Aller au contenu

certificat auto-signé DS216J inutilisable sur Firefox


Messages recommandés

Bonjour,

Mon objectif est de me connecter en https avec Firefox sur mon DS216J avec un certificat auto-signé plutôt qu'avec une exception.

J'ai suivi la procédure pour créer un certificat auto-signé sur le DS216J et défini comme certificat par défaut=> OK

J'ai suivi la procédure pour exporter mon certificat vers mon PC => OK

J'obtiens donc sur mon PC un fichier "archive.zip" contenant 4 fichiers :

  • "cert.pem"
  • "privkey.pem"
  • "syno-ca-cert.pem"
  • "syno-ca-privkey.pem"

J'ai essayé toutes les combinaisons possible pour tenter d'importer ce certificat dans Firefox mais rien à faire.

Importer les fichiers "privkey.pem" ou "syno-ca-privkey.pem" => aucune réaction de Firefox.

Importer les fichiers "cert.pem" ou "syno-ca-cert.pem" => message d'erreur "Ce certificat personnel ne peut être importé car vous ne possédez pas la clé privée correspondante..."

Je me doute bien qu'il y a un rapport avec "PKCS12" mais mes recherches sur le forum et sur la base de connaissance Synology n'ont rien donné.

Je sais qu'il existe la possibilité de se procurer un certificat auprès de Let's Encrypt (dans la doc) mais ce n'est pas ce que je recherche car il faut renouveler régulièrement et ouvrir le port 80, ce que je ne veux pas pour le moment.

Je sais que je pourrai éviter le HTTPS et me contenter du HTTP dans l'immédiat mais ce n'est pas non plus ce que je recherche car il faudra bien un jour que je m'ouvre sur Internet.

De toute façon il n'y a pas à tortiller du popotin : un certificat auto-signé, ça DOIT marcher !

Bref, j'ai besoin d'aide.

Merci d'avance.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 9 heures, Unsomniaque a dit :

Je sais qu'il existe la possibilité de se procurer un certificat auprès de Let's Encrypt (dans la doc) mais ce n'est pas ce que je recherche car il faut renouveler régulièrement et ouvrir le port 80, ce que je ne veux pas pour le moment.

C'est pourtant ce qu'il y a de plus simple, sans avoir à laisser le port 80 ouvert aux quatre vents. Il suffit de le filtrer dans le parefeu pour ne laisser passer que les 2 IP de Let's Encrypt à savoir :

66.133.109.36

64.78.149.164

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, Mic13710 a dit :

C'est pourtant ce qu'il y a de plus simple, sans avoir à laisser le port 80 ouvert aux quatre vents. Il suffit de le filtrer dans le parefeu pour ne laisser passer que les 2 IP de Let's Encrypt à savoir :

66.133.109.36

64.78.149.164

Merci pour cette réponse. Évidemment, si personne ne peut me donner la solution pour faire fonctionner un certificat auto-signé sur un navigateur, pas même Synology,  il me faudra bien me résoudre à utiliser Let's Encrypt.

Néanmoins, ce serait pour moi un constat d'échec assez navrant. C'est la fonctionnalité "certificat auto-signé" que je veux utiliser; elle fait parti des solutions exposées dans la doc Synology donc elle doit fonctionner.

Entre parenthèse, si même un Modo expérimenté comme Mic13710 ne sait pas répondre à cette question, c'est qu'il est vraiment nécessaire de la documenter.

N'est-il pas ? 🙂

 

Lien vers le commentaire
Partager sur d’autres sites

Je n'ai pas dit que ce n'était pas faisable, mais qu'il était plus simple d'utiliser un certificat LE.

Et pour info, ici c'est un forum d'utilisateurs de matériels Synology. Nous sommes tous des bénévoles et n'avons aucun lien avec la marque.

Si vous n'arrivez pas à installer un certificat autosigné sur Firefox, c'est peut-être dû à une protection de Firefox et pas forcément au certificat lui même qui fonctionne correctement par ailleurs.

Personnellement, je n'ai jamais utilisé de certificat autosigné, et si une solution plus formelle existe, autant l'utiliser.

Lien vers le commentaire
Partager sur d’autres sites

Le serveur n'a pas accès à internet (cf 1er post)

donc pas de LE.

Il faut accepter l'exception de sécurité définitivement quand Firefox couine.

Après ça devrait passer à chaque fois.

Une connexion HTTPS en local n'est pas utile.

 

Modifié par pluton212+
Lien vers le commentaire
Partager sur d’autres sites

il y a 5 minutes, Mic13710 a dit :

Et pour info, ici c'est un forum d'utilisateurs de matériels Synology. Nous sommes tous des bénévoles et n'avons aucun lien avec la marque.

