Aller au contenu

Certificat Auto-Sign


Lapin

Messages recommandés

Bonjour à tous,

Voici un petit tuto pour éviter les avertissements de sécurité sous Outlook, Internet Explorer et Google Chrome. En effet ces logiciels ne permettent pas d'accepter de façon définitive un certificat auto-signé. C'est fort gênant pour ceux qui veulent utiliser une connexion SSL perso.

Voici comment procéder en images.

1- Récupérez le certificat installé dans le Syno:
Allez dans le panneau de configuration, puis Paramètres de DSM.

cert111.png

Choisir l'onglet Certificat, puis cliquez sur Exporter le certificat. Vous allez obtenir un fichier archive.zip qu'il faudra décompresser quelque part.

cert210.png


2- Cliquez sur le bouton droit de la souris sur le fichier ca.crt fraîchement décompressé.

cert310.png


3- Choisir Ordinateur local (afin d'appliquer le certificat pour tous les utilisateur du PC).

cert410.png


4- Choisir le magasin Autorités de certification racines de confiance.

cert510.png


5- Vous pouvez vérifier que votre certificat a bien été installé dans le bon magasin. Pour ce faire, appuyez sur le raccourcie clavier "touche Windows" + R. Lancez l'application certmgr.msc. Vous pouvez alors vérifier qu'il est au bon endroit.

cert610.png


Et voilà !!! Fini les messages pénibles lors d'une connexion en https.
:D

Testé sous Win7, Win8 et Win8.1 avec succès.

Modifié par Lapin
Lien vers le commentaire
Partager sur d’autres sites

il semble en effet que cette manip affecte aussi chrome du fait qu'il utilise le même magasin de certificats que IE ... je viens de fermer l'ONGLET de mon nas et de le réouvrir et j'ai pas eu de message chiant,... maintenant j'ai toujours le HTTPS en rouge barré dans la barre d'addresse et losrque je clique dessus, et demande des info sur le certificat il me dit : "ce certificat est valide" donc voilà

EDIT : le redémarrage complet de chrome est nécessaire pour que le HTTP devienne vert dans la barre d'addresse

Modifié par BLS
Lien vers le commentaire
Partager sur d’autres sites

Et bien c'est une bonne nouvelle pour les utilisateurs Chrome !!

:rolleyes:

[Edit] J'ai installé Chrome et testé. Effectivement je confirme le test de BLS. Cela fonctionne aussi pour Chrome. J'ai mis à jour le tuto.

:)

Modifié par Lapin
Lien vers le commentaire
Partager sur d’autres sites

bizarre ça, ça marche pas chez moi.

Lorsque je lance DMS il me dit que le certif est pas bon, alors je lui dit de continué jusque là c'est ok.

J'installe la procedure de Lapin et tout se passe sans probleme.

Lorsque je relance DMS, pas de pb, si j'arrete le pc et que je redemarre, à nouveau, il me dir que le certif n'est pas valide....bizarre.

De plus il me met une limite de temps reguliere et me demande de relancer DMS, c'est un peu lourd, je peux faire sauter ça où ?

Lien vers le commentaire
Partager sur d’autres sites

Désolé mais je n'utilise pas Chrome. Je ne vais pas pouvoir beaucoup t'aider.

Par contre pour ceux qui pourrait t'aider, tu devrais préciser quel Windows tu utilises (Vista, 7, 8, 8.1 32 ou 64bits) comment tu accèdes ton NAS (https://192.168.xx ou https://NAS ou ..). Comment as-tu généré ton certificat ?? Etc...

Lien vers le commentaire
Partager sur d’autres sites

bizarre ça, ça marche pas chez moi.

Lorsque je lance DMS il me dit que le certif est pas bon, alors je lui dit de continué jusque là c'est ok.

J'installe la procedure de Lapin et tout se passe sans probleme.

Lorsque je relance DMS, pas de pb, si j'arrete le pc et que je redemarre, à nouveau, il me dir que le certif n'est pas valide....bizarre.

De plus il me met une limite de temps reguliere et me demande de relancer DMS, c'est un peu lourd, je peux faire sauter ça où ?

DSM tu veux dire ... lol moi j'ai mis "2 heures" pour comprendre dsm...

boh je vais redémarrer le PC pour voir ...

Edit : pour moi il est toujours bon ... on verra a l'usage

Modifié par BLS
Lien vers le commentaire
Partager sur d’autres sites

Salut

Ça ne marche pas non plus chez moi.

Je vois que ton certificat est émis par DontCare CA, or chez moi, il est émis par "_mon_nom" et émis pour "_Certificat_Mon_Nom".

J'ai bien un certificat et je le trouve bien dans certmgr.msc.

J'ai pourtant encore la barre d'adresse avec le https barré, mais quand je clique sur mon certificat il me le marque "Ce certificat est valide."

