D

[Brunchto]

en wifiN, 10mo/s, c'est déjà bien Je doute que tu puisses monter bcp plus haut.

[gaetan.cambier]

en wifiN, 10mo/s, c'est déjà bien Je doute que tu puisses monter bcp plus haut.

c toi qui a gagné

[Mic13710]

Hello,

effectivement je suis sur un portable connecté en Wi-Fi sur la box et j'ignore qu'elle carte mère peut bien besogner la dedans . Au moins j'ai eu une réponse claire, pas de certificat sur une adresse No-Ip donc j'abandonne cette option.

Un nom de domaine chez ovh c'est moins de 10€/an.

[Marckaos]

en wifiN, 10mo/s, c'est déjà bien Je doute que tu puisses monter bcp plus haut.

Ok, c'est donc le WI-fi qui bride le Syno, j'ai eu des pointes à 14Mo/s maximum tout de même.

Une question peut-on passer du Wi-Fi en mode Ethernet du PC à la box sans rien détruire du travail accompli jusqu'à maintenant ?

Je brancherais bien un câble en direct pour voir ce qui se passe si vous me rassurez sur ce point.

Poursuite de l'installation du Syno, compte ouvert pour mon épouse sur son portable avec une adresse "QuickConnect", rien de particulier à signaler ça roule tout seul. Le programme pour Android s'est installé sans difficulté, l'interface est simple et efficace.

Je vais voir pour obtenir un nom de domaine dans les jours à venir pour le moment je continue la découverte du Syno. Il y a plein de truc que je ne comprends pas très bien comme le VPN et tutti quanti.

Amicalement, Marckaos.

[Brunchto]

tu oeux te brancher en filaire sans soucis. tu auras juste une nouvelle ip. pense à couper le wifi

[Marckaos]

Encore un motif de satisfaction !

Je ne possède pas de Téléviseur DLNA mais j'ai trois écrans à la maison, ils possèdent tous une entrée HDMI.

Je me suis acheté une Chromecast cette après-midi, les vidéos stockées sur le Syno passent le test avec mention très bien. Je peux donc voyager avec la clef dans une pièce où se trouvent une télé puis regarder une vidéo de famille ou bien un film.

Je vais de ce pas installer Vidéo Station !

Amicalement, Marckaos.

[synocdoche]

Bonjour les gars, ça bouge enfin!

C’est marrant dès que l’on poste une ou deux critiques sur le matos alors tout le monde se réveil. En ce qui concerne la doc pas trouver dans la boite ! (J’adore les pavés de 350 pages et plus)

Rien à voir. On est vendredi, les gens ont plus le temps. C'est très logique.

[Einsteinium]

Ne t'en fais pas tu es lu.

Pout ton problème de port 5001, tu dois créer un certificat SSL. S'il est vérifié, tes utilisateurs pourront se connecter, s'il ne l'est pas tu devras outrepasser la restriction de ton navigateur.

Faux, il suffit de récupère le ca.crt et de l'installé sur les différentes machines que l'on dispose et de confiance.

Avec ta methode ou tu outrepasse la restriction, tu n'as aucun plus aucun controle d'authenticité de la connection...

[synocdoche]

Faux, il suffit de récupère le ca.crt et de l'installé sur les différentes machines que l'on dispose et de confiance.

Avec ta methode ou tu outrepasse la restriction, tu n'as aucun plus aucun controle d'authenticité de la connection...

Je ne dis pas autre chose.

[Marckaos]

Bonjour à tous,

installation hier de Joomla. Je suis un peu largué car mon premier site tournait sous joomla 1.5,la différence semble énorme entre ces versions mais je vais m'y remettre doucement.

Les applications Audio Station, Vidéo Station, Photo Station fonctionnent parfaitement, toute la famille en profite.

Petit souci de connexion à Joomla de l'extérieur, je ne trouve pas vraiment la solution !

Amitié à tous, Marckaos.

