Cr

[ADN182]

merci de bien vouloir m'aider

1- comment te joindre mon mkcert.sh en mp?? (je ne peux pas attacher de fichier à mon message)

2- j'ai bien modifier le certificat (tu t'en doutes!) et je supprime systématiquement à chaque modif le certificat dans la console avant de relancer par contre depuis tout a l'heure dans la console, je le supprime et chaque fois il reviens...!

3- Dans le panneau de config du syno, quand je met en place le https, quelle est la clé privé à importer: le ca.key ou server.key

2 - Tu veux dire quoi par il revient ? Sinon tu peux faire une recherche par rapport à l'organisation de certification que tu as donné dans le mkcert.sh il me semble.

3 - Il n'a aucune clé à importer ! tu redémarre bien ton Syno à chaque modif de certificat ?

[bjp]

2 - Tu veux dire quoi par il revient ? Sinon tu peux faire une recherche par rapport à l'organisation de certification que tu as donné dans le mkcert.sh il me semble.

3 - Il n'a aucune clé à importer ! tu redémarre bien ton Syno à chaque modif de certificat ?

- j'ai bien télécharger ton fichier

- remplacer les lignes adéquat

- lancer le script

- redémarrer

- importer le certificat

- activer la connexion https pour les services web

- activer la connexion https dans les paramètres du DSM

- rediriger automatiquement les connexion http vers le https

et voilà les résultats...!!! (EN LOCAL), je désespère. Mais merci quand même

résultat dans Chrome

résultat dans IE

résultat dans firefox

Modifié le 15 octobre 2012 par bjp

[Lapin]

Peux-tu donner la ligne de commande que tu exécutes pour générer le certificat??

[Lapin]

Message pour ADN182:

Si cela te semble intéressant, tu peux peut-être rajouter en annexe de ton tuto les commandes suivantes: pour ceux comme moi qui utilise SABnzbd (depo SynoCommunity) en SSL voici comme remplacer les clés SSL par celles fraichement générées:

cp /usr/syno/etc/ssl/ssl.key/server.key /usr/local/sabnzbd/var/admin/

cp /usr/syno/etc/ssl/ssl.crt/server.crt  /usr/local/sabnzbd/var/admin/

Ne pas oublier de redémarrer le package SABnzbd pour tenir compte des nouveaux certificats !

[bjp]

Peux-tu donner la ligne de commande que tu exécutes pour générer le certificat??

j'exécute comme le tuto..

a savoir:

(1) chmod +x /volume1/certificat/mkcert.sh

(2) cd /volume1/certificat/

(3) ./mkcert.sh

(4) je redémmare

[Lapin]

Donc en te connectant sur mondomaine.org tout fonctionne correctement, mais en local tu as les messages d'avertissement?

1- Es-tu sûr de bien avoir remplacé dans mon fichier tous les 192.168.1.10 par 192.168.1.75 ?

2- Ton NAS est bien en IP fixe?

3- Quand tu remplaces les champs dans le fichier mkcert.sh, tu n'utilises pas de caractères spéciaux?? Genre éèù, etc...

Sinon peux-tu poste le résultat lorsque tu exécutes le script?

Modifié le 15 octobre 2012 par Lapin

[bjp]

Donc en te connectant sur mondomaine.org tout fonctionne correctement, mais en local tu as les messages d'avertissement?

1- Es-tu sûr de bien avoir remplacé dans mon fichier tous les 192.168.1.10 par 192.168.1.75 ?

2- Ton NAS est bien en IP fixe?

3- Quand tu remplaces les champs dans le fichier mkcert.sh, tu n'utilises pas de caractères spéciaux?? Genre éèù, etc...

Sinon peux-tu poste le résultat lorsque tu exécutes le script?

a) en local, j'ai donc tous ses avertissements, (j'ai pas eu l'occasion de tester en "mondomaine.org")

je suis bien en IP fixe

c) aucun caractères spéciaux dans l'édition du mkcert.ch , mis a part un ^ sur le i de Nîmes (mais il me semble que j'avais essayé sans...)

j'ai justement enregistré le dernier... (résultat) le voici:

BusyBox v1.16.1 (2012-09-26 03:30:23 CST) built-in shell (ash)

Enter 'help' for a list of built-in commands.

