Aller au contenu

Certificat HTTPS & Co


Messages recommandés

Bonjour,

Depuis quelques jours j'essaie vainement de créer un certificat Let's Encrypt pour mon NAS Syno pour y accéder de l'extérieur sans avoir systématiquement un message d'alerte me disant que le site n''est pas sécurisé.... Je passe outre à chaque fois et ça marche mais c'est un peu agaçant à la longue.
J'ai parcouru le forum ainsi que d'autres site web pour trouver une solution. J'ai tenté d'appliquer ce que j'ai pu lire ici et là  mais sans succès.... A chaque tentative, il m'est répondu : "Erreur de connexion. Veuillez redémarrer DSM" ou quelque chose de similaire.
Pour l'accès extérieur, j'ai créé des règles de pare-feu avec, entre autres, les ports 80 et 443 ouverts. Ceux-ci sont bien redirigés par mon routeur (Livebox).
Par ailleurs, j'ai modifié les ports 5000 et 5001 en d'autres ports (avec redirection forcée vers HTTPS) et en les rappelant bien dans mon routeur.
Ayant une IP dynamique chez Orange, j'ai bien créé un nom de domaine via Synology (xxxx.synology.me).
En fait, tout ça marche assez bien hormis ce maudit message de sécurité apparaissant à chaque connexion. J'aurais aimé avoir une connexion HTTPS certifiée mais toutes mes tentatives comme dit plus haut ont échoué.
En dernier recours, j'ai tenté d'installer le paquet Web Station comme préconisé sur un site web mais ça n'a réussi que "m'interdire" l'accès à la console DSM sur mon PC. Quand je tapais l'adresse IP locale de mon NAS sur mon navigateur, un écran s'affichait me disant que WEB Station avait bien été  installée mais pour poursuivre la configuration il me fallait me rendre sur sur l'Aide DSM. Très bien, mais impossible de sortir de cette page (figée) et donc de me rendre sur la console de configuration pour poursuivre l'opération.... J'ai réussi à m'en sortir en supprimant Web Station & Co via mon accès externe qui continuait à marcher très bien hormis le petit souci évoqué ici et objet de mon post.
Donc pour mon certificat SSL, je ne sais plus quoi faire après avoir tenté différentes choses. Hormis si quelqu'un aurait une idée dans le forum, je pense que je vais rester ainsi avec mon message d'alerte systématique ☹️ Il y aurait bien la solution du certificat auto-signé (pas encore tenté) mais je ne sais pas ce que cela vaut en termes de sécurité ??? J'ai lu tout et son contraire sur le sujet....
Dernière chose à laquelle je pense, dans les règles de mon pare-feu j'ai limité l'accès aux seules IP françaises. Ne sachant pas où se trouvent les serveurs LE, ça pourrait peut-être venir de là ??? Mais je ne suis pas chaud pour ouvrir l'accès aux quatre vents....
Dernière chose, mon NAS est un DS414 avec une DSM 6.0.3. Il ne m'est proposé aucune MàJ supérieure dans le centre de paquets (???). Puis-je l'upgrader manuellement vers la dernière version (7.0) ou au moins vers la 6.2.xx sans risque majeur ???

Merci d'avance pour vos réponses


 

Lien vers le commentaire
Partager sur d’autres sites

Web station installé, il est normal que si tu te connectes depuis l'exterieur avec https://xxx.synology.me tu tombes sur la page d'erreur que tu indiques car tu n'heberges pas de site web sur ton NAS. C'est ce qu'indique le message. C'est sans importance.

image.png.996ccb2ac147c47453df2ffd409a7f1f.png


Si tu te connectes avec https://xxx.synology.me:5001 tu accedes à DSM (5001 ou le port HTTPS que tu as redéfinis)

Lien vers le commentaire
Partager sur d’autres sites

Salut 👋🏻 

Tout d’abord il est clairement anormal que le certificat ne puisse pas se faire, surtout sur le nom de domaine synology.

as tu essayé de le supprimer (le nom de domaine ) et de le recréer en cochant bien la case pour mettre le certificat LE par défaut.

