Thierry94 Posté(e) le 23 janvier 2022 Posté(e) le 23 janvier 2022 Bonjour, Je viens de renouveler mon certificats Let's Encrypt et tout s'est bien déroulé, le nouveau certificat est opérationnel pour toutes les applications ... sauf Synology Photos sur mon smartphone Android. A chaque ouverture de l'application Synology Photos j'ai le message "Certificat non valide" Par contre si j'accède à Synology photos via le web je n'ai pas ce message ! Une idée de l'origine du problème et comment le résoudre ? 0 Citer
oracle7 Posté(e) le 23 janvier 2022 Posté(e) le 23 janvier 2022 @Thierry94 Bonjour, Sauf erreur de ma part, il semblerait (vu/lu ici il y longtemps) que sur certains modèles Android (pas tous !) il faille charger le certificat LE (après conversion en .pfx ou .p12 des fichiers .pem originaux) sur le smartphone. Seul problème, il faut le refaire à chaque renouvellement du certificat. Cordialement oracle7😉 0 Citer
Thierry94 Posté(e) le 23 janvier 2022 Auteur Posté(e) le 23 janvier 2022 Bizarre car c'est la première fois que j'ai ce problème avec mon smartphone, mais je vais essayer ta solution. Comment convertir le certificat ? 0 Citer
oracle7 Posté(e) le 23 janvier 2022 Posté(e) le 23 janvier 2022 @Thierry94 Bonjour, il y a 46 minutes, Thierry94 a dit : Comment convertir le certificat ? Voici deux méthodes : Installer sur le PC "OpenSSL". Touche Win + X : et ouvrir une fenêtre de CMD en mode Admin Faire un "cd" sur le répertoire contenant les fichiers .pem Taper la commande : "openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem" Si tu as créé ton certificat LE avec ma méthode (acme.sh), tu peux aussi utiliser ceci : Dans une session SSH sous l’utilisateur « root » , taper les commandes suivantes : $ ACME_HOME="/usr/local/share/acme.sh" $ CERT_HOME="/volume1/Certs" $ cd $ACME_HOME $ ./acme.sh --toPkcs -d votre-domaine.tld Enter Export Password: Verifying - Enter Export Password: [Mon May 25 20:00:28 CEST 2020] Success, Pfx is exported to: /volume1/Certs/votre-domaine.tld/votre-domaine.tld.pfx « Password » est le mot de passe utilisé pour ouvrir la session SSH. Cordialement oracle7😉 0 Citer
Thierry94 Posté(e) le 23 janvier 2022 Auteur Posté(e) le 23 janvier 2022 Merci @Oracle7 mais dans l'extraction du certificat de DSM j'ai les mêmes fichiers avec en préfix ECC- ou RSA- ... lesquels je dois prendre ? 0 Citer
oracle7 Posté(e) le 23 janvier 2022 Posté(e) le 23 janvier 2022 @Thierry94 Bonjour, Je ne comprend pas, quand tu exportes ton certificat LE depuis DSM cela te génère un fichier "archive.zip" qui contient 3 fichiers tels que : Tu as plus qu'à les reprendre avec la méthode OpenSSL. Si tu utilises la méthode acme.sh, tu n'as pas besoin d'exporter le certificat. acme.sh le trouvera tout seul sur le NAS. Cordialement oracle7😉 0 Citer
Thierry94 Posté(e) le 23 janvier 2022 Auteur Posté(e) le 23 janvier 2022 (modifié) Voila ce que j'obtiens à l'export du certificat : J'ai essayé la génération pkcs12 avec les 2 (ECC et RSA), importé les certificats sur le smartphone et j'ai toujours l'erreur "Certificat non fiable". En fait j'ai également cette erreur avec Audio Station mais rien sur File Station et Surveillance Station Par contre le certificat généré à partir des fichiers RSA et installé sur le smartphone a résolu le problème de certificat absent dans OpenVPN ... c'est un bon début 😉 Modifié le 23 janvier 2022 par Thierry94 0 Citer
oracle7 Posté(e) le 23 janvier 2022 Posté(e) le 23 janvier 2022 @Thierry94 Bonjour, Par curiosité comment et par quelle méthode as-tu utilisée pour générer ton certificat LE ? Tu es sous quelle version de DSM ? Tu sembles avoir un certificat avec deux niveaux/clés de chiffrement concomitantes, je n'ai jamais rencontré ce cas de figure, je découvre ... Même avec la création sous DSM, je n'ai pas vu d'option pour générer le certificat avec une clé de chiffrement ECDSA (ECC) basée sur des courbes elliptiques. C'est étonnant ton affaire ... Dans tous les cas, tu peux essayer de prendre par exemple les fichiers liés à la clé RSA et de les renommer en supprimant simplement le préfixe "RSA-". Ensuite tu appliques normalement la méthode OpenSSL. Normalement pour OPenVPN, le certificat est automatiquement exporté dans le fichier de configuration .ovpn et donc il n'y a besoin de le recharger sur le Tél Android. Lorsque tu lances le client OpenVPN sur Android, il te demande le certificat mais en répondant "Continuer" la procédure de connexion se poursuit sans problème. Je sais que sur certains modèles d'Android il faut au contraire indiquer où se trouve le certificat sur le Tél pour que la procédure fonctionne. Cordialement oracle7😉 0 Citer
Thierry94 Posté(e) le 23 janvier 2022 Auteur Posté(e) le 23 janvier 2022 @oracle7 Je suis sous DSM7 Update 2 et j'ai utilisé la fonction "Renouveler le certificat" présente dans DSM La première génération avait été faite il y a quelques années directement à partir de DSM, 6 à l'époque ... Pour OpenVpn je choisissais "continuer sans certificat" car je n'avais rien à importer et la connexion au VPN aboutissait bien. Maintenant que tu m'as donné la procédure de génération du certificat pkcs12 j'ai pu l'importer sur le smartphone et je n'ai plus ce message d'infos ! J'ai refais la génération avec openssl à partir des fichiers renommés sans le préfix RSA et j'ai le même résultat. Pour info j'ai installé l'OpenSSL depuis le site sourceforge.net Cordialement, Thierry 0 Citer
Thierry94 Posté(e) le 24 janvier 2022 Auteur Posté(e) le 24 janvier 2022 Bonne nouvelle ... tout est résolu ! En fait je n'ai rien fait du tout, l'erreur certificat non fiable dans Synology Photos a disparu d'elle même vers 8h00 ce matin et celle dans DSAudio vers 10h00. Un peu bizarre tout ça 🤔 mais bon le principal est que cela marche maintenant 😁 1 Citer
Jeff777 Posté(e) le 24 janvier 2022 Posté(e) le 24 janvier 2022 il y a 1 minute, Thierry94 a dit : Un peu bizarre tout ça Bonjour, Tu as redémarré ton portable ce matin? 0 Citer
Thierry94 Posté(e) le 24 janvier 2022 Auteur Posté(e) le 24 janvier 2022 Bonjour, Non je n'ai rien fait sur le portable ! 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.