ADN182 Posté(e) le 15 octobre 2012 Auteur Posté(e) le 15 octobre 2012 merci de bien vouloir m'aider 1- comment te joindre mon mkcert.sh en mp?? (je ne peux pas attacher de fichier à mon message) 2- j'ai bien modifier le certificat (tu t'en doutes!) et je supprime systématiquement à chaque modif le certificat dans la console avant de relancer par contre depuis tout a l'heure dans la console, je le supprime et chaque fois il reviens...! 3- Dans le panneau de config du syno, quand je met en place le https, quelle est la clé privé à importer: le ca.key ou server.key 2 - Tu veux dire quoi par il revient ? Sinon tu peux faire une recherche par rapport à l'organisation de certification que tu as donné dans le mkcert.sh il me semble. 3 - Il n'a aucune clé à importer ! tu redémarre bien ton Syno à chaque modif de certificat ? 0 Citer
bjp Posté(e) le 15 octobre 2012 Posté(e) le 15 octobre 2012 (modifié) 2 - Tu veux dire quoi par il revient ? Sinon tu peux faire une recherche par rapport à l'organisation de certification que tu as donné dans le mkcert.sh il me semble. 3 - Il n'a aucune clé à importer ! tu redémarre bien ton Syno à chaque modif de certificat ? - j'ai bien télécharger ton fichier - remplacer les lignes adéquat - lancer le script - redémarrer - importer le certificat - activer la connexion https pour les services web - activer la connexion https dans les paramètres du DSM - rediriger automatiquement les connexion http vers le https et voilà les résultats...!!! (EN LOCAL), je désespère. Mais merci quand même résultat dans Chrome résultat dans IE résultat dans firefox Modifié le 15 octobre 2012 par bjp 0 Citer
Lapin Posté(e) le 15 octobre 2012 Posté(e) le 15 octobre 2012 Peux-tu donner la ligne de commande que tu exécutes pour générer le certificat?? 0 Citer
Lapin Posté(e) le 15 octobre 2012 Posté(e) le 15 octobre 2012 Message pour ADN182: Si cela te semble intéressant, tu peux peut-être rajouter en annexe de ton tuto les commandes suivantes: pour ceux comme moi qui utilise SABnzbd (depo SynoCommunity) en SSL voici comme remplacer les clés SSL par celles fraichement générées: cp /usr/syno/etc/ssl/ssl.key/server.key /usr/local/sabnzbd/var/admin/ cp /usr/syno/etc/ssl/ssl.crt/server.crt /usr/local/sabnzbd/var/admin/ Ne pas oublier de redémarrer le package SABnzbd pour tenir compte des nouveaux certificats ! 0 Citer
bjp Posté(e) le 15 octobre 2012 Posté(e) le 15 octobre 2012 Peux-tu donner la ligne de commande que tu exécutes pour générer le certificat?? j'exécute comme le tuto.. a savoir: (1) chmod +x /volume1/certificat/mkcert.sh (2) cd /volume1/certificat/ (3) ./mkcert.sh (4) je redémmare 0 Citer
Lapin Posté(e) le 15 octobre 2012 Posté(e) le 15 octobre 2012 (modifié) Donc en te connectant sur mondomaine.org tout fonctionne correctement, mais en local tu as les messages d'avertissement? 1- Es-tu sûr de bien avoir remplacé dans mon fichier tous les 192.168.1.10 par 192.168.1.75 ? 2- Ton NAS est bien en IP fixe? 3- Quand tu remplaces les champs dans le fichier mkcert.sh, tu n'utilises pas de caractères spéciaux?? Genre éèù, etc... Sinon peux-tu poste le résultat lorsque tu exécutes le script? Modifié le 15 octobre 2012 par Lapin 0 Citer
bjp Posté(e) le 15 octobre 2012 Posté(e) le 15 octobre 2012 (modifié) Donc en te connectant sur mondomaine.org tout fonctionne correctement, mais en local tu as les messages d'avertissement? 1- Es-tu sûr de bien avoir remplacé dans mon fichier tous les 192.168.1.10 par 192.168.1.75 ? 