IPCS> chmod +x /volume1/certificat/mkcert.sh

IPCS> cd /volume1/certificat/

IPCS> ./mkcert.sh

STEP1: Generating RSA private key for CA (1024 bit) [ca.key]

WARNING: can't open config file: /usr/syno/ssl/openssl.cnf

1736550 semi-random bytes loaded

Generating RSA private key, 1024 bit long modulus

......................++++++

.++++++

e is 65537 (0x10001)

______________________________________________________________________

STEP 2: Generating X.509 certificate signing request for CA [ca.csr]

WARNING: can't open config file: /usr/syno/ssl/openssl.cnf

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

1. Country Name (2 letter code) [FR]:2. State or Province Name (full name) [Languedoc Roussillon]:3. Locality Name (eg, city) [Nîmes]:4. Organization Name (eg, company) [CMOI Services]:5. Organizational Unit Name (eg, section) [Certificate Authority]:6. Common Name (eg, CA name) [CMOI Services CA]:7. Email Address (eg, name@FQDN) [admin@CMOI.myds.me]:

______________________________________________________________________

STEP 3: Generating X.509 certificate for CA signed by itself [ca.crt]

WARNING: can't open config file: /usr/syno/ssl/openssl.cnf

Signature ok

subject=/C=FR/ST=Languedoc Roussillon/L=NxEEmes/O=CMOI Services/OU=Certificate Authority/CN=CMOI Services CA/emailAddress=admin@CMOI.myds.me

Getting Private key

Verify: matching certificate & key modulus

WARNING: can't open config file: /usr/syno/ssl/openssl.cnf

WARNING: can't open config file: /usr/syno/ssl/openssl.cnf

Verify: matching certificate signature

WARNING: can't open config file: /usr/syno/ssl/openssl.cnf

/usr/syno/etc/ssl/ssl.crt/ca.crt: C = FR, ST = Languedoc Roussillon, L = NC3AEmes, O =CMOI Services, OU = Certificate Authority, CN = CMOI Services CA, emailAddress = admin@CMOI.myds.me

error 18 at 0 depth lookup:self signed certificate

OK

______________________________________________________________________

STEP 4: Generating private key for SERVER (1024 bit) [server.key]

WARNING: can't open config file: /usr/syno/ssl/openssl.cnf

1736550 semi-random bytes loaded

Generating RSA private key, 1024 bit long modulus

.............................++++++

....++++++

e is 65537 (0x10001)

______________________________________________________________________

STEP 5: Generating X.509 certificate signing request for SERVER [server.csr]

WARNING: can't open config file: /usr/syno/ssl/openssl.cnf

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

1. Country Name (2 letter code) [FR]:2. State or Province Name (full name) [Languedoc Roussillon]:3. Locality Name (eg, city) [Nîmes]:4. Organization Name (eg, company) [CMOI Services]:5. Organizational Unit Name (eg, section) [iPCS]:6. Common Name (eg, FQDN) [CMOI.myds.me]:7. Common Name (eg, FQDN) [192.168.1.75]:8. Email Address (eg, name@fqdn) [admin@CMOI.myds.me]:

______________________________________________________________________

STEP 6: Generating X.509 certificate signed by own CA [server.crt]

WARNING: can't open config file: /usr/syno/ssl/openssl.cnf

Signature ok

subject=/C=FR/ST=Languedoc roussillon/L=NxEEmes/O=CMOI Services/OU=IPCS/CN=CMOI.myds.me/CN=192.168.1.75/emailAddress=admin@CMOI.myds.me

Getting CA Private Key

Verify: matching certificate & key modulus

WARNING: can't open config file: /usr/syno/ssl/openssl.cnf

WARNING: can't open config file: /usr/syno/ssl/openssl.cnf

Verify: matching certificate signature

WARNING: can't open config file: /usr/syno/ssl/openssl.cnf

/usr/syno/etc/ssl/ssl.crt/server.crt: OK

Modifié le 24 octobre 2012 par bjp

[tricoton]

Merci pour ce tuto, a suivre à la lettre comme c'est bien précisé :

une petite erreur dans le fichier mkcert et plus d'accès HTTPS, grosse frayeur . Recherche de l'erreur, génaration certificat, ouf ca remarche

et je suis bien "green" dans le navigateur.