[Fenrir]

Bonsoir,

J'aime beaucoup ton approche des choses, j'ai l'impression (et ce n'est absolument pas péjoratif), de voir un enfant découvrir un nouveau jouet avec plein de boutons

Je vais essayer d'être le plus didactique possible en peu de mots (il est tard, ou tôt), mais il va tout de même en falloir pas mal.

1-pour le manque de réponses :

Comme précisé plus haut, le jour de la semaine importe beaucoup

Nous (toi y compris) ne sommes pas payés pour écrire ici, c'est juste pour le plaisir d'aider et de partager (enfin la plupart du temps)

2-pour la déconnexion USB :

-quel que soit le système, il faut toujours éjecter proprement un périphérique de stockage avant de le retirer

-le système a beau te dire qu'il a fini de copier, ça ne veut pas dire qu'il a fini de travailler avec le disque (surtout sous Windows), en général il met en cache ce qu'il doit copier, le traitement continu en tache de fond

-en fin de copie, le système doit valider (commit/sync) des données écrites.

-l'antivirus peut aussi avoir son mot à dire

=>Si tu retire un périphérique sans l’éjecter au préalable, tu réduis sa durée de vie et tu risque de perdre des données

Le Plug&Prey ça veut juste dire que tu peux brancher et ça marche tout de suite (en général), ça n'indique rien sur le fait de débrancher

3-pour la sauvegarde :

C'est par "partage", tu peux par exemple avoir les partages suivants :

-homes : partage automatique créé par le syno si tu active les dossiers utilisateur, pour que chaque utilisateur ait son propre dossier

-music : partage automatique créé par le syno, pour stocker la musique, en lien avec AudioStation et le serveur multimedia

-photo : partage automatique créé par le syno, pour stocker les photo, en lien avec PhotoStation

-video: partage automatique créé par le syno, pour stocker les vidéos, en lien avec VidéoStation et le serveur multimedia

-logiciels : pour stocker tes logiciels

-travailMr : pour stocker le travail de monsieur

-travailMme : pour stocker le travail de madame

-Commun : pour stocker tes trucs en commun

-Public : pour stocker des trucs pour tout le monde

...

Chacun avec sa propre politique (emplacement, version, planification) de sauvegarde

4-pour tes problèmes de débit :

C'est toujours le plus lent qui gagne

1. la puissance (cpu/ram) de ton pc
2. le disque de ton pc
3. la carte réseau de ton pc
4. la carte réseau de ta box coté pc
5. la puissance (cpu/ram) de ta box
6. la carte réseau de ta box coté NAS
7. la carte réseau du NAS
8. le disque de ton NAS
9. la puissance (cpu/ram) de ton NAS

Dans ton cas, si ta box est vraiment en gbits, c'est très probablement entre 3 et 4 que ça ralenti

Branche ton PC en rj45 sur ta box, à coté de ton nas et refais le test en coupant le wifi de ton pc (ça ne va rien casser)

Si ton PC dispose d'une carte gbits, tu devrais obtenir de bien meilleurs performances

5-pour les histoires de certificat (https) :

Je vais te répondre en 3 parties, la première c'est pour comprendre, la deuxième c'est pour choisir, la troisième c'est pour faire, mais vu l'heure elle sera succincte

A-

Sans rentrer dans les détails (il y a des livres entiers sur le sujet) et avec énormément de vulgarisation, il y a 3 grandes notions à connaitre pour comprendre de quoi on parle

• chiffrement asymétrique : ce qui est chiffré avec la clef publique ne peut être déchiffré qu'avec la clef privée et vice versa / ce qui est signé avec la clef privée est vérifié avec la clef publique
• autorité de certification : c'est un certificat qui en valide (signe) d'autres
• tiers de confiance : c'est une entreprise en qui tu fais confiance pour signer/émettre des certificats

Quand tu vas sur un site en HTTPS, le serveur présente son certificat PUBLIC à ton navigateur qui vérifie qu'il est valide :

