Aller au contenu

Certificat non valide sur Synology photos


Thierry94

Messages recommandés

Bonjour,

Je viens de renouveler mon certificats Let's Encrypt et tout s'est bien déroulé, le nouveau certificat est opérationnel pour toutes les applications ... sauf Synology Photos sur mon smartphone Android. A chaque ouverture de l'application  Synology Photos j'ai le message "Certificat non valide"

Par contre si j'accède à Synology photos via le web je n'ai pas ce message !

Une idée de l'origine du problème et comment le résoudre ?

 

Lien vers le commentaire
Partager sur d’autres sites

@Thierry94

Bonjour,

Sauf erreur de ma part, il semblerait (vu/lu ici il y longtemps) que sur certains modèles Android (pas tous !) il faille charger le certificat LE (après conversion en .pfx ou .p12 des fichiers .pem originaux) sur le smartphone. Seul problème, il faut le refaire à chaque renouvellement du certificat.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@Thierry94

Bonjour,

il y a 46 minutes, Thierry94 a dit :

Comment convertir le certificat ?

Voici deux méthodes :

  • Installer sur le PC "OpenSSL".

  • Touche Win + X : et ouvrir une fenêtre de CMD en mode Admin

  • Faire un "cd" sur le répertoire contenant les fichiers .pem

  • Taper la commande : "openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem"

Si tu as créé ton certificat LE avec ma méthode (acme.sh), tu peux aussi utiliser ceci :

  • Dans une session SSH sous l’utilisateur « root » , taper les commandes suivantes :

    • $ ACME_HOME="/usr/local/share/acme.sh"

    • $ CERT_HOME="/volume1/Certs"

    • $ cd $ACME_HOME

    • $ ./acme.sh --toPkcs -d votre-domaine.tld
      Enter Export Password:

      Verifying - Enter Export Password:
      [Mon May 25 20:00:28 CEST 2020] Success, Pfx is exported to: /volume1/Certs/votre-domaine.tld/votre-domaine.tld.pfx


      « Password » est le mot de passe utilisé pour ouvrir la session SSH.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@Thierry94

Bonjour,

Je ne comprend pas, quand tu exportes ton certificat LE depuis DSM cela te génère un fichier "archive.zip" qui contient 3 fichiers tels que :

jNVdhTE.png

Tu as plus qu'à les reprendre avec la méthode OpenSSL.

Si tu utilises la méthode acme.sh, tu n'as pas besoin d'exporter le certificat. acme.sh le trouvera tout seul sur le NAS.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Voila ce que j'obtiens à l'export du certificat :

image.png.e1850de008fcae26c3a082d9cfecf5f3.png

J'ai essayé la génération pkcs12  avec les 2 (ECC et RSA), importé les certificats sur le smartphone et j'ai toujours l'erreur "Certificat non fiable". En fait j'ai également cette erreur avec Audio Station mais rien sur File Station et Surveillance Station

Par contre le certificat généré à partir des fichiers RSA et installé sur le smartphone a résolu le problème de certificat absent dans OpenVPN ... c'est un bon début 😉 

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

@Thierry94

Bonjour,

Par curiosité comment et par quelle méthode as-tu utilisée pour générer ton certificat LE ? Tu es sous quelle version de DSM ?

Tu sembles avoir un certificat avec deux niveaux/clés de chiffrement concomitantes, je n'ai jamais rencontré ce cas de figure, je découvre ... Même avec la création sous DSM, je n'ai pas vu d'option pour générer le certificat avec une clé de chiffrement ECDSA (ECC) basée sur des courbes elliptiques. C'est étonnant ton affaire ...

Dans tous les cas, tu peux essayer de prendre par exemple les fichiers liés à la clé RSA et de les renommer en supprimant simplement le préfixe "RSA-".

Ensuite tu appliques normalement la méthode OpenSSL.

Normalement pour OPenVPN, le certificat est automatiquement exporté dans le fichier de configuration .ovpn et donc il n'y a besoin de le recharger sur le Tél Android. Lorsque tu lances le client OpenVPN sur Android, il te demande le certificat mais en répondant "Continuer" la procédure de connexion se poursuit sans problème. Je sais que sur certains modèles d'Android il faut au contraire indiquer où se trouve le certificat sur le Tél pour que la procédure fonctionne.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Je suis sous DSM7 Update 2 et j'ai utilisé la fonction "Renouveler le certificat" présente dans DSM
La première génération avait été faite il y a quelques années directement à partir de DSM, 6 à l'époque ...

Pour OpenVpn je choisissais "continuer sans certificat" car je n'avais rien à importer et la connexion au VPN aboutissait bien. Maintenant que tu m'as donné la procédure de génération du certificat pkcs12 j'ai pu l'importer sur le smartphone et je n'ai plus ce message d'infos !

J'ai refais la génération avec openssl à partir des fichiers renommés sans le préfix RSA et j'ai le même résultat. Pour info j'ai installé l'OpenSSL depuis le site sourceforge.net

Cordialement,
Thierry

 

Lien vers le commentaire
Partager sur d’autres sites

Bonne nouvelle ... tout est résolu !

En fait je n'ai rien fait du tout, l'erreur certificat non fiable dans Synology Photos a disparu d'elle même vers 8h00 ce matin et celle dans DSAudio vers 10h00.

Un peu bizarre tout ça 🤔 mais bon le principal est que cela marche maintenant 😁

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.