Je ne vous ai pas critiqué, ni vous, ni le forum. Je signale juste que si quelqu'un d'expérimenté comme vous de connait pas la solution alors elle devrait être documentée plus précisément par Synolog.

à l’instant, pluton212+ a dit :

Il faut accepter l'exception de sécurité définitivement quand Firefox couine.

Encore une fois, je sais qu'il y a d'autres solutions, d'ailleurs j'en utilise une actuellement. Mais ce n'est pas ce que je demande. Ce que je demande c'est comment utiliser le certificat auto-signé exporté par le DS216J sur Firefox.

 

Ne le prenez pas mal mais si c'est pour me répondre autre chose que "comment utiliser le certificat auto-signé exporté par le DS216J sur Firefox", ne répondez pas.

Je vais continuer mes recherche sur le net, j'ai une piste du coté de la construction de certificat "PKCS12" à partir de certificat d'un autre format avec un outil SSL.

Je n'ai pas encore compris grand chose mais si j'y arrive, je viendrais vous donner la solution. Sinon je passerai à "Let's Encrypt".

Lien vers le commentaire
Partager sur d’autres sites

Le 20/10/2018 à 16:01, Mic13710 a dit :

c'est peut-être dû à une protection de Firefox et pas forcément au certificat lui même qui fonctionne correctement par ailleurs.

Effectivement, il n'est pas possible d'utiliser le certificat auto-signé exporté par le DS216J sur Firefox en tant que certificat personnel car Firefox considère tout certificat auto-signé comme une faille de sécurité. C'est pareil pour Edge, Chrome et à priori pour tous les navigateurs récents.

Plus exactement, on peut convertir le certificat auto-signé exporté par le DS216J dans un format acceptable pour l'importer dans Firefox comme certificat personnel mais Firefox ne l'utilisera pas pour se connecter sur le DS216J. Il va systématiquement vouloir passer par une exception de sécurité qui sera intégrée comme telle. Malgré tout, la connexion sera cryptée avec la clé du certificat auto-signé par défaut du DS216J. C'est bien ce certificat là qui est enregistré comme exception de sécurité, on peut le vérifier en demandant à voir le certificat au moment de l'acceptation de l'exception ou dans les options.

En rapport avec les certificats : Erreurs SSL dans les navigateurs : comment résoudre les avertissements de sécurité les plus courants

Pour ceux que ça intéresse, on peut convertir les certificats avec des commandes openssl. J'ai fais mes tests sous Ubuntu car openssl y est installé par défaut. Par exemple openssl pkcs12 -export -in certif.pem -inkey cle.pem -out certif.pfx permet de passer du format PEM à PFX (pkcs12). Mais il y a d'autre format, par exemple on peut créer une clé au format x509 avec les commandes suivantes :  HTTPS mise en place d’un certificat auto signé

Pour le moment j'ai toujours 2 réseaux locaux séparés et celui incluant le DS216J n'est pas relié à Internet, je vais donc continuer avec l'exception de sécurité le temps de finir toutes mes configurations. Puis je passerai à un certificat Let's Encrypt quand le moment sera venu de tout rassembler. Pour les débutants du NAS comme moi je conseille un tuto de ce forum : Sécuriser les accès à son nas

A propos de ce tuto, j'ai suivi le conseil de Fenrir, j'ai changé le serveur de temps Windows pour fr.pool.ntp.org comme pour le NAS mais j'ai rencontré un petit soucis lors de mes aller/retour entre mes boot Ubuntu et Windows: un décalage récurrent de l'heure entre ces deux systèmes. Une solution possible qui fonctionne chez moi consiste à passer Linus en temps local avec la commande sudo hwclock --systohc --localtime

Enfin je précise pour ceux qui ne liront pas le tuto de Fenrir que rester avec un certificat auto-signé pour se balader sur Internet est fortement déconseillé d'après lui. Je vais lui faire confiance même si je ne comprend pas encore pourquoi. Mais je vais me renseigner. Par contre je vous assure que le https sur un réseau local n'est pas inutile si vous n'êtes pas le seul utilisateur et là je sais pourquoi et je vous invite à vous renseigner.

 

 

 

 

 

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Perso, je passe systématiquement en http sur mon réseau local et je n'ai aucune inquiétude quant à la sécurité puisque il n'y a que ma femme et moi qui avons accès au NAS. Tout est question de paramétrage du routeur, du serveur DNS, du reverse proxy et du parefeu du NAS. Une règle absolue, je ne me connecte jamais à DSM depuis l'extérieur (port 5001), mais je passe par le serveur VPN.

Edit : pour être précis, mes connexions se font par ndd et en https. Par contre, le reverse proxy redirige sur les ports http des applis. Tous les accès à mes NAS se font sur les ports http.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.