-est il expiré : un certificat a une durée de vie (en général 2 à 3ans, mais il n'y a pas de règle) qui est précisée dans le certificat lui même

-est il révoqué : un certificat peut être annulé (révoqué), pour le vérifier ton navigateur consulte une adresse présente dans le certificat (crl ou ocsp) ou fait de l'ocsp stappling avec le serveur

-est il valide pour l'adresse visitée : un certificat est valide pour certaines adresses (le certificat du site https://www.google.com n'est pas valide pour le site https://www.bing.com), présentent elles aussi dans le certificat

Comme n'importe qui peut créer un certificat avec ce qu'il veut à l'intérieur (expire dans 20ans, n'est pas révoqué et peut être utilisé pour *.google.com), les navigateurs vérifient qu'il est fiable

Dans la pratique, les navigateurs font confiances à quelques entreprises (tiers de confiance) pour décider qu'un certificat est fiable et donc installent leurs certificats d'autorité par défaut.

Tout certificat signé par une de ces autorités est reconnu comme fiable (mais pas nécessairement valide) par ton navigateur

Les autres sont considérés comme potentiellement non fiable.

[HS]De mon point de vue, c'est une mauvaise solution technique car elle ne fait qu'entretenir les lobbies de quelques entreprises sans apporter de réelle sécurité (TOUTE entreprise dont l'autorité est installée dans nos navigateurs peut émettre un certificat pour n'importe quel site, il sera reconnu comme valide et fiable, c'est ce qu'il s'est passé en Iran en 2011). De plus ces certificats sont en général vendu très cher (ce qu'elles justifient par les primes d'assurance et un logo vert).

Il existe d'autres techniques permettant à un site de prouver que son certificat est valide, par exemple DANE.[/HS]

Donc pour ne pas avoir de message d'erreur, il faut :

-que ton certificat soit valide : pas expiré, pas révoqué et qu'il corresponde à l'adresse visitée

-que ton certificat soit fiable : signé par une autorité considérée comme fiable par ton navigateur

B-

Passons à la pratique.

Tu as plusieurs possibilités, classées de manière subjective de la plus simple à la pire pour ton usage (particulier, non expert, sans IP fixe)

1. Tu créé ta propre autorité de certification, tu installe cette autorité dans ton navigateur et tu créé un certificat pour le syno => tu pourras créer gratuitement autant de certificats que nécessaire, avec les noms de ton choix, ils seront reconnu par tous les navigateurs où tu aurra installé ton autorité (en gros tu deviens ton propre tiers de confiance)
2. Tu génère un certificat autosigné (le syno peut le faire) correspondant au nom de domaine que tu utilise et tu installe ce certificat dans ton navigateur, même principe qu'au dessus mais en plus limité
3. Tu achète un certificat (il en existe des gratuits comme cités précédemment) et donc le nom de domaine qui va avec
4. Tu ne fais pas de https

Attention si tu opte pour l'option 3, il va falloir aussi apprendre quelques notions de DNS (pour faire un CNAME qui pointe sur ton no-ip), d’ailleurs à ce propos, le syno peut aussi faire serveur DNS, avec du split-horizon (des vues)

C-

Pour la première option, avec le bon fichier de conf, il faut 3 commandes pour créer l'autorité

Ensuite 2 commandes par certificat à créer

Je te recommande de faire un certificat SAN (avec plusieurs noms autorisés) et/ou "wildcard" (*) :

DNS.1 = syno.domaine.externe

DNS.2 =syno.domaine.interne

DNS.3 = syno

IP.1 = 192.168.1.2

trop tard pour détailler plus, je peux te faire une doc pour openssl si besoin, mais il en existe plein sur le nain terre net

Pour conclure, comme dit plus haut, un nas c'est autrement plus complexe (mais pas nécessairement compliqué) qu'un robot ménagé, ou même qu'un PC car ça sous entends de nombreuses notions :

-réseau

-stockage

-gestion de droits

-sauvegardes

-sécurité

-...