2- Ton NAS est bien en IP fixe? 3- Quand tu remplaces les champs dans le fichier mkcert.sh, tu n'utilises pas de caractères spéciaux?? Genre éèù, etc... Sinon peux-tu poste le résultat lorsque tu exécutes le script? a) en local, j'ai donc tous ses avertissements, (j'ai pas eu l'occasion de tester en "mondomaine.org") je suis bien en IP fixe c) aucun caractères spéciaux dans l'édition du mkcert.ch , mis a part un ^ sur le i de Nîmes (mais il me semble que j'avais essayé sans...) j'ai justement enregistré le dernier... (résultat) le voici: BusyBox v1.16.1 (2012-09-26 03:30:23 CST) built-in shell (ash) Enter 'help' for a list of built-in commands. IPCS> chmod +x /volume1/certificat/mkcert.sh IPCS> cd /volume1/certificat/ IPCS> ./mkcert.sh STEP1: Generating RSA private key for CA (1024 bit) [ca.key] WARNING: can't open config file: /usr/syno/ssl/openssl.cnf 1736550 semi-random bytes loaded Generating RSA private key, 1024 bit long modulus ......................++++++ .++++++ e is 65537 (0x10001) ______________________________________________________________________ STEP 2: Generating X.509 certificate signing request for CA [ca.csr] WARNING: can't open config file: /usr/syno/ssl/openssl.cnf You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- 1. Country Name (2 letter code) [FR]:2. State or Province Name (full name) [Languedoc Roussillon]:3. Locality Name (eg, city) [Nîmes]:4. Organization Name (eg, company) [CMOI Services]:5. Organizational Unit Name (eg, section) [Certificate Authority]:6. Common Name (eg, CA name) [CMOI Services CA]:7. Email Address (eg, name@FQDN) [admin@CMOI.myds.me]: ______________________________________________________________________ STEP 3: Generating X.509 certificate for CA signed by itself [ca.crt] WARNING: can't open config file: /usr/syno/ssl/openssl.cnf Signature ok subject=/C=FR/ST=Languedoc Roussillon/L=NxEEmes/O=CMOI Services/OU=Certificate Authority/CN=CMOI Services CA/emailAddress=admin@CMOI.myds.me Getting Private key Verify: matching certificate & key modulus WARNING: can't open config file: /usr/syno/ssl/openssl.cnf WARNING: can't open config file: /usr/syno/ssl/openssl.cnf Verify: matching certificate signature WARNING: can't open config file: /usr/syno/ssl/openssl.cnf /usr/syno/etc/ssl/ssl.crt/ca.crt: C = FR, ST = Languedoc Roussillon, L = NC3AEmes, O =CMOI Services, OU = Certificate Authority, CN = CMOI Services CA, emailAddress = admin@CMOI.myds.me error 18 at 0 depth lookup:self signed certificate OK ______________________________________________________________________ STEP 4: Generating private key for SERVER (1024 bit) [server.key] WARNING: can't open config file: /usr/syno/ssl/openssl.cnf 1736550 semi-random bytes loaded Generating RSA private key, 1024 bit long modulus .............................++++++ ....++++++ e is 65537 (0x10001) ______________________________________________________________________ STEP 5: Generating X.509 certificate signing request for SERVER [server.csr] WARNING: can't open config file: /usr/syno/ssl/openssl.cnf You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- 1. Country Name (2 letter code) [FR]:2. State or Province Name (full name) [Languedoc Roussillon]:3. Locality Name (eg, city) [Nîmes]:4. Organization Name (eg, company) [CMOI Services]:5. Organizational Unit Name (eg, section) [iPCS]:6. Common Name (eg, FQDN) [CMOI.myds.me]:7. Common Name (eg, FQDN) [192.168.1.75]:8. Email Address (eg, name@fqdn) [admin@CMOI.myds.me]: ______________________________________________________________________ STEP 6: Generating X.509 certificate signed by own CA [server.crt] WARNING: can't open config file: /usr/syno/ssl/openssl.cnf Signature ok subject=/C=FR/ST=Languedoc roussillon/L=NxEEmes/O=CMOI Services/OU=IPCS/CN=CMOI.myds.me/CN=192.168.1.75/emailAddress=admin@CMOI.myds.me Getting CA Private Key Verify: matching certificate & key modulus WARNING: can't open config file: /usr/syno/ssl/openssl.cnf WARNING: can't open config file: /usr/syno/ssl/openssl.cnf Verify: matching certificate signature WARNING: can't open config file: /usr/syno/ssl/openssl.cnf /usr/syno/etc/ssl/ssl.crt/server.crt: OK Modifié le 24 octobre 2012 par bjp 0 Citer