 

si tu as déjà tenté, faudrait vérifier que le certificat est bien créé . Est ce bien le cas ? (Faut regarder dans l’onglet dédié de dsm, je me rappelle plus le nom et je suis sur mobile).

 Ensuite il faut que tu mettes ce certificat sur le nom de domaine : utilise le bouton modifier pour affecter un certificat à un nom de domaine ou à un service enregistré dans le reverse proxy.

Si j’ai l’occasion de faire des captures avant que quelqu’un te réponde je les mettrais . 

Lien vers le commentaire
Partager sur d’autres sites

Le certificat Let's encrypt se présente comme ceci, premiere ligne le nom que tu lui donnes, dessous le nom de domaine auquel il est rattaché.

image.png.6b947feaf692a4d6cb484bc3c7a139ff.png

C'est bien un certificat émis par  Let's Encrypt (R3) et non le certificat synology.

Modifié par cadkey
Lien vers le commentaire
Partager sur d’autres sites

Tout d'abord, merci pour les réponses rapides 🙂

@cadkey
La capture que tu indiques c'est exactement le message que j'avais.
La seule différence c'est ce que j'avais en local (depuis mon navigateur => Firefox). Depuis l'extérieur, comme je l'ai indiqué, j'accédais parfaitement à DSM. C'est ce qui m'a permis d'ailleurs de supprimer Web Station.
Cette alerte n'est peut-être pas importante (pas de site hébergé), mais impossible de m'en défaire !!! Aucune possibilité pour passer outre (coche, escape, enter....etc.). Donc, solution ultime : tout désinstaller....

@MilesTEG1
Merci aussi de ton intervention.
Quand j'ai créé mon nom de domaine (il y a déjà quelques temps), je n'avais pas réussi, comme tu l'indiques, à générer le certificat. J'avais laissé tombé en me disant que je verrai plus tard.... Comme ça marchait en gros, j'ai fait avec le message d'alerte en passant outre. Mais, à la longue, c'est agaçant....
Donc non, le certificat n'est pas créé. Comme expliqué, quand je tente, ça me répond erreur de connexion et ça ne va pas plus loin...
Pourtant à la lecture des différents tutos sur le sujet, ça n'a pas l'air compliqué. Je crois avoir suivi à la lettre ce qui est demandé de faire ???

Lien vers le commentaire
Partager sur d’autres sites

il y a 9 minutes, Maurice92 a dit :

Cette alerte n'est peut-être pas importante (pas de site hébergé), mais impossible de m'en défaire !!! Aucune possibilité pour passer outre (coche, escape, enter....etc.). Donc, solution ultime : tout désinstaller....

Avec Web Station et sans site web, Normal que tu restes bloqué sur cette page si tu tentes de te connecter avec https://xxx.synology.me
Dans ce cas il faut te connecter avec https://xxx.synology.me:5001 (le numero du port https que tu as choisi en remplacement de 5001)

Modifié par cadkey
Lien vers le commentaire
Partager sur d’autres sites

En local, je me connecte via l'adresse IP du NAS sur le réseau interne => 192..168.1.xx (seulement)
Habituellement, comme il y a une redirection HTTP --> HTTPS, mon navigateur me connecte directement au port adéquat (que j'ai modifié).
Là ce n'était pas le cas. Peut-être que j'aurais dû spécifier le port en plus ??? J'avoue je n'y ai pas pensé car je n'en ai jamais vraiment eu besoin auparavant. Comme dis plus haut, quand je tapais 192.168.1.xx, la connexion s'établissait automatiquement sur 192.168.1.xx:yyyy

Lien vers le commentaire
Partager sur d’autres sites

Oui, le Syno est bien identifié. Comme j'ai dit, j'y accède sans pb depuis l'extérieur. Le seul point qui m'ennuie c'est le fichu message d'alerte pour site non sécurisé. Je peux faire avec bien-sûr mais bon, si je pouvais éviter ça serait mieux => certificat SSL obligatoire...
J'ai bien une IP dynamique couverte par un nom de domaine Synology (DDNS).