Beaucoup de personnes s’imaginent qu'elles savent déjà tout ce qu'il y a à savoir sur un NAS, après tout c'est "juste" un disque dur réseau

Quand elles essayent, beaucoup abandonnent pour se rabattre sur un disque USB, avec comme argument (c'est du vécu) : trop compliqué ton nas, regarde mon disque USB, je le branche et ça marche !!

Et elles ont raison, un disque USB c'est nettement plus simple à appréhender qu'un boitier, branché au réseau, qui peut servir enregistrer la TV, diffuser de la musique sur l'ampli du salon, afficher de la vidéos sur la TV, télécharger ton podcast préféré, sauvegarder tes documents chez amazon, partager tes photos avec des amis en Australie, héberger ton site web... tout ça en même temps sans avoir à y mettre le nez.

Bonne nuit

[Marckaos]

2. Tu génère un certificat autosigné (le syno peut le faire) correspondant au nom de domaine que tu utilise et tu installe ce certificat dans ton navigateur, même principe qu'au dessus mais en plus limité

Bonjour Fenrir,

merci pour ce long exposé envoyé vers 5H00 du matin quel courage !

En revanche n’y a-t-il-pas contradiction avec les propos d’autres membres qui préconisent un nom de domaine pour activer le « HTTPS » afin qu’il soit fonctionnel ?

Je t’assure que depuis plusieurs jours je cherche des tuto concernant ce problème, je ne trouve rien de vraiment explicite ou qui décrive pas à pas la procédure à mettre en œuvre.

Le point N°2 de ton post m’intéresse, je suis allé dans l’administration du Syno mais serait-ce une sénilité post grand âge je suis resté perplexe devant mon écran puis pour éviter une discorde entre le NAS et ma personne je me suis bien gardé de le chatouiller !

Je n’ai pas vraiment rencontré de gros problèmes avec les redirections de ports et IP fixe (NAS) pour les connexions externes au Syno ni d’ailleurs avec mon IP public qui n’est pas fixe chez SFR.

La box SFR contrôle cela très bien avec le service No-Ip adéquat, de plus en cas de plantage chez No-Ip il existe une roue de secours au travers d’un compte chez Synology.

Pour t’en dire plus la finalité d’achat du NAS Syno reste la mise en ligne d’un petit site perso à usage familiale construit avec le CMS Joomla. Voici pourquoi je tiens tant à cette affaire de « HTTPS », nos histoires de familles ne regardent que nous !

Amicalement, Marckaos.

[Marckaos]

Bonjour à tous,

ce matin branchement de la box en Ethernet. Ce n'est plus le même monde pour le transfert de fichiers, les vitesses atteintes approchent Mo/s.

En revanche depuis deux jours je cherche partout comment réaliser une connexion "SSH". Putty et Winscp sont installés sur l'ordi, la case est bien cochée sur le Syno et la réponse suivante arrive lors d'une tentative de connexion :

"Erreur au démarrage. Votre shell est incompatible avec l'application (Bash est recommandé). »

Quèsaco ?

Amitié, Marckaos.

[Fenrir]

En revanche n’y a-t-il-pas contradiction avec les propos d’autres membres qui préconisent un nom de domaine pour activer le « HTTPS » afin qu’il soit fonctionnel ?

Non, il n'y a pas de contratiction

Un nom de domaine est fortement recommandé pour faire du SSL, mais personne n'a dit qu'il fallait obligatoirement un nom de domaine reconnu sur Internet (comme un .fr ou un .com)

Tu peux parfaitement utiliser un domaine en machin.local, la seule contrainte est que dans ce cas, il te faut un serveur DNS qui accepte ce nom, ou modifier le fichier hosts des machines qui vont utiliser ton syno

Dans ton cas, tu as un enregistrement DNS (no-ip), mais tu n'es pas propriétaire du domaine.

Ce que je proposais, c'était de créer ta propre autorité de certification, pour pouvoir utiliser ton enregistrement DNS.

