Aller au contenu

Messages recommandés

Posté(e)

Bonjour à tous,

J'essaie désespérément de faire en sorte que sur mon réseau local, je puisse me connecter via chrome en https sur mon NAS, sans pour autant qu'il me dise que cela n'est pas un site sûr.

J'ai essayé des tas de tutos (génération du certificat par un tiers, auto-signature, certificat let's encrypt ...). Chrome me dit toujours que le site n'est pas sûr. (j'ai essayé avec l'adresse IP, ainsi qu'avec le nom du serveur). J'ai clairement raté quelque chose.

Je précise que je ne souhaite pas payer.

Je vous remercie grandement par avance.

Posté(e) (modifié)

Merci de préciser :

  • le modèle du nas
  • le type de volume (shr, raid, ...) et le nombre de disques, même si ici ça n'a pas d'importance
  • la version de DSM (le système installé)

nb : le plus simple c'est de tout mettre en signature, comme ça on n'a pas besoin de poser la question :biggrin:

Comme tu parles de letsencrypt, je pars du principe qu'il s'agit de DSM 6.0.

Pour la suite, je détails toutes les étapes pour que ça serve aux autres utilisateurs, mais je pense que tu n'as besoin que de certaines d'entre elles, elles sont à la fin.

-----------------------------------------------------------------

Pour qu'un certificat soit reconnu comme valide par un navigateur, il faut que les points suivants soient vrais :

  • le certificat est signé par une autorité connue du navigateur : c'est le cas des certificats délivrés par letsencrypt
  • le certificat est valide : les dates doivent être correctes (un certificat letsencrypt c'est valide 3mois)
  • le certificat doit contenir l'adresse utilisée dans le navigateur : le problème vient probablement de ce dernier point
    • si on accède au nas avec https://nas.domaine.com, le certificat doit contenir le nom nas.domaine.com
    • si on accède au nas avec https://192.168.0.2, le certificat doit contenir l'adresse 192.168.0.2
    • si on accède au nas avec https://nas, le certificat doit contenir le nom nas

Les 2 derniers cas sont à oublier (c'est techniquement possible mais ce si vous avez besoin de cette aide, c'est que c'est hors de votre portée).

Donc il faut créer un certificat pour nas.domaine.com (à remplacer par le bon nom de domaine, idem pour l'ip 192.168.0.2) :

  1. on commence par créer un nom de domaine (ou utiliser un dns dynamique) qui renvoi vers l'adresse IP du nas
    • si le nas est derrière une box, cas le plus probable, il faut utiliser l'ip publique de la box
    • normalement les services de DNS dynamique s'en chargent (on peut utiliser ceux du nas ou de la box ou ...)
  2. il faut ensuite autoriser le port 80 sur le parefeu du nas
    • si le nas est derrière une box, cas le plus probable, il faut "forwarder le port" 80 de la box vers le nas
  3. ensuite on fait la demande de certificat via le wizard dans panneau de conf->sécurité->certificat : Ajouter->Procurez-vous ... Let's Encrypt
    • il faut bien indiquer le FQDN qu'on souhaite utiliser (ici c'est nas.domaine.com), pas nas tout court ni l'ip
    • et on renseigne les autre questions
  4. une fois le certificat créé, il vaut vérifier qu'il est par défaut
    • le plus simple c'est de supprimer l'autre certificat
    • on pense à refermer le port 80 s'il n'est plus nécessaire
  5. enfin pour tester, il faut se connecter au nas avec l'adresse https://nas.domaine.com, ou https://nas.domaine.com:5001 pour accéder à DSM
    • il faut ouvrir le port 5001 et tester depuis Internet (par exemple en 3G)
  6. =>il ne devrait plus y avoir d'erreur de certificat

Le soucis est qu'en local, le navigateur va vouloir utiliser l'IP associée à nas.domaine.com, donc il va tomber sur la box (coté internet), 2 cas de figure :

