Quick and Easy Local SSL Certificates for Your Homelab!

Wolfgang's Channel

15 May 202312:08

Summary

TLDRDans cette vidéo, l'auteur explique comment configurer un proxy inverse avec validation DNS pour obtenir des certificats SSL valides et des noms de domaine jolis pour des applications locales dans un serveur domestique, sans exposer les services au monde extérieur. Grâce à Nginx Proxy Manager et à l'utilisation de DuckDNS, il montre comment éviter les erreurs SSL disgracieuses tout en préservant la sécurité du réseau local. L'approche évite les tunnels tiers, les configurations DNS complexes et les interventions manuelles sur les fichiers hosts, tout en restant simple à mettre en place pour les débutants.

Takeaways

😀 Vous avez enfin configuré votre serveur domestique avec Plex, Sonarr, Paperless et Home Assistant, mais vous obtenez des avertissements SSL gênants.
😀 Il existe des solutions pour contourner les avertissements SSL, comme les certificats auto-signés, mais elles présentent des inconvénients, comme la gestion de l'exception dans chaque navigateur.
😀 Une solution simple consiste à utiliser un proxy inverse et une validation DNS pour obtenir des certificats SSL valides sans exposer vos services à l'extérieur.
😀 Vous pouvez utiliser des noms de domaine privés pointant vers des adresses IP locales et obtenir des certificats SSL valides via la validation DNS de Let's Encrypt.
😀 DuckDNS est une option gratuite pour obtenir un nom de domaine, mais si vous préférez un domaine plus court, vous pouvez acheter un nom de domaine sur des sites comme Namecheap ou GoDaddy.
😀 Pour ce tutoriel, l'utilisation du Nginx Proxy Manager est conseillée, car il est simple à configurer, mais d'autres options comme Caddy ou Traefik existent également.
😀 Le Nginx Proxy Manager prend en charge la validation DNS-01 de Let's Encrypt, ce qui permet de créer des certificats SSL sans exposer de ports sur votre réseau local.
😀 Vous n'avez pas besoin d'un serveur DNS personnalisé comme PiHole ou AdGuard, ni de modifier les fichiers hosts sur vos machines. Tout fonctionne directement sur votre réseau local.
😀 Avec la validation DNS, vous pouvez aussi créer des enregistrements génériques (wildcard) pour couvrir plusieurs sous-domaines avec un seul certificat.
😀 Vous pouvez configurer plusieurs services comme Nextcloud, Jellyfin et Home Assistant dans des conteneurs Docker et les gérer facilement via le Nginx Proxy Manager.
😀 Pour une meilleure sécurité, il est conseillé de forcer l'utilisation de SSL et d'activer le support HTTP/2 dans les paramètres du proxy pour chaque application.
😀 En cas de coupure Internet, il est recommandé d'utiliser un serveur DNS local pour assurer l'accès à vos services, ou de modifier les fichiers hosts sur vos machines clientes.

Q & A

Quel est le problème principal mentionné au début du script ?
-Le problème principal est l'avertissement SSL inesthétique qui apparaît chaque fois que l'on accède aux applications sur un serveur domestique, malgré le bon fonctionnement des services comme Plex, Sonarr, Paperless, et Home Assistant.
Pourquoi les certificats auto-signés ne sont-ils pas une solution idéale ?
-Les certificats auto-signés ne sont pas idéaux car ils nécessitent une exception dans le navigateur, ne fonctionnent que sur un seul appareil et un seul navigateur, et peuvent être désagréables pour ceux qui ont des troubles obsessionnels compulsifs (TOC).
Qu'est-ce qu'un proxy inversé et comment résout-il le problème SSL ?
-Un proxy inversé permet de configurer un domaine valide pour vos applications domestiques, avec des certificats SSL valides, sans exposer vos services au monde extérieur, en utilisant la validation DNS pour obtenir ces certificats.
Comment fonctionne la validation DNS avec Let's Encrypt ?
-La validation DNS de Let's Encrypt fonctionne en créant un enregistrement DNS spécial auprès de votre fournisseur DNS pour prouver que vous êtes propriétaire du domaine. Cela ne nécessite pas d'ouverture de ports et fonctionne même si votre domaine ne pointe pas vers une adresse IP publique.
Pourquoi utiliser DuckDNS pour ce tutoriel et quels sont ses avantages ?
-DuckDNS est utilisé car il est gratuit et facile à configurer. Bien qu'il donne un nom de domaine plus long, il reste pratique car les navigateurs modernes complètent automatiquement les URL, rendant l'URL moins gênante.
Quels sont les autres fournisseurs populaires de proxy inversé, à part Nginx Proxy Manager ?
-D'autres fournisseurs populaires de proxy inversé incluent Caddy, Traefik, et SWAG. Chacun offre des fonctionnalités différentes, mais Nginx Proxy Manager est choisi ici pour sa simplicité de configuration.
Pourquoi utiliser Docker pour cette installation et quelles sont ses avantages ?
-Docker est utilisé pour simplifier l'installation et la gestion des applications comme Nginx Proxy Manager, Nextcloud, Jellyfin et Home Assistant. Il permet de maintenir ces applications sur le même réseau Docker, facilitant leur communication sans avoir à exposer de ports supplémentaires.
Qu'est-ce que le challenge DNS-01 dans Nginx Proxy Manager ?
-Le challenge DNS-01 dans Nginx Proxy Manager permet de valider un certificat SSL via un enregistrement DNS, sans avoir besoin d'un serveur web accessible publiquement. Cela améliore la sécurité et la confidentialité.
Que faire si les certificats SSL ne sont pas générés immédiatement ?
-Si les certificats SSL ne sont pas générés immédiatement, cela peut être dû à une propagation DNS trop lente. Dans ce cas, il est conseillé d'augmenter le temps de propagation à environ 120 secondes pour permettre à la validation DNS de se propager correctement.
Quels sont les services configurés dans cet exemple et comment y accéder ?
-Les services configurés dans cet exemple incluent Nginx Proxy Manager, Nextcloud, Jellyfin, et Home Assistant. Chaque service est accessible via un sous-domaine spécifique avec un certificat SSL valide, par exemple 'notthebee.duckdns.org' pour Nginx Proxy Manager et 'nextcloud.notthebee.duckdns.org' pour Nextcloud.