La seule contrainte est qu'il faudra distribuer ton autorité de certification sur les PC qui vont utiliser ton syno (c'est juste un fichier à installer dans le navigateur)

Je te ferai une doc pour créer une autorité de certification, mais pas tout de suite

Pour le SSH, le seul compte autorisé à faire du ssh sur un syno est root (même mot de passe que ton compte admin)

=>utilise le login : root

[Marckaos]

Hello Fenrir.

Merci, voici un problème résolu avec cette connexion récalcitrante en « SSH ». Encore une des limites des tuto proposés par Synology qui ne mentionne pas cette particularité du compte «root » afin de parvenir à l’échange «SSH»

A noter que lors de la mise en route du service «SSH» plusieurs tentatives de connexions sont parvenues au NAS (journaux). Ces dernières provenaient d’IP basées en Chine !

J’ai également trouvé une page avec une histoire de certificat Synology à exporter ou importer et même créer en fouillant dans les paramètres, guères explicites sur les manipulations à exécuter. Peut-être une solution à mon désir de communiquer vers le Syno en « HTTPS » ?

Difficile de travailler sur deux fronts en même temps, réapprentissage de Joomla plus mise en service propre du Syno.

Amicalement, Marckaos.

[Odeon1384]

Salut,

Jette un œil dans le pare feu tu pourras bloquer les IP provenant de certaines destinations, depuis j ai n ai plus de tentative d intrusion.

[Marckaos]

Bonsoir Odeon1384

Salut,

Jette un œil dans le pare feu tu pourras bloquer les IP provenant de certaines destinations, depuis j ai n ai plus de tentative d intrusion.

C'est fait, autorisation uniquement pour les IP provenant de notre beau pays!

Amitié, Marckaos.

[Fenrir]

Encore une des limites des tuto proposés par Synology qui ne mentionne pas cette particularité du compte «root » afin de parvenir à l’échange «SSH»

https://www.synology.com/fr-fr/knowledgebase/faq/393

Je ne dis pas que les docs officielles de Synology sont complètes, mais l'essentiel y est

Pour le https, je n'ai jamais utilisé celui fourni par synology car j'utilise ma propre autorité, mais j'ai vu qu'on peut en créer un dans l'interface.

#####################################################

edit : je ne vais pas avoir le temps de faire une doc propre avant un moment, mon agenda c'est rempli d'un coup

en attendant, voici un script que j'avais créé il y a quelques années, je l'ai adapté à ton besoin

Utilisation :

1. créé un partage dédié aux certificats
2. copie le script à la racine de ce partage
3. adapte les paramètres (lignes 20 à 57) :
4. en ssh, place toi dans le dossier et exécute le script (chmod + nomdufichier && ./nomdufichier)
5. le script se lance et pose 3 séries de questions
   1. la premier partie créé l'autorité : il faut renseigner la question "Common Name" (ex : Marckaos Private CA)
   2. la deuxième partie créé une demande de certificat : il faut renseigner la question "Common Name" avec le nom de ton nas (ex : marckaos.no-ip.com)
   3. la troisième partie soumet la demande à ton autorité : il faut répondre y aux 2 questions
6. ton certificat d'autorité est dans le dossier ca : ca/ca.crt
7. tes certificats sont dans le dossier crt
8. tes clefs sont dans le dossier key
9. importe ces 3 fichiers via l'interface du synology
10. importe le fichier ca.crt comme autorité dans tes navigateurs

Ce script n'est à lancer qu'une seule fois.

Si par la suite tu souhaites créer d'autres certificats, adapte la section [alt_names] du fichier openssl.cnf et utilise les 2 commandes suivantes :

cd /le_chemin_vers/le_partage
srvName=adresse.dns.du.serveur
# Create certificat request
/usr/bin/openssl req -new -config ./openssl.cnf -newkey rsa:2048 -nodes -sha256 -keyout key/$srvName.key -out csr/$srvName.csr

# Signing the certificate
/usr/bin/openssl ca -config ./openssl.cnf -extensions SERVER -in csr/$srvName.csr -notext -out crt/$srvName.crt

Ou supprime tout et recommence.