Lien vers le commentaire
Partager sur d’autres sites

@Maurice92

Tu pourrais préciser quelle adresse tu tapes quand tu as l'alerte de sécurité ?

Tu utilises DSM 7 ou DSM 6.2 ?

Sinon j'ai récupéré mon ordi 🙂  Je vais pouvoir agrémenter ce message de quelques captures.

 

On va reprendre du début, pour être sûr de parler des bonnes choses.
Mes captures sont faites avec DSM 7, mais pour DSM 6.2, c'est normalement valable aussi, sauf pour le reverse proxy...

 

1/
Peux-tu confirmer que dans l'onglet sécurité/certificat, tu n'as rien ?
Moi j'ai deux certificats pour deux noms de domaines.
CKwRQJR.png

Si tu as quelque chose dans cet onglet, ne fait pas la suite, et attends de nouvelles instructions, il y a moyen de faire fonctionner le bazar 🙂 (voir point 4/ )

 

2/
Dans l'onglet Accès externe/DDNS : tu dois avoir une ligne avec Synology et l'adresse externe. On est bien d'accord ?
GZZZK05.png

Si oui :

3.1/ 
Alors, il faut vérifier dans ta box, que le port HTTPS que tu as personnalisé pour DSM soit bien routé vers l'IP de ton NAS. Prenons la valeur par défaut pour illustrer l'exemple : 5001.
Attention ne route surtout pas le 5000 !
(tant que tu es à vérifier ces ports, je te propose de router aussi le port 443, j'en parlerais à la fin du message).

3.2/ 
Maintenant, tu testes l'accès à DSM avec une connexion 4G (autre que celle de ta box) en tapant :

  • ton adresse IP internet avec le port de connexion :  https://ip_box:port/
  • ton nom de domaine : https://mon-ndd.tld:port/

En fonction des résultats on avisera.

  • Si tu accèdes sans soucis des deux manières à DSM, tout va bien. Tu vas pouvoir tenter de générer le certificat.
  • Si tu n'accèdes pas à DSM, là ça veut dire que tu as quelque chose qui bloque... va falloir trouver quoi.

 

4/
Ensuite, pour le certificat, il faudrait vérifier en cliquant sur le bouton Paramètre, et voir si tu pourrais pas affecter le certificat sur les services.
FHLF3FR.png

 

5/
Sinon faudrait essayer de réinitialiser le certificat :
cdL40HW.png

Par contre, là je ne sais pas ce que ça fait, je n'ai jamais tenté...

 

______________________

Autre chose, si tu es intéressé, c'est de ne pas exposer le port de DSM sur internet, et de ne passer que par le port 443 (qui sera le seul port ouvert sur la box), en utilisant le reverse proxy.
Là il faut créer une entrée dans le reverse proxy comme ceci (toujours avec DSM7 😉 ) :
iM9RoCI.png

 

Pour le certificat, une fois que tu sais que ton nom de domaine fonctionne sans soucis, il va falloir le recréer le nom de domaine et choisir de créer le certificat et de le mettre par défaut au moment de la création.
Voir aussi cet article qui parle de ça, et de la création du certificat LE pour le nom de  domaine synology (ça rend un peu redondant tout ce que j'ai dit précédemment 😛 )
NAS Synology : Domaine, sous-domaine, Reverse-Proxy et HTTPS (cachem.fr) (l'exemple utilisé dans cet article est pour Bitwarden, mais s'applique aussi pour DSM comme je l'ai montré au-dessus).

 

Voilà 🙂 En tout cas, ne laisse pas tomber l'affaire, il faut que ça fonctionne ! Ce n'est pas normal que ça ne fonctionne pas...

