Certificat non valide sur Synology photos

[Thierry94]

Bonjour,

Je viens de renouveler mon certificats Let's Encrypt et tout s'est bien déroulé, le nouveau certificat est opérationnel pour toutes les applications ... sauf Synology Photos sur mon smartphone Android. A chaque ouverture de l'application  Synology Photos j'ai le message "Certificat non valide"

Par contre si j'accède à Synology photos via le web je n'ai pas ce message !

Une idée de l'origine du problème et comment le résoudre ?

 

[oracle7]

@Thierry94

Bonjour,

Sauf erreur de ma part, il semblerait (vu/lu ici il y longtemps) que sur certains modèles Android (pas tous !) il faille charger le certificat LE (après conversion en .pfx ou .p12 des fichiers .pem originaux) sur le smartphone. Seul problème, il faut le refaire à chaque renouvellement du certificat.

Cordialement

oracle7😉

[Thierry94]

Bizarre car c'est la première fois que j'ai ce problème avec mon smartphone, mais je vais essayer ta solution. 

Comment convertir le certificat ?

[oracle7]

@Thierry94

Bonjour,

il y a 46 minutes, Thierry94 a dit :

Comment convertir le certificat ?

Voici deux méthodes :

• Installer sur le PC "OpenSSL".

• Touche Win + X : et ouvrir une fenêtre de CMD en mode Admin

• Faire un "cd" sur le répertoire contenant les fichiers .pem

• Taper la commande : "openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem"

Si tu as créé ton certificat LE avec ma méthode (acme.sh), tu peux aussi utiliser ceci :

• Dans une session SSH sous l’utilisateur « root » , taper les commandes suivantes :
  • $ ACME_HOME="/usr/local/share/acme.sh"

  • $ CERT_HOME="/volume1/Certs"

  • $ cd $ACME_HOME

  • $ ./acme.sh --toPkcs -d votre-domaine.tld
    Enter Export Password:
    
    Verifying - Enter Export Password:
    [Mon May 25 20:00:28 CEST 2020] Success, Pfx is exported to: /volume1/Certs/votre-domaine.tld/votre-domaine.tld.pfx
    
    « Password » est le mot de passe utilisé pour ouvrir la session SSH.

Cordialement

oracle7😉

[Thierry94]

Merci @Oracle7 mais dans l'extraction du certificat de DSM j'ai les mêmes fichiers avec en préfix ECC- ou RSA- ... lesquels je dois prendre ?

[oracle7]

@Thierry94

Bonjour,

Je ne comprend pas, quand tu exportes ton certificat LE depuis DSM cela te génère un fichier "archive.zip" qui contient 3 fichiers tels que :

Tu as plus qu'à les reprendre avec la méthode OpenSSL.

Si tu utilises la méthode acme.sh, tu n'as pas besoin d'exporter le certificat. acme.sh le trouvera tout seul sur le NAS.

Cordialement

oracle7😉

[Thierry94]

Voila ce que j'obtiens à l'export du certificat :

J'ai essayé la génération pkcs12  avec les 2 (ECC et RSA), importé les certificats sur le smartphone et j'ai toujours l'erreur "Certificat non fiable". En fait j'ai également cette erreur avec Audio Station mais rien sur File Station et Surveillance Station

Par contre le certificat généré à partir des fichiers RSA et installé sur le smartphone a résolu le problème de certificat absent dans OpenVPN ... c'est un bon début 😉 

Modifié le 23 janvier 2022 par Thierry94

[oracle7]

@Thierry94

Bonjour,

Par curiosité comment et par quelle méthode as-tu utilisée pour générer ton certificat LE ? Tu es sous quelle version de DSM ?

Tu sembles avoir un certificat avec deux niveaux/clés de chiffrement concomitantes, je n'ai jamais rencontré ce cas de figure, je découvre ... Même avec la création sous DSM, je n'ai pas vu d'option pour générer le certificat avec une clé de chiffrement ECDSA (ECC) basée sur des courbes elliptiques. C'est étonnant ton affaire ...

Dans tous les cas, tu peux essayer de prendre par exemple les fichiers liés à la clé RSA et de les renommer en supprimant simplement le préfixe "RSA-".

Ensuite tu appliques normalement la méthode OpenSSL.

Normalement pour OPenVPN, le certificat est automatiquement exporté dans le fichier de configuration .ovpn et donc il n'y a besoin de le recharger sur le Tél Android. Lorsque tu lances le client OpenVPN sur Android, il te demande le certificat mais en répondant "Continuer" la procédure de connexion se poursuit sans problème. Je sais que sur certains modèles d'Android il faut au contraire indiquer où se trouve le certificat sur le Tél pour que la procédure fonctionne.

Cordialement

oracle7😉

[Thierry94]

@oracle7

Je suis sous DSM7 Update 2 et j'ai utilisé la fonction "Renouveler le certificat" présente dans DSM
La première génération avait été faite il y a quelques années directement à partir de DSM, 6 à l'époque ...

Pour OpenVpn je choisissais "continuer sans certificat" car je n'avais rien à importer et la connexion au VPN aboutissait bien. Maintenant que tu m'as donné la procédure de génération du certificat pkcs12 j'ai pu l'importer sur le smartphone et je n'ai plus ce message d'infos !

J'ai refais la génération avec openssl à partir des fichiers renommés sans le préfix RSA et j'ai le même résultat. Pour info j'ai installé l'OpenSSL depuis le site sourceforge.net

Cordialement,
Thierry

 

[Thierry94]

Bonne nouvelle ... tout est résolu !

En fait je n'ai rien fait du tout, l'erreur certificat non fiable dans Synology Photos a disparu d'elle même vers 8h00 ce matin et celle dans DSAudio vers 10h00.

Un peu bizarre tout ça 🤔 mais bon le principal est que cela marche maintenant 😁

[Jeff777]

il y a 1 minute, Thierry94 a dit :

Un peu bizarre tout ça

Bonjour,

Tu as redémarré ton portable ce matin?

[Thierry94]

Bonjour,

Non je n'ai rien fait sur le portable !