tricoton Posté(e) le 15 octobre 2012 Posté(e) le 15 octobre 2012 Merci pour ce tuto, a suivre à la lettre comme c'est bien précisé : une petite erreur dans le fichier mkcert et plus d'accès HTTPS, grosse frayeur . Recherche de l'erreur, génaration certificat, ouf ca remarche et je suis bien "green" dans le navigateur. 0 Citer
bjp Posté(e) le 15 octobre 2012 Posté(e) le 15 octobre 2012 Merci pour ce tuto, a suivre à la lettre comme c'est bien précisé : une petite erreur dans le fichier mkcert et plus d'accès HTTPS, grosse frayeur . Recherche de l'erreur, génaration certificat, ouf ca remarche et je suis bien "green" dans le navigateur. il y en a qui on bien de la chance..! 0 Citer
Lapin Posté(e) le 16 octobre 2012 Posté(e) le 16 octobre 2012 Je pense qu'il faudrait que tu essayes depuis l'exterieur avec un autre PC. Voir, essayer avec un autre PC en local si possible. Ton problème vient peut-être de ton PC (plusieurs certificat pour la même adresse ?), pas du Syno. Pour ma part je ne suis pas assez calé dans le domaine des certifs. Je n'ai plus d'idée. 0 Citer
bjp Posté(e) le 16 octobre 2012 Posté(e) le 16 octobre 2012 Je pense qu'il faudrait que tu essayes depuis l'exterieur avec un autre PC. Voir, essayer avec un autre PC en local si possible. Ton problème vient peut-être de ton PC (plusieurs certificat pour la même adresse ?), pas du Syno. Pour ma part je ne suis pas assez calé dans le domaine des certifs. Je n'ai plus d'idée. HOURRA ..Tout fonctionne j'ai recommencé ce matin entièrement et je suis "vert" partout par contre, je ne comprends pas vraiment pourquoi il m'indique: "votre connexion à "IP LOCAL" est sécurisé par un chiffrement 256 bits Alors que dans le rapport d'exécution il marque 1024 bits..!!!?? MERCI A TOUS POUR VOTRE SOUTIEN ET VOTRE AIDE PRECIEUSE :wub: 0 Citer
Lapin Posté(e) le 18 octobre 2012 Posté(e) le 18 octobre 2012 Question pour ADN182: J'utilise aussi mon Syno comme serveur IMAP. Saurais-tu comment installer le certificat de façon à ce que Outlook 2010 n'affiche pas un message d'avertissement à chaque lancement?? Merci !! 0 Citer
ADN182 Posté(e) le 18 octobre 2012 Auteur Posté(e) le 18 octobre 2012 (modifié) Salut Lapin, J'ai peu être deux trois truc pour toi 1) Essaye de mettre ton certificat dans le "Compte Ordinateur" plutôt que dans le magasin par défaut. lors de l'importation tu peux choisir le magasin en cochant la case "Afficher les magasins Physiques". 2) Les mettre dans le dossier "Editeurs Approuvés" au lieu de "Autorités de certification racine" 3) Importer le certificat dans outlook mais je sais pas si ça sert au connexion IMAPS Tu vas dans Outil/Option (Je suis sous 2010) Si tu regarde dans cette fenêtre (1 onglet) tu comprendra pourquoi j'ai mis dans mon 2) de le mettre dans les "Editeurs Approuvés" (Les certificats dans ce groupe y apparaissent) Modifié le 19 octobre 2012 par ADN182 0 Citer
DiPiNiXi Posté(e) le 18 octobre 2012 Posté(e) le 18 octobre 2012 (modifié) Bonjour ADN, et merci pour le tuto Même genre de problème que Lapin. J'ai créé mon certificat double "domain.no-ip.org" et "domain". Pas de problème avec IE ni Firefox. Mais j'utilise aussi le Syno comme serveur POP3 en SSL et à chaque fois que je lance Outlook 2007, j'ai le message : "Le serveur auquel vous êtes connecté utilise un certificat de sécurité impossible à vérifier." "Le nom principal de la cible n'est pas correct" J'ai mis mon certif dans Editeur approuvé et dans Ordinateur local, mais ça n'a rien changé. Est-ce que l'ordre des domains a de l'importance ? Quand je fais "Afficher le certificat", il me met Délivré à domain au lieu de domain.no-ip.org DiPiNiXi Modifié le 18 octobre 2012 par DiPiNiXi 0 Citer