Le script en question :

#!/bin/sh

# license : WTFPL
################################################################################
#DO WHAT THE FUCK YOU WANT TO PUBLIC LICENSE                                   #
#                   Version 2, December 2004                                   #
#                                                                              #
#Copyright (C) 2014 Fenrir <don't want spam>                                   #
#                                                                              #
#Everyone is permitted to copy and distribute verbatim or modified             #
#copies of this license document, and changing it is allowed as long           #
#as the name is changed.                                                       #
#                                                                              #
#           DO WHAT THE FUCK YOU WANT TO PUBLIC LICENSE                        #
#  TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION             #
#                                                                              #
# 0. You just DO WHAT THE FUCK YOU WANT TO.                                    #
################################################################################

# Directory where you want to install the stuff
baseDir="/volume1/CA"

# External domain name (from Internet)
extDomain='publicdomain.name'
# Internal domain name (from lan)
intDomain='privatedomaine.name'

# Server name
srvName=`hostname -s`
# External IP (from Internet)
extIP='0.0.0.0'
# Internal IP (from lan)
intIP=`hostname -i`

# Public server name
dns1=$srvName.$extDomain
# Private server name
dns2=$srvName.$intDomain
# Short server name
dns3=$srvName
# Public IP Address
ip1=$extIP
# Public IP Address
ip2=$intIP

# Country Name (2 letter code)
countryName_default='FR'
# State or Province Name (full name)
stateOrProvinceName_default='IDF'
# Locality Name (eg, city)
localityName_default='My City'
# Organization Name (eg, company)
organizationName_default='My Home'
# Organizational Unit Name (eg, section)
organizationalUnitName_default='IT'
# Email Address
emailAddress_default='my@email.address'

###################################################################
cd $baseDir
mkdir $baseDir/ca
mkdir $baseDir/ca/newcerts
mkdir $baseDir/crt
mkdir $baseDir/csr
mkdir $baseDir/key
mkdir $baseDir/rev

cat <<EOT > $baseDir/openssl.cnf
dir								= $baseDir
HOME							= $baseDir
RANDFILE						= $baseDir/ca/.rnd

[ ca ]
default_ca						= CA_default

[ CA_default ]
certs							= $baseDir/ca/certs
new_certs_dir					= $baseDir/ca/newcerts
database						= $baseDir/ca/index.txt
certificate						= $baseDir/ca/ca.crt
serial							= $baseDir/ca/serial
private_key						= $baseDir/ca/ca.key
default_days					= 3650
default_md						= sha256
preserve						= no
policy							= policy_match

[ policy_match ]
countryName						= optional
stateOrProvinceName				= optional
organizationName				= optional
organizationalUnitName			= optional
commonName						= supplied
emailAddress					= optional

[ req ]
default_md						= sha256
default_bits					= 2048
default_keyfile					= privkey.pem
distinguished_name				= req_distinguished_name
attributes						= req_attributes
req_extensions 					= v3_req
string_mask = nombstr

[ req_distinguished_name ]
countryName						= Country Name (2 letter code)
countryName_default				= ###countryName_default###
countryName_min					= 2
countryName_max					= 2
stateOrProvinceName				= State or Province Name (full name)
stateOrProvinceName_default		= ###stateOrProvinceName_default###
localityName					= Locality Name (eg, city)
localityName_default			= ###localityName_default###
0.organizationName				= Organization Name (eg, company)
0.organizationName_default		= ###organizationName_default###
organizationalUnitName			= Organizational Unit Name (eg, section)
organizationalUnitName_default	= ###organizationalUnitName_default###
commonName						= Common Name (eg, YOUR name)
commonName_max					= 64
emailAddress					= Email Address
emailAddress_default			= ###emailAddress_default###
emailAddress_max				= 64

[ req_attributes ]
challengePassword				= A challenge password
challengePassword_min			= 4
challengePassword_max			= 20
unstructuredName				= An optional company name

[ usr_cert ]
basicConstraints				= CA:FALSE
nsComment						= "OpenSSL Private Certificat"
subjectKeyIdentifier			= hash
authorityKeyIdentifier			= keyid,issuer
#nsCaRevocationUrl				= http://...
#nsRevocationUrl				= http://...