  • soit la box gère le loopback, dans ce cas ça va marcher (peut être lentement par contre)
  • soit non, dans ce cas il faut faire en sorte qu'en local le nom nas.domaine.com résolve l'adresse IP privée du nas, pour y arriver, il n'y a pas 36 solutions :
    • méthode sale : on modifie son fichier hosts, dans ce cas il faut penser à le changer quand on est plus chez soit
    • méthode pas fiable : on utilise quickconnect, parfois ça marche, parfois non
    • méthode propre : on installe son propre serveur DNS
      • certaines box peuvent de jouer ce rôle => doc du constructeur
      • il existe un paquet Serveur DNS dans les Syno, bien configuré ça marche
        • il faut créer une zone maitre "nas.domaine.com" avec 2 enregistrements :
          • type NS :
            • Nom : vide
            • TTL : on peut laisser par défaut, mais je recommande un temps court (3600 par exemple)
            • Hôte/Domaine : adresse ip locale du nas (192.168.0.2 dans l'exemple)
          • type A :
            • Nom : vide
            • TTL : on peut laisser par défaut, mais je recommande un temps court (3600 par exemple)
            • Hôte/Domaine : adresse ip locale du nas (192.168.0.2 dans l'exemple)
      • dernier point, il faut indiquer aux pc d'utiliser ce serveur DNS (via le serveur DHCP de préférence)
Modifié par Fenrir
Posté(e)

Bonjour,

Merci pour cette grande explication. Alors pour commencer voici le détail de ma configuration :  DS716+ + DX213. 4 Disques en SHR. DSM 6.0.1

Je ne l'ai pas précisé dans mon poste initial mais je passe par quickconnect via internet et je ne rencontre aucun soucis. En revanche c'est uniquement en local que je rencontre ce soucis. Si j'ai forcé en HTTPS c'est que je voulais qu'il soit crypté à travers internet. Je n'ai pas vu l'option pour le crypter à travers le net et non via le réseau local.

Pour la création du nom de domaine, je dois en acheter un c'est bien cela ? Est ce vraiment bien nécessaire, alors que j'en ai juste besoin pour du local ?

Concernant let'sencrypt, je devrai renouveler l'opération tous les trois mois ?

Ne vaudrait il mieux pas que je passe par un certificat auto-signé ?

Je précise le PC sur lequel je veux y accéder est un PC de bureau fixe qui ne bouge pas du réseau local.

Je vous remercie par avance pour votre retour, car j'avoue que je suis dessus depuis un bon moment et je ne m'en sors pas.

Posté(e)
il y a 1 minute, Mugui a dit :

En revanche c'est uniquement en local que je rencontre ce soucis

Dans ce cas tu peux directement aller à la dernière partie de mon post précedent, mais lis la suite ici

il y a 5 minutes, Mugui a dit :

Si j'ai forcé en HTTPS c'est que je voulais qu'il soit crypté à travers internet. Je n'ai pas vu l'option pour le crypter à travers le net et non via le réseau local.

Les services HTTP n'écoutent pas sur les mêmes ports que les serveurs HTTPS, il suffit de ne pas ouvrir les ports non chiffrés depuis le net

il y a 1 minute, Mugui a dit :

Pour la création du nom de domaine, je dois en acheter un c'est bien cela ?

Même si je recommande d'en acheter un (c'est plus pratique pour d'autres choses), ce n'est pas obligatoire, si tu utilises QuickConnect, tu as déjà un domaine (truc.synology.me par exemple)

il y a 3 minutes, Mugui a dit :

Concernant let'sencrypt, je devrai renouveler l'opération tous les trois mois ?

Je ne sais pas si le syno intègre un système de renouvellement et je ne l'utilises pas sur mes syno, donc je n'ai pas la réponse

il y a 4 minutes, Mugui a dit :

Ne vaudrait il mieux pas que je passe par un certificat auto-signé ?