ADN182 Posté(e) le 19 octobre 2012 Auteur Posté(e) le 19 octobre 2012 Salut DiPiNiXi, L'ordre des domains peut avoir une importance oui, suivant l'application. Je sais que sous Chrome et IE, il accepte le "Multi Domain" en revanche il me semble que Firefox n'approuve que le dernier domaine de la liste. A moins qu'il ai changé sa dans la nouvelle version. Pour outlook je ne sais pas Est-ce que vous avez lors de la création du compte IMAP cette fenêtre ? : Lorsque vous afficher le certificat vous avez la possibilité de l'installer. il vous indique également si il est de confiance ou non. 0 Citer
Lapin Posté(e) le 19 octobre 2012 Posté(e) le 19 octobre 2012 (modifié) Pour ma part je n'ai pas encore eu le temps de tester. Je vais essayer tous cela ce WE. Je vous tiens au courrant. Modifié le 19 octobre 2012 par Lapin 0 Citer
trucmuche2005 Posté(e) le 19 octobre 2012 Posté(e) le 19 octobre 2012 Salut à vous ! Je tente de suivre le tuto pour installer un certificat qui me permettra de sécuriser le https quand je suis en local (avec l'IP 10.0.123.123 pour le NAS) et quand je suis à l'extérieur (avec l'adresse publique trucmuche.diskstation.me pour le NAS). J'ai tout bien suivi, mais Safari me dit qu'il y a discordance des noms d'hôtes (trucmuche.diskstation.me) alors que je suis en local et que j'accède au nas via 10.0.123.123. Normal, je me dis... sauf qu'il me semble avoir tout bien fait. Voici les extraits importants de mon mkcert.sh... Peut-être ai-je fait une erreur quelquepart ?? Je vous remercie d'avance pour votre aide ! Trucmuche [ req ] default_bits = 2048 <<<<<<<< j'ai changé les 1024 en 2048 partout ailleurs dans le fichier... distinguished_name = req_DN [ req_DN ] countryName = "1. Country Name (2 letter code)" countryName_default = BE countryName_min = 2 countryName_max = 2 stateOrProvinceName = "2. State or Province Name (full name) " stateOrProvinceName_default = BRUXELLES localityName = "3. Locality Name (eg, city) " localityName_default = BRUXELLES 0.organizationName = "4. Organization Name (eg, company) " 0.organizationName_default = DISKSTATION organizationalUnitName = "5. Organizational Unit Name (eg, section) " organizationalUnitName_default = Certificate Authority 0.commonName = "6. Common Name (eg, CA name) " 0.commonName_max = 64 0.commonName_default = trucmuche.diskstation.me 1.commonName = "7. Common Name (eg, CA name) " 1.commonName_max = 64 1.commonName_default = 10.0.123.123 emailAddress = "8. Email Address (eg, name@FQDN)" emailAddress_max = 40 emailAddress_default = divers@trucmuche.com EOT $openssl req -config /tmp/.mkcert.cfg \ -new -key $sslkeydir/ca.key \ -out $sslcsrdir/ca.csr <<EOT BE BRUXELLES BRUXELLES DISKSTATION trucmuche.diskstation.me 10.0.123.123 divers@trucmuche.com EOT et le 2e bloc à modifier est : echo "STEP 5: Generating X.509 certificate signing request for SERVER [server.csr]" cat > /tmp/.mkcert.cfg <<EOT [ req ] default_bits = 2048 distinguished_name = req_DN [ req_DN ] countryName = "1. Country Name (2 letter code)" countryName_default = BE countryName_min = 2 countryName_max = 2 stateOrProvinceName = "2. State or Province Name (full name) " stateOrProvinceName_default = BRUXELLES localityName = "3. Locality Name (eg, city) " localityName_default = BRUXELLES 0.organizationName = "4. Organization Name (eg, company) " 0.organizationName_default = DISKSTATION organizationalUnitName = "5. Organizational Unit Name (eg, section) " organizationalUnitName_default = DISKSTATION 0.commonName = "6. Common Name (eg, FQDN) " 0.commonName_max = 64 0.commonName_default = trucmuche.diskstation.me 1.commonName = "7. Common Name (eg, FQDN) " 1.commonName_max = 64 1.commonName_default = 10.0.123.123 emailAddress = "8. Email Address (eg, name@fqdn)" emailAddress_max = 40 emailAddress_default = divers@trucmuche.com EOT $openssl req -config /tmp/.mkcert.cfg -new \ -key $sslkeydir/server.key \ -out $sslcsrdir/server.csr <<EOT BE BRUXELLES BRUXELLES DISKSTATION trucmuche.diskstation.me 10.0.123.123 divers@trucmuche.com EOT 0 Citer