[ v3_req ]
basicConstraints				= CA:FALSE
keyUsage						= nonRepudiation, digitalSignature, keyEncipherment
subjectAltName					= @alt_names

[CA]
nsComment						= "OpenSSL Private Certificat"
subjectKeyIdentifier			= hash
authorityKeyIdentifier			= keyid,issuer:always
basicConstraints				= critical,CA:TRUE,pathlen:0
keyUsage						= keyCertSign, cRLSign
default_md						= sha256

[SERVER]
nsComment						= "OpenSSL Private Certificat"
subjectKeyIdentifier			= hash
authorityKeyIdentifier			= keyid,issuer:always
issuerAltName					= issuer:copy
basicConstraints				= critical,CA:FALSE
keyUsage						= digitalSignature, nonRepudiation, keyEncipherment
nsCertType						= server
extendedKeyUsage				= serverAuth
#crlDistributionPoints			= URI:http://...
subjectAltName					= @alt_names

[alt_names]
DNS.1							= ###dns1###
DNS.2							= ###dns2###
DNS.3							= ###dns3###
IP.1							= ###ip1###
IP.2							= ###ip2###

[ v3_ca ]
subjectKeyIdentifier			= hash
authorityKeyIdentifier			= keyid:always,issuer:always
basicConstraints				= CA:true

[ crl_ext ]
authorityKeyIdentifier			= keyid:always,issuer:always

[ proxy_cert_ext ]
basicConstraints				= CA:FALSE
nsComment						= "OpenSSL Private Certificat"
subjectKeyIdentifier			= hash
authorityKeyIdentifier			= keyid,issuer:always
proxyCertInfo					= critical,language:id-ppl-anyLanguage,pathlen:3,policy:foo
EOT

sed -i "s/###countryName_default###/${countryName_default}/g" $baseDir/openssl.cnf
sed -i "s/###stateOrProvinceName_default###/${stateOrProvinceName_default}/g" $baseDir/openssl.cnf
sed -i "s/###localityName_default###/${localityName_default}/g" $baseDir/openssl.cnf
sed -i "s/###organizationName_default###/${organizationName_default}/g" $baseDir/openssl.cnf
sed -i "s/###organizationalUnitName_default###/${organizationalUnitName_default}/g" $baseDir/openssl.cnf
sed -i "s/###emailAddress_default###/${emailAddress_default}/g" $baseDir/openssl.cnf
sed -i "s/###dns1###/${dns1}/g" $baseDir/openssl.cnf
sed -i "s/###dns2###/${dns2}/g" $baseDir/openssl.cnf
sed -i "s/###dns3###/${dns3}/g" $baseDir/openssl.cnf
sed -i "s/###ip1###/${ip1}/g" $baseDir/openssl.cnf
sed -i "s/###ip2###/${ip2}/g" $baseDir/openssl.cnf

touch $baseDir/ca/index.txt
echo 0001 > $baseDir/ca/serial

openssl_bin=`which openssl`

# Create Certificate Authority
echo "################################################################################"
echo "#                                                                              #"
echo "#                        Create Certificate Authority                          #"
echo "#                                                                              #"
echo "################################################################################"
$openssl_bin req -new -x509 -config ./openssl.cnf -sha256 -newkey rsa:2048 -nodes -days 3650 -keyout ca/ca.key -out ca/ca.crt