[bjp]

Merci pour ce tuto, a suivre à la lettre comme c'est bien précisé :

une petite erreur dans le fichier mkcert et plus d'accès HTTPS, grosse frayeur . Recherche de l'erreur, génaration certificat, ouf ca remarche

et je suis bien "green" dans le navigateur.

il y en a qui on bien de la chance..!

[Lapin]

Je pense qu'il faudrait que tu essayes depuis l'exterieur avec un autre PC. Voir, essayer avec un autre PC en local si possible.

Ton problème vient peut-être de ton PC (plusieurs certificat pour la même adresse ?), pas du Syno.

Pour ma part je ne suis pas assez calé dans le domaine des certifs. Je n'ai plus d'idée.

[bjp]

Je pense qu'il faudrait que tu essayes depuis l'exterieur avec un autre PC. Voir, essayer avec un autre PC en local si possible.

Ton problème vient peut-être de ton PC (plusieurs certificat pour la même adresse ?), pas du Syno.

Pour ma part je ne suis pas assez calé dans le domaine des certifs. Je n'ai plus d'idée.

HOURRA ..Tout fonctionne

j'ai recommencé ce matin entièrement et je suis "vert" partout

par contre, je ne comprends pas vraiment pourquoi il m'indique:

"votre connexion à "IP LOCAL" est sécurisé par un chiffrement 256 bits

Alors que dans le rapport d'exécution il marque 1024 bits..!!!??

MERCI A TOUS POUR VOTRE SOUTIEN ET VOTRE AIDE PRECIEUSE :wub:

[Lapin]

Cool !!

Content pour toi !!

[Lapin]

Question pour ADN182:

J'utilise aussi mon Syno comme serveur IMAP. Saurais-tu comment installer le certificat de façon à ce que Outlook 2010 n'affiche pas un message d'avertissement à chaque lancement??

Merci !!

[ADN182]

Salut Lapin,

J'ai peu être deux trois truc pour toi

1) Essaye de mettre ton certificat dans le "Compte Ordinateur" plutôt que dans le magasin par défaut.

lors de l'importation tu peux choisir le magasin en cochant la case "Afficher les magasins Physiques".

2) Les mettre dans le dossier "Editeurs Approuvés" au lieu de "Autorités de certification racine"

3) Importer le certificat dans outlook mais je sais pas si ça sert au connexion IMAPS

Tu vas dans Outil/Option (Je suis sous 2010)

Si tu regarde dans cette fenêtre (1 onglet) tu comprendra pourquoi j'ai mis dans mon 2) de le mettre dans les "Editeurs Approuvés" (Les certificats dans ce groupe y apparaissent)

Modifié le 19 octobre 2012 par ADN182

[DiPiNiXi]

Bonjour ADN, et merci pour le tuto

Même genre de problème que Lapin.

J'ai créé mon certificat double "domain.no-ip.org" et "domain". Pas de problème avec IE ni Firefox.

Mais j'utilise aussi le Syno comme serveur POP3 en SSL et à chaque fois que je lance Outlook 2007, j'ai le message :

"Le serveur auquel vous êtes connecté utilise un certificat de sécurité impossible à vérifier."

"Le nom principal de la cible n'est pas correct"

J'ai mis mon certif dans Editeur approuvé et dans Ordinateur local, mais ça n'a rien changé.

Est-ce que l'ordre des domains a de l'importance ? Quand je fais "Afficher le certificat", il me met Délivré à domain au lieu de domain.no-ip.org

DiPiNiXi

Modifié le 18 octobre 2012 par DiPiNiXi

[ADN182]

Salut DiPiNiXi,

L'ordre des domains peut avoir une importance oui, suivant l'application. Je sais que sous Chrome et IE, il accepte le "Multi Domain" en revanche il me semble que Firefox n'approuve que le dernier domaine de la liste. A moins qu'il ai changé sa dans la nouvelle version. Pour outlook je ne sais pas

Est-ce que vous avez lors de la création du compte IMAP cette fenêtre ? :

Lorsque vous afficher le certificat vous avez la possibilité de l'installer. il vous indique également si il est de confiance ou non.