J'ai redémarré le PC et du coup Chrome mais c'est pareil (je suis sous Windows 7 64 bits)

Lien vers le commentaire
Partager sur d’autres sites

DontCare (qui veux dire en Anglais "sans importance") est le nom que j'ai choisi. Donc cela ne vient pas de là.

Pourrais-tu tester avec IExplorer ?? Juste pour voir si c'est ton certificat, en général, qui pose problème ou si c'est lié uniquement avec Chrome.

Lien vers le commentaire
Partager sur d’autres sites

je viens de re-tester mais ça fonctionne toujours ... surtout que j'ai un sous-domaine chez no-ip.org (formule gratuite) à cause de mon ip dynamique... j'ai créé mon certificat via le DSM et comme émetteur j'ai Synology.com (je sais plus si c'est venu automatiquement ou si c'est moi qui l'ai écrit...)...

Lien vers le commentaire
Partager sur d’autres sites

DontCare (qui veux dire en Anglais "sans importance") est le nom que j'ai choisi. Donc cela ne vient pas de là.

Pourrais-tu tester avec IExplorer ?? Juste pour voir si c'est ton certificat, en général, qui pose problème ou si c'est lié uniquement avec Chrome.

C'est pareil avec InternetExplorer 11.

Lien vers le commentaire
Partager sur d’autres sites

OK. Je pense que ton certificat n'est pas bien généré. Perso, j'avais à l'époque suivi ce tuto:

Mon NAS est en IP fixe + j'ai un loopback DNS avec ma SFR Box.

Donc, j'ai utilisé mon nom dynDNS (xx.homedns.org) et l'IP fixe de mon Syno pour générer le certificat.

J'ai utilisé ce template comme base.

Depuis les dernières version DSM, je crois que l'on peut générer le certificat depuis l'interface, mais je n'ai jamais essayé.
Lien vers le commentaire
Partager sur d’autres sites

Depuis les dernières version DSM, je crois que l'on peut générer le certificat depuis l'interface, mais je n'ai jamais essayé.

C'est ce que j'ai fait. J'ai crée mon certificat depuis l'interface de mon NAS.

Car entre SSL, SSH, putty, telnet, StartSSL, certificat .crt, .pfx; j'avoue être perdu complet. Je ne suis pourtant pas une bille en réseau mais alors là, sur les certificats; je suis largué méchamment...

Puis c'est cette histoire de nom de domaine que je ne comprends pas du tout. Est ce que www.monlogin.synology.me suffit ? C'est un sous domaine mais est ce que ça va ?

Lien vers le commentaire
Partager sur d’autres sites

j'y connais rien en certificat non plus mais j'ai un sous domaine de no-ip.org alors si ça fonctionne pour moi ...

le nom de domaine c'est juste pour avoir le WHOIS ce qui permet un vrai certificat, pas un auto signé comme ici...

Lien vers le commentaire
Partager sur d’autres sites

Pour ma part, voici les paramètres que j'ai utilisé pour générer manuellement mon auto-certif:
Mon NAS est en IP fixe (très important l'ip fixe) sur 192.168.1.100
Comme je veux accéder aussi à mon NAS depuis n'importe où en dehors de chez moi, je me suis enregistre sur http://dyn.com/dns/
J'ai donc rempli dans ma SFR Box la page: http://192.168.1.1/network/ddns
Ainsi à chaque fois que mon IP internet dynamique change, la SFR box renvoie la bonne IP Wan à DynDNS.
Pour l'exemple disons que le nom est toto.homedns.org
Pour éviter de changer les configs de mes appareils mobiles, j'ai activé le DNS loopback (ce n'est pas exactement cela, mais ça fonctionne nickel) de ma SFR box:
http://192.168.1.1/network/dns
Adresse IP: 192.168.1.100
Nom d'hôte: toto.homedns.org
Ainsi que je sois chez moi ou à l'extérieur, j'accède à mon NAS par toto.homedns.org

Pour la génération de certificat, j'ai déclaré les 2 adresses, à savoir en 1er toto.homedns.org, puis en 2ème adresse 192.168.1.100.

Je ne sais pas si c'est correct, mais en tout cas cela fonctionne parfaitement sur mon vieux Dell Inspiron 1525, sur mon nouveau Asus G750 et sur le Macbook Pro de ma femme. Aussi bien à la maison qu'à l'extérieur.

Lien vers le commentaire
Partager sur d’autres sites

OK. Je pense que ton certificat n'est pas bien généré. Perso, j'avais à l'époque suivi ce tuto:

Je viens d'installer putty et de me connecter au NAS.

J'ai déjà crée des certificats via l'interface du NAS. Dois-je les supprimer avant de me lancer dans le tuto que tu me conseilles ?

Merci

Lien vers le commentaire
Partager sur d’autres sites

Non, car cela va écraser les certificats existants. Par contre n'oublie pas de redémarrer ton Syno + copier les fichiers qui vont bien si tu utilise Sabnzbd en SSL (https://xx).

Tout est dans le tuto.