# Create certificat request
echo "################################################################################"
echo "#                                                                              #"
echo "#          Create certificat request : take care about Common name             #"
echo "#                                                                              #"
echo "################################################################################"
$openssl_bin req -new -config ./openssl.cnf -newkey rsa:2048 -nodes -sha256 -keyout key/$srvName.key -out csr/$srvName.csr

# Signing the certificate
echo "################################################################################"
echo "#                                                                              #"
echo "#                           Signing the certificate                            #"
echo "#                                                                              #"
echo "################################################################################"
$openssl_bin ca -config ./openssl.cnf -extensions SERVER -in csr/$srvName.csr -notext -out crt/$srvName.crt

echo "################################################################################"
echo "#                                                                              #"
echo "#                             !!! PRIVATE !!! key                              #"
echo "#                                                                              #"
echo "################################################################################"
cat key/$srvName.key

echo "################################################################################"
echo "#                                                                              #"
echo "#                                 Certificate                                  #"
echo "#                                                                              #"
echo "################################################################################"
cat crt/$srvName.crt

http://pastebin.com/StihEcq5

[Fenrir]

Je viens de tester mon script sur mon NAS, les navigateurs m'indiquent que le certificat est invalide car dans valable dans le futur

La cause est simple, mon nas est en CET, donc il avance d'une heure.

3 façon de régler le problème :

• tu attends 1 heure entre le moment où tu créé le certificat et celui où tu l'installe
• tu recule temporairement l'heure de ton nas
• tu lance le script sur une machine qui est dans le bon fuseau horaire avec la bonne correction heure d'hiver

Une fois réglé, ça fonctionne parfaitement

[Mic13710]

Salut Fenrir,

N'est-il pas plus simple de passer par le bouton "Créer un certificat" dans la page certificat du DSM ?

[Marckaos]

Bonjour à tous.

Je penche plus vers la solution de Mic13710, j’ai décroché rapidement de celle de Fenrir qui me parait bien complexe à mettre en œuvre. Je le remercie toutefois pour ses louables efforts mais la ligne de commande en console me laisse perplexe.

Evidemment si quelqu’un se propose de m’expliquer simplement la procédure à respecter pour installer le certificat Synology il est le bienvenu.

Amicalement, Marckaos.

[Mic13710]

Bonjour à tous.

Je penche plus vers la solution de Mic13710, j’ai décroché rapidement de celle de Fenrir qui me parait bien complexe à mettre en œuvre. Je le remercie toutefois pour ses louables efforts mais la ligne de commande en console me laisse perplexe.

Evidemment si quelqu’un se propose de m’expliquer simplement la procédure à respecter pour installer le certificat Synology il est le bienvenu.

Amicalement, Marckaos.

Je n'ai même pas utilisé cette méthode.

Ce que j'ai fait :

J'ai d'abord acheté un nom de domaine chez ovh (>9€/an, à ce prix, pas de raison de s'en priver) et j'ai fait les paramétrages MX, A et CNAME pour que tout soit dirigé vers mon IP fixe (mais on peut le faire aussi avec une IP dynamique et un ddns).

J'ai demandé un certification gratuite de mon nom de domaine chez StartSSL, j'ai installé la clé et le certificat émis par StartSSL sur mon nas et le tour est joué. J'ai suivi ce tuto pour la certification et l'installation sur le nas. Attention toutefois à ne pas perdre la clé et le mot de passe qui a été utilisé pour la créer !

Mon domaine étant certifié, je n'ai pas besoin de transmettre de certificat à des tiers, mon nas est joignable directement en https avec monnomdedomaine.fr:monporthttps/.

[Fenrir]

Ma méthode correspond à copier un fichier sur le nas, se connecter en SSH et lancer une commande.

De mon point de vue c'est le plus simple.

Ça permet d'avoir un certificat avec plusieurs noms (nom interne pour y accéder sans loopback, nom public, ...), gratuitement, c'est compatible no-ip et ça ne nécessite pas de donner des info perso à une entreprise tierce.

Çà permet aussi, pour le même prix (0€), de créer plusieurs certificats

Par contre c'est vrai que