[Lapin]

Pour ma part je n'ai pas encore eu le temps de tester. Je vais essayer tous cela ce WE. Je vous tiens au courrant.

Modifié le 19 octobre 2012 par Lapin

[trucmuche2005]

Salut à vous !

Je tente de suivre le tuto pour installer un certificat qui me permettra de sécuriser le https quand je suis en local (avec l'IP 10.0.123.123 pour le NAS) et quand je suis à l'extérieur (avec l'adresse publique trucmuche.diskstation.me pour le NAS). J'ai tout bien suivi, mais Safari me dit qu'il y a discordance des noms d'hôtes (trucmuche.diskstation.me) alors que je suis en local et que j'accède au nas via 10.0.123.123. Normal, je me dis... sauf qu'il me semble avoir tout bien fait. Voici les extraits importants de mon mkcert.sh... Peut-être ai-je fait une erreur quelquepart ??

Je vous remercie d'avance pour votre aide !

Trucmuche

[ req ]

default_bits				    = 2048       <<<<<<<< j'ai changé les 1024 en 2048 partout ailleurs dans le fichier...

distinguished_name			  = req_DN

[ req_DN ]

countryName					 = "1. Country Name			 (2 letter code)"

countryName_default			 = BE

countryName_min				 = 2

countryName_max				 = 2

stateOrProvinceName			 = "2. State or Province Name   (full name)    "

stateOrProvinceName_default	 = BRUXELLES

localityName				    = "3. Locality Name		    (eg, city)	 "

localityName_default		    = BRUXELLES

0.organizationName			  = "4. Organization Name	    (eg, company)  "

0.organizationName_default	  = DISKSTATION

organizationalUnitName		  = "5. Organizational Unit Name (eg, section)  "

organizationalUnitName_default  = Certificate Authority

0.commonName					  = "6. Common Name			  (eg, CA name)  "

0.commonName_max				  = 64

0.commonName_default			  = trucmuche.diskstation.me

1.commonName					  = "7. Common Name			  (eg, CA name)  "

1.commonName_max				  = 64

1.commonName_default			  = 10.0.123.123

emailAddress				    = "8. Email Address		    (eg, name@FQDN)"

emailAddress_max			    = 40

emailAddress_default		    = divers@trucmuche.com

EOT

$openssl req -config /tmp/.mkcert.cfg \

  -new -key $sslkeydir/ca.key \

  -out $sslcsrdir/ca.csr <<EOT

BE

BRUXELLES

BRUXELLES

DISKSTATION

trucmuche.diskstation.me

10.0.123.123

divers@trucmuche.com

EOT

et le 2e bloc à modifier est :

echo "STEP 5: Generating X.509 certificate signing request for SERVER [server.csr]"

cat > /tmp/.mkcert.cfg <<EOT

[ req ]

default_bits				    = 2048

distinguished_name			  = req_DN

[ req_DN ]

countryName					 = "1. Country Name			 (2 letter code)"

countryName_default			 = BE

countryName_min				 = 2

countryName_max				 = 2

stateOrProvinceName			 = "2. State or Province Name   (full name)    "

stateOrProvinceName_default	 = BRUXELLES

localityName				    = "3. Locality Name		    (eg, city)	 "

localityName_default		    = BRUXELLES

0.organizationName			  = "4. Organization Name	    (eg, company)  "

0.organizationName_default	  = DISKSTATION

organizationalUnitName		  = "5. Organizational Unit Name (eg, section)  "

organizationalUnitName_default  = DISKSTATION

0.commonName					  = "6. Common Name			  (eg, FQDN)	 "

0.commonName_max				  = 64

0.commonName_default			  = trucmuche.diskstation.me

1.commonName					  = "7. Common Name			  (eg, FQDN)	 "

1.commonName_max				  = 64

1.commonName_default			  = 10.0.123.123

emailAddress				    = "8. Email Address		    (eg, name@fqdn)"

emailAddress_max			    = 40

emailAddress_default		    = divers@trucmuche.com

EOT

$openssl req -config /tmp/.mkcert.cfg -new \

  -key $sslkeydir/server.key \

  -out $sslcsrdir/server.csr <<EOT

BE

BRUXELLES

BRUXELLES

DISKSTATION

trucmuche.diskstation.me

10.0.123.123

divers@trucmuche.com

EOT

[Lapin]

Salut,

Tu as le problème seulement sous Safari? Ou cela fonctionne pas non plus avec IE et Firefox ?

