faire, je vais dans Commander un certificat SSL / Import de votre certificat SSL puis j'insère l'Origin Certificate (RSA 2048) / Private Key / Cloudflare Origin CA root certificate qui sont équivalents chez OVH aux certificate.crt, private.key et ca_bundle.crt comme le mentionne cette page de support : https://docs.ovh.com/fr/hosting/les-certificats-ssl-sur-les-hebergements-web/

Seulement à la fin de l'import, le certificat est à chaque fois supprimé. Pouvez-vous, s'il vous plaît, me dire ce que je fais mal pour importer le certificat de Cloudflare? Est-il possible qu'il y est un problème côté OVH, comme j'ai déjà pu le voir sur OVHcloud Community par le passé (oui j'ai fais beaucoup de recherche Google sur cette thématique :))?

Merci beaucoup pour votre aide,
Jean-Philippe

Informations complémentaires :
Tests d'importation NOK de certificat SSL réalisés avec ou sans option CDN Basic.

Origin CA certificates: https://developers.cloudflare.com/ssl/origin-configuration/origin-ca#4-required-for-some-add-cloudflare-origin-ca-root-certificates

Fichier utilisé pour le CA Bundle: origin_ca_rsa_root.pem

janus57 2022-12-22 12:42:48 UTC #2

Bonjour,

question à poser au support, mais je dirais que OVH refuse les certificat non public (ce qui est le cas ici).

Cordialement, janus57

Jean-PhilippeM1 2022-12-22 16:32:59 UTC #3

Bonjour Janus, merci pour cette première réponse, justement j'ai ouvert un ticket à l'assistance il y a plus de 4 jours et je n'ai toujours pas eu de retour. :(

Effectivement relisant la phrase "Origin Certificates are only valid for encryption between Cloudflare and your origin server." cela signifierait qu'ils sont bien privé pour connecter 2 Endpoints mais pas pour des domaines/sous-domaines visibles sur le Web. :)

Très belles fêtes de fin d'année à vous,
Jean-Philippe

janus57 2022-12-22 17:09:58 UTC #4

Bonjour,

jusque là tout va bien (c'est pas anormale avec le support mutu)

ça je le confirme à 100% car je l'ai déjà mis en place sur un serveur dédié.

Dans votre cas le plus simple est de passer en mode flexible (ou de se passer de cloudflare, au choix).

Cordialement, janus57

Jean-PhilippeM1 2022-12-22 18:25:38 UTC #5

Bonsoir Janus,

Dans tous les cas, ça fonctionne comme je le souhaite sans le SSL chez OVH (vu que le DNSSEC est partagé avec Cloudflare), je ne peux juste pas avoir le mode "Strict" entre OVH <-> Cloudflare.

Ce que je trouve dommage, c'est que dès que la Zone DNS / DS Record n'est plus géré chez OVH, la génération des Certificats LE ne fonctionne plus avec le fameux message : Une erreur est survenue lors de la commande d'un certificat SSL. (No attached domain with ssl enabled or no attached domain that redirect on hosting IPs, please use hosting IPs in your domain zone).

Est-ce que tu connaitrais une solution de contournement pour faire marcher la génération SSL LE chez OVH et avoir quand même aussi des certificats SSL côté OVH sur le multisite pour faire marcher le mode "Strict"? Car de ce que j'ai pu constater, cela fonctionne très bien 3mois si les certificats ont été généré avant la switch/gestion par Cloudflare de la partie DNS. Cela ne fonctionne plus dès l'expiration des certificats SSL LE chez OVH qui ne peuvent plus se regénérer.. :(

Merci beaucoup pour ton aide,
Jean-Philippe

janus57 2022-12-22 19:19:23 UTC #6

Bonjour,

DNS et certificat TLS pour avoir le HTTPS n'ont rien à voir entre eux et n'ont pas de liaison directe.

encore une fois les DNS n'ont rien à voir avec ça, OVH empêche de générer des certificats Let's Encrypt sur le mutu si les IPs ne pointe pas vers les serveurs OVH (logique sur le principe de sécurité), et c'est le cas quand on active le mode Proxy de cloudflare

acheter un vrai certificat, mais je pense que vous cherchez un faux problème.

Déjà avez-vous réellement besoin de cloudflare ?

Cordialement, janus57

Jean-PhilippeM1 2023-01-11 12:43:42 UTC #7

Bonjour et Bonne année à vous Janus57,

Merci pour tes clarifications ou je suis parfaitement aligné. :)

Voici la réponse que j'ai eu du Support concernant l'import du certificat SSL/TLS Cloudflare :

Nos robots soulèvent une anomalie concernant le Commun Name (CN). Par conséquent l'opération d'ajout du certificat SSL externe ne se finalise pas. Pourriez-vous investiguer en ce sens ?

Est-ce que vous pensez que c'est toujours lié au fait que ce soit un certificat "non-public"?

Merci beaucoup pour votre retour,
Jean-Philippe

janus57 2023-01-11 18:50:37 UTC #8

Bonjour,

il faudrait voir le certificat public pour voir ce que CloudFlare a mis dans le CN.

Cordialement, janus57

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVHcloud Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.