PB certificat de sécurité synology.me

[michel37]

Bonjour,

Je possède 2 NAS branchés sur la même box. Afin de bien appréhender mon problème, je vais identifier les NAS de cette façon :

- NAS1 : serveur principal - DS920+
- NAS2 : serveur secondaire (branché 1 an après le NAS1) - DS220J
- je suis en IPV4 Full Stack

Mon NAS1 est connecté sur ma box SFR. Il fonctionne très bien, accessible depuis l'extérieur, certificat de sécurité SYNO (synology.me) : RAS tous les services fonctionnent depuis l'extérieur.
Pour accéder au NAS2, j'ai fait un proxy inversé sur le NAS1 . J'accède ainsi au NAS2 via internet mais avec défaut de certificat de sécurité.

Aujourd'hui, je ne parviens pas à installer un certificat de sécurité SYNO (synology.me). Je l'ai pourtant bien créé et j'ai bien affecté les services dans 'Paramètres' et pourtant la connexion n'est pas sécurisé (j'ai bien vidé le cache du navigateur).

J'avais fait la même manipe mais avec des NDD OVH et ça fonctionnait très bien. Aujourd'hui avec synology.me je n'y arrive pas.

Merci pour votre aide

[Mic13710]

il y a 32 minutes, michel37 a dit :

J'accède ainsi au NAS2 via internet mais avec défaut de certificat de sécurité.

Dans le proxy inversé, il faut utiliser les ports http pour la destination.

A partir du moment où vous êtes sur votre réseau privé, les liens internes peuvent se faire en http (à moins que vous n'ayez aucune confiance sur les utilisateurs de votre réseau...)

Par exemple, pour DSM c'est le port 5000 du NAS2 à paramétrer. Pareil pour file station, utiliser le 7000. etc...

[michel37]

Merci Mic13710,

J'accède à tous mes services du NAS2 mais avec un défaut sécurité.

Ce que je veux c'est y accéder mais avec un certificat de sécurité car je ne veux pas que mes utilisateur aient un message d'erreur à l'ouverture de la page.

[Kramlech]

Montre nous ce que tu as fait au niveau du Reverse Proxi ...

Je dirais que tu as fais une redirection vers du https, et non du http (cf le message de @Mic13710), sauf si tu n'as pas fait un  certificat générique sur le NAS1 ...

[michel37]

Voici mon RP mis sur NAS1 pour accéder à NAS2 en HTTPS : (c'est ce que j'avais pour OVH, j'ai juste changé le NDD)

Le nom de l'hote est l'IP de NAS2

Modifié le 10 août par michel37

[Mic13710]

C'est bien ce que je disais. La destination doit être en http. Dans la capture ci-dessus, vous remplacez dans la destination https par http et le port est bien évidemment le 80.

Dans ce cas, vous êtes bien en https du net vers le NAS1 et en http du NAS1 vers le NAS2 car le chiffrage n'est pas nécessaire ici. Inutile de doubler le chiffrage !

[michel37]

j'ai apporté les corrections mais ça ne marche pas : j'ai une page blanche que se recharge éternellement !

Modifié le 10 août par michel37

[Mic13710]

est-ce que la destination accepte le port 80 ?

[michel37]

Oui pas de PB de ce côté la.

[michel37]

Alors bizarrement je viens de re-vider le cache du navigateur et là surprise ! Le HTTPS est fonctionnel !!!

Un grand merci pour votre aide.

Bon week-end !

[Mic13710]

Je ne sais pas de quel https vous parlez, mais sauf rares exceptions (réseau privé d'entreprise par exemple), la redirection vers la destination se fait sur les ports http.

Il faut comprendre que toute requête en https vers le reverse proxy est couverte par le certificat du NAS. De fait, elle est sécurisée de bout en bout jusqu'au NAS. Ce qui se passe au delà (destination) n'est en principe que local. Si vous passez en https à nouveau, ce sera le certificat de la destination qui sera invoqué et il faudra que ce dernier couvre le ndd de l'url de la requête d'origine. Cela oblige donc à avoir un certificat valide côté destination et fait du même coup un deuxième chiffrement pour seulement protéger le lien entre le NAS et la destination qui n'est pas vraiment utile puisque le lien est réputé sûr (réseau privé).

[michel37]

J'ai suivi vos recommandations : Entrée en HTTPS et sortie en HTTP.

Voilà comment j'ai procédé :

- création du certificat sur la NAS2 puis importation de celui-ci sur le NAS1. Ensuite je l'ai affecté au revers proxy dédié.