Lapin Posté(e) le 19 octobre 2012 Posté(e) le 19 octobre 2012 Salut, Tu as le problème seulement sous Safari? Ou cela fonctionne pas non plus avec IE et Firefox ? Sinon peut-être que la ligne trucmuche.diskstation.me 10.0.123.123 devrait être sur 2 lignes? trucmuche.diskstation.me 10.0.123.123[/code] Sinon tu peux essayer de télécharger le fichier ci-dessous et faire search&replace qui vont bien. 0 Citer
trucmuche2005 Posté(e) le 19 octobre 2012 Posté(e) le 19 octobre 2012 Salut Padawan ! Sous Firefox, il me dit : 10.0.123.123:7001 utilise un certificat de sécurité invalide. Le certificat n'est pas sûr car aucune chaîne d'émetteurs de confiance n'est founie. (Code d'erreur : sec_error_unknown_issuer) Sinon, je ne vois pas quelle ligne dont tu parles devrait être en deux lignes... Je n'ai pas de ligne : trucmuche.diskstation.me 10.0.123.123 c'est toujours en deux lignes séparées... Etrange non ? 0 Citer
DiPiNiXi Posté(e) le 19 octobre 2012 Posté(e) le 19 octobre 2012 Bonsoir Trucmuche, A priori il y a plusieurs petites différences dans ton mkcert.sh : deux common_name dans le premier bloque alors que j'en ai qu'un, trucmuche.diskstation.me à la place d'un saut de ligne, manque saut de ligne... Je viens de découvrir le fichier de Lapin (Merci Lapin ), j'ai presque le même et ça marche. Je le conseil. 0 Citer
trucmuche2005 Posté(e) le 20 octobre 2012 Posté(e) le 20 octobre 2012 Je viens de tester, en vain ! J'ai exactement le même problème... J'ai remplacé mon fichier par celui de lapin, changé les champs, relancé le script, rebooté le nas... et idem... :-( 0 Citer
Lapin Posté(e) le 21 octobre 2012 Posté(e) le 21 octobre 2012 Salut DiPiNiXi, L'ordre des domains peut avoir une importance oui, suivant l'application. Je sais que sous Chrome et IE, il accepte le "Multi Domain" en revanche il me semble que Firefox n'approuve que le dernier domaine de la liste. A moins qu'il ai changé sa dans la nouvelle version. Pour outlook je ne sais pas Est-ce que vous avez lors de la création du compte IMAP cette fenêtre ? : Lorsque vous afficher le certificat vous avez la possibilité de l'installer. il vous indique également si il est de confiance ou non. Salut ADN182, J'ai essayé toutes tes solutions sans succès. J'ai toujours le même avertissement à chaque lancement. Sur le MacBook de ma femme pas de problème, il suffit de faire une manip comme sous Firefox (genre "je comprends les risque, toujours faire confiance à l'éditeur de ce certif"). Après plusieurs recherches sur le net, je pense que c'est avertissement très difficile à ce débarrasser sur Outlook 2010. 0 Citer
ADN182 Posté(e) le 21 octobre 2012 Auteur Posté(e) le 21 octobre 2012 Salut Lapin, Tu as eu la fenêtre comme sur mon précédent poste "Voulez-vous continuer à utiliser ce serveur ?" ? Pourrais-tu me montrer le message d'erreur ? Car j'ai essayer avec un Serveur Non Synology ayant un certificat SSL (IMAP 993) j'ai cette avertissement, j'affiche le certificat, je l'installe, je réponds oui et je n'ai pas de message de certificat non fiable par la suite après réouverture. 0 Citer
Lapin Posté(e) le 21 octobre 2012 Posté(e) le 21 octobre 2012 Tout a fait!! J'ai systématiquement le message "Voulez-vous continuer à utiliser ce serveur ?" Comme sur ta capture d'écran ci-dessus. J'ai installé le certif comme tu l'as conseillé, puis cliquer sur OUI à la question "Voulez-vous continuer à utiliser ce serveur ?". Si je quitte Outlook, puis le relance j'ai de nouveau le message. C'est pas très grave, mais j'aurai bien aimé le dégagé. Une précision qui a peut-être son importance: je me connecte toujours par mondomaine.org, car grâce à Thierry j'ai découvert que je pouvais faire "NAT loopback avec ma NB4. Du coup pour ne pas avoir à gérer si je suis connecté en WAN ou LAN, j'utilise uniquement mon adresse DDYNS. 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.