Tiens nous au courant, car c'est une manipulation très intéressant !

Tu peux utiliser le template dispo ici

Cela te permettra d'avoir un fichier mkcert.sh presque prêt à l'usage.

Puis tu remplaces (find & replace all) xxx.homedns.org par ton nom de domaine et 192.168.1.10 par l'IP fixe de ton NAS en local.
Tu peux aussi, si tu le veux, remplacer Region, Ville, Geeks, DontCare, et toto@gmail.com par le noms appropriés.

Lien vers le commentaire
Partager sur d’autres sites

Après une bonne prise de tête (j'ai crée mon ca.crt plusieurs fois) ! J'ai enfin pu avoir cette jolie couleur verte.

J'étais sur le point d'abandonner et j'ai essayé de mettre "www.monlogin.synology.me" plutôt que juste "monlogin.synology.me".

Ça a marché suite à ce changement :)

P.S : Du coup ça m'a permis de résoudre un problème avec le Webdav apparemment/

Merci à vous pour les tuto et à lapin pour son aide ^_^

Modifié par c!p
Lien vers le commentaire
Partager sur d’autres sites

De rien !!

Du coup, as-tu ressayé de générer le certificat depuis l'interface DSM en utilisant "www.monlogin.synology.me" ?

C'est juste pour savoir si c'est la génération de certificat qui ne fonctionne pas de la même façon sous DSM (par rapport à la méthode manuel) ou si c'est le www qui manquait ?!?

Lien vers le commentaire
Partager sur d’autres sites

De rien !!

Du coup, as-tu ressayé de générer le certificat depuis l'interface DSM en utilisant "www.monlogin.synology.me" ?

C'est juste pour savoir si c'est la génération de certificat qui ne fonctionne pas de la même façon sous DSM (par rapport à la méthode manuel) ou si c'est le www qui manquait ?!?

Non, je n'ai pas ressayé. J'ai assez galéré ce soir pour laisser comme ça car ça marche. :D

Si j'arrive à trouver un peu de temps, je ne suis pas contre essayer pour voir si ça vient bien du "www" ou de la méthode. ;)

Merci encore et je te tiens au courant si j'essaye ;)

Lien vers le commentaire
Partager sur d’autres sites

J'ai utilisé ce tuto pour créer mon certificat :

En me servant du fichier de lapin et de "find and replace" de Notepad++ :

page-3#entry1319157804

Et en mettant "www" devant mon adresse ET en faisant la recherche des certificats avec certmgr.msc pour supprimer TOUS mes autres certificats.

J'ai recommencé plusieurs fois. Est ce que c'est un certificat mal effacé ou le "www" qui a fait la différence, je ne sais pas encore...

Lien vers le commentaire
Partager sur d’autres sites

  • 8 mois après...

Pour ma part, voici les paramètres que j'ai utilisé pour générer manuellement mon auto-certif:

Mon NAS est en IP fixe (très important l'ip fixe) sur 192.168.1.100

Comme je veux accéder aussi à mon NAS depuis n'importe où en dehors de chez moi, je me suis enregistre sur http://dyn.com/dns/

J'ai donc rempli dans ma SFR Box la page: http://192.168.1.1/network/ddns

Ainsi à chaque fois que mon IP internet dynamique change, la SFR box renvoie la bonne IP Wan à DynDNS.

Pour l'exemple disons que le nom est toto.homedns.org

Pour éviter de changer les configs de mes appareils mobiles, j'ai activé le DNS loopback (ce n'est pas exactement cela, mais ça fonctionne nickel) de ma SFR box:

http://192.168.1.1/network/dns

Adresse IP: 192.168.1.100

Nom d'hôte: toto.homedns.org

Ainsi que je sois chez moi ou à l'extérieur, j'accède à mon NAS par toto.homedns.org

Pour la génération de certificat, j'ai déclaré les 2 adresses, à savoir en 1er toto.homedns.org, puis en 2ème adresse 192.168.1.100.

Je ne sais pas si c'est correct, mais en tout cas cela fonctionne parfaitement sur mon vieux Dell Inspiron 1525, sur mon nouveau Asus G750 et sur le Macbook Pro de ma femme. Aussi bien à la maison qu'à l'extérieur.

LAPIN !!! Merci !!! C'est juste magique

Ton tuto est au top, j'aurai aimé l'avoir il y a 1 ou 2 ans.

Mais ce pseudo loopback, c'est magique, j'ai aussi une box SFR, et la c'est GENIAL.

Le certif que j'avais créer pour moi et les "lapinou" qui ce connectaient de l’extérieur... c’était peine perdu en interne et pas envie d'utiliser mon NAS comme serveur DNS.

Maintenant, la box renvoi l'adresse xxxx.synology.me (les autres DyDNS & co étant presque tous devenu payant...) vers l'IP LAN du NAS

Plus de message d'erreur quand je suis sur le LAN.

Un grand merci.

NAS DS411+ - DSM 5.1

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.