C'est contraire à ta demande initiale, à toi de voir

il y a 4 minutes, Mugui a dit :

Je précise le PC sur lequel je veux y accéder est un PC de bureau fixe qui ne bouge pas du réseau local.

Dans ce cas tu peux utiliser la méthode sale (le fichier hosts)

Posté(e)
il y a 30 minutes, Einsteinium a dit :

moi ce qui me chagrine c'est de devoir laisser le port 80 ouvert

Mouais, en ce qui me concerne vu que mon port 443 est également ouvert à l'extérieur, avoir également le 80 ouvert ne change rien en terme de sécurité, suis ni plus ni moins vulnérable.

  • 2 mois après...
Posté(e)

Je galere pas mal avec letsencrypt, apres il faut voir que je suis pas un expert de la securité.

J'ai essayé de suivre le super tuto et j'ai donc suivi la check list avec : le port 80 ouvert par ex.

Le certificat a bien été créé et est present dans la liste avec celuis de syno. Le certificat letsencrypt est bien celui par defaut.

Mon nom de domain c'est monsite.dsmynas.org que j'ai declaré lors de la creation du certificat.

Quand je me connecte sur https://monsite.dsmynas.org j'ai une erreur du genre.

monsite.dsmynas.org uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown. The server might not be sending the appropriate intermediate certificates. An additional root certificate may need to be imported. The certificate is not valid for the name monsite.dsmynas.org. Error code: SEC_ERROR_UNKNOWN_ISSUER

Le truc bizarre de mon point de vue de novice est que quand je fais un view du certificat invalide il me presente le certificat synology et non le letsencrypt.

J'ai a l'evidence raté un truc mais je vois pas ou.

J'ai testé plusieurs browser avec le meme resultat.

J'utilise les ports 5008 en HTTP et 5018 en HTTPS avec redirection auto HTTP => HTTPS.

Si vous avez des idées je suis preneur.

Merci d'avance,

Jean

Posté(e)

Ca a l'air beaucoup mieux ! merci.

Sinon j'ai declaré dans la partie proxy inversé des domaines du genre nzbget.mondomaine.dsmynas.org https 443 => 192.168.1.5 http 80

Est-ce que je dois ajouter nzbget.mondomaine.dsmynas.org dans mon certificat ? et si oui, comment faire pour modifier le certificat ?

En fait j'ai plusieurs domaines du type X.mondomaine.dsmynas.org et je souhaiterais en declarer plusieurs en une fois.

Merci d'avance,

Jean.

Posté(e)

Merci pour vos retour.

Letsencrypt gere les SAN mais la questions que je me pose est comment rajouter des SAN a un SAN existant qui contient deja une liste de sous domaine.

Jean.

Posté(e)
Il y a 6 heures, parisbyday a dit :

comment rajouter des SAN a un SAN existant qui contient deja une liste de sous domaine

On ne peut pas modifier un certificat, il faut le recréer

  • 1 an après...
Posté(e)

bonjour à tous,

dans : panneau de configuration > Avancé > suites de chiffrement TLS / SSL > Compatibilité intermédiaire

@+JP

Posté(e)
Il y a 2 heures, mjp05 a dit :

dans : panneau de configuration > Avancé > suites de chiffrement TLS / SSL > Compatibilité intermédiaire

à éviter sauf si on utilise un très vieux navigateur pas à jour et plein de failles

Posté(e) (modifié)
Le 18/12/2017 à 21:37, mjp05 a dit :

bonjour,

dans : panneau de configuration > Avancé > suites de chiffrement TLS / SSL > Compatibilité intermédiaire

ok , merci ...remis à : Compatibilité moderne

@+JP

 

Modifié par mjp05
  • 3 ans après...
Posté(e)

Balaise ce Fenrir. J'ai parcouru 30 posts et avant de lire sa longue explication, je n'avais pas résolu mon problème de "site non sécurisé". En local j'ai appliqué la méthode sale en modifiant le fichier hosts et ça marche du feu de Dieu ! Bravo en tout cas, tu as un gros level. :)

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.