Sinon peut-être que la ligne

trucmuche.diskstation.me 10.0.123.123

devrait être sur 2 lignes?

trucmuche.diskstation.me

10.0.123.123[/code]

Sinon tu peux essayer de télécharger le fichier ci-dessous et faire search&replace qui vont bien.

[trucmuche2005]

Salut Padawan !

Sous Firefox, il me dit :

10.0.123.123:7001 utilise un certificat de sécurité invalide.

Le certificat n'est pas sûr car aucune chaîne d'émetteurs de confiance n'est founie.

(Code d'erreur : sec_error_unknown_issuer)

Sinon, je ne vois pas quelle ligne dont tu parles devrait être en deux lignes... Je n'ai pas de ligne :

trucmuche.diskstation.me 10.0.123.123

c'est toujours en deux lignes séparées...

Etrange non ?

[DiPiNiXi]

Bonsoir Trucmuche,

A priori il y a plusieurs petites différences dans ton mkcert.sh : deux common_name dans le premier bloque alors que j'en ai qu'un, trucmuche.diskstation.me à la place d'un saut de ligne, manque saut de ligne...

Je viens de découvrir le fichier de Lapin (Merci Lapin ), j'ai presque le même et ça marche. Je le conseil.

[trucmuche2005]

Je viens de tester, en vain ! J'ai exactement le même problème... J'ai remplacé mon fichier par celui de lapin, changé les champs, relancé le script, rebooté le nas... et idem... :-(

[Lapin]

Salut DiPiNiXi, L'ordre des domains peut avoir une importance oui, suivant l'application. Je sais que sous Chrome et IE, il accepte le "Multi Domain" en revanche il me semble que Firefox n'approuve que le dernier domaine de la liste. A moins qu'il ai changé sa dans la nouvelle version. Pour outlook je ne sais pas Est-ce que vous avez lors de la création du compte IMAP cette fenêtre ? : Lorsque vous afficher le certificat vous avez la possibilité de l'installer. il vous indique également si il est de confiance ou non.

Salut ADN182,

J'ai essayé toutes tes solutions sans succès. J'ai toujours le même avertissement à chaque lancement.

Sur le MacBook de ma femme pas de problème, il suffit de faire une manip comme sous Firefox (genre "je comprends les risque, toujours faire confiance à l'éditeur de ce certif").

Après plusieurs recherches sur le net, je pense que c'est avertissement très difficile à ce débarrasser sur Outlook 2010.

[ADN182]

Salut Lapin,

Tu as eu la fenêtre comme sur mon précédent poste "Voulez-vous continuer à utiliser ce serveur ?" ?

Pourrais-tu me montrer le message d'erreur ? Car j'ai essayer avec un Serveur Non Synology ayant un certificat SSL (IMAP 993) j'ai cette avertissement, j'affiche le certificat, je l'installe, je réponds oui et je n'ai pas de message de certificat non fiable par la suite après réouverture.

[Lapin]

Tout a fait!! J'ai systématiquement le message "Voulez-vous continuer à utiliser ce serveur ?" Comme sur ta capture d'écran ci-dessus.

J'ai installé le certif comme tu l'as conseillé, puis cliquer sur OUI à la question "Voulez-vous continuer à utiliser ce serveur ?".

Si je quitte Outlook, puis le relance j'ai de nouveau le message. C'est pas très grave, mais j'aurai bien aimé le dégagé.

Une précision qui a peut-être son importance: je me connecte toujours par mondomaine.org, car grâce à Thierry j'ai découvert que je pouvais faire "NAT loopback avec ma NB4. Du coup pour ne pas avoir à gérer si je suis connecté en WAN ou LAN, j'utilise uniquement mon adresse DDYNS.