 

Tu peux illustrer ta réponse avec des captures d'écrans, surtout pour les réglages 🙂 Masque les infos sensibles comme l'iP internet (il ne sert à rien de masquer les IP locales LAN), le nom de domaine...

++

Lien vers le commentaire
Partager sur d’autres sites

@cadkey

Je pense jeter l'éponge....

Je crois avoir fait tous les réglages/manipulations possibles sans aucun résultat probant.

Dernières manips effectuées :

 - dans le pare-feu, désactivation de la règle relative aux pays (voir mon post initial) => connexion toujours refusée.

 - désactivation du pare-feu (au cas où) => connexion toujours refusée.

 Donc, j'avoue, je sèche.....

 Je crains que je vais devoir continuer à me connecter depuis l'extérieur avec ce fichu message d'alerte à chaque fois. Tant qu'il me bloque pas complètement, c'est déjà mieux que rien....

 

 @MilesTEG1

 Je te donne mes réponses dans l'ordre de tes questions.

 Tout d'abord, comme je l'ai dit dans mon post initial, ma version de DSM est la 6.0.3. Dans la fenêtre Panneau de configuration/Mise à Jour DSM, il m'est dit que toutes les MàJ critiques sont installées. Il ne m'est pas proposé de passer à la version supérieure.

 D'où ma question dans ce 1er post, puis-je sans risque installer manuellement la version 6.2, voire 7.0, sans risque ? Pour rappel, mon NAS est un DS414.

 Pour ce qui est de l'adresse tapée pour une connexion depuis l'extérieur, c'est celle de mon nom de domaine créé via DDNS de synology. Bien sûr associée au numéro de port HTTPS que j'ai modifié.

 

 Mes réponses :

 1) Dans l'onglet en question, j'ai uniquement le certificat de base de Synology. Mais bon, celui-ci n'est pas reconnu en tant que tel pour la plupart des navigateurs.

 2) Oui. C'est bien ça.

 3.1) Oui aussi. Tous les ports nécessaires sont bien routés vers mon NAS

 3.2) Oui dans les 2 cas.

 4) Du fait de ma version de DSM, je n'ai pas tout à fait la même présentation que ton exemple. Mais de manière "détournée" je vois que le certificat Synology (le seul que j'ai) est appliqué à différentes applications.

 5) Impossible faute de certificat ad-hoc.

  Merci pour le petit conseil à propos de l'exposition du port DSM

Lien vers le commentaire
Partager sur d’autres sites

Il y a 21 heures, Maurice92 a dit :

Dernière chose, mon NAS est un DS414 avec une DSM 6.0.3. Il ne m'est proposé aucune MàJ supérieure dans le centre de paquets (???). Puis-je l'upgrader manuellement vers la dernière version (7.0) ou au moins vers la 6.2.xx sans risque majeur ???

il y a 12 minutes, Maurice92 a dit :

Tout d'abord, comme je l'ai dit dans mon post initial, ma version de DSM est la 6.0.3. Dans la fenêtre Panneau de configuration/Mise à Jour DSM, il m'est dit que toutes les MàJ critiques sont installées. Il ne m'est pas proposé de passer à la version supérieure.

 D'où ma question dans ce 1er post, puis-je sans risque installer manuellement la version 6.2, voire 7.0, sans risque ? Pour rappel, mon NAS est un DS414.

Ho j'avais raté l'info...
Et non ce n'est pas normal d'être encore en 6.0.2 aujourd'hui sur un DS414...
Il faut aller chercher manuellement la MAJ sur le Download Center de Synology : Centre de téléchargements - DS414 | Synology Inc.

UglssEw.png
Tu pourras choisir quelle version tu veux :
ZX27DLI.png

Tu peux du coup passer en DSM7 😄 

 

il y a 15 minutes, Maurice92 a dit :

 1) Dans l'onglet en question, j'ai uniquement le certificat de base de Synology. Mais bon, celui-ci n'est pas reconnu en tant que tel pour la plupart des navigateurs.

C'est-à-dire ? L'autosigné ?
Fait une capture.

Pour les autres réponses, tout me semble indiquer que ça doit fonctionner !!!

Pourrais-tu supprimer le nom de domaine synology, et aussi le certificat autosigné (si c'est bien de ça dont on parle), recréer le nom de domaine en faisant des captures de toutes les étapes (masquant bien sur les données sensibles, sur macOS j'utilise Monoswap, et sur windows j'utilise GreenShot).

Et je pense que tu devrais vraiment mettre à jour ton DSM... Fait le manuellement, ça ne craint rien 😉 Récupère le .pat via le lien que je t'ai donné.

Lien vers le commentaire
Partager sur d’autres sites

@cadkey

J'en suis bien convaincu, mais où ???
Comme ça commence à me prendre la tête et que je n'ai pas les connaissances suffisantes pour jouer à "Colombo", je pense en rester là....
Comme je disais, tant que je ne suis pas complètement bloqué, je vais faire avec.

Merci quand même de ton aide.

@MilesTEG1

Oui, effectivement j'avais vu sur le site de Synology la possibilité de télécharger les versions DSM supérieures à la mienne. J'étais un peu hésitant de passer à l'acte....
Pour le certificat Synology, oui c'est bien l'autosigné.
Je suivrai tes conseils à propos de refaire un nom de domaine plus tard car je vais devoir déconnecter mon installation informatique demain  pour cause de gros travaux à mon domicile.
Donc, pas d'inquiétude si je suis "silencieux" pendant quelques temps, je reprendrai, si besoin est, cette discussion ultérieurement.

Merci encore pour l'assistance et les conseils apportés.

Lien vers le commentaire
Partager sur d’autres sites

 

Il y a 21 heures, Maurice92 a dit :

Dernière chose, mon NAS est un DS414 avec une DSM 6.0.3. Il ne m'est proposé aucune MàJ supérieure dans le centre de paquets (???). Puis-je l'upgrader

Les mises à jour de DSM ne sont pas dans le centre de paquet mais dans Panneau de Configuration, Mises à jour et restauration.
Comme te dit @MilesTEG1, Fais la mise à jour au moins en 6.2.4 (la 6.0.3 a plus de 4 ans), et les manips demandés avec capture d'écran pour vérifier.

Lien vers le commentaire
Partager sur d’autres sites

@cadkey

Oui, c'est ce que je voulais dire : Mise à Jour et restauration.... Mais j'ai été un peu trop vite dans mon explication.....

En fait, il ne me proposait pas une quelconque version supérieure car l'option était décochée dans la fenêtre "Options de MàJ" (???).
Je viens de corriger la chose et maintenant, il me propose bien de passer à la 6.2.4.xxxx
Je vais le faire dans la foulée avant de me déconnecter demain comme expliquer plus haut.

Lien vers le commentaire
Partager sur d’autres sites

MàJ vers la 6.2 effectuée. On verra plus tard pour la 7.0 😉
Après une petite vérif, les différents paramètres n'ont pas été a priori affectés.
Quelques applications ont demandé d'être mises à jour. Normal.....

Sinon, petite nouvelle : sans trop y croire après toutes ces tentatives infructueuses, j'ai retenté à nouveau de créer un certificat LE. Et à mon grand étonnement sans avoir touché aucun paramètre de ma configuration précédente, ça a marché !!!
J'ai tenté une connexion extérieure en 4G depuis mon smartphone et là, plus de message bloquant 😁
A croire que le blocage venait de la version DSM précédente ??? Je ne saurais dire mais maintenant ça marche !!!
Ce qui confirme que tous les paramètres initiaux étaient corrects vu qu'ils avaient passé sans encombre les tests proposés par MilesTEG1.

Merci encore mille fois à vous deux pour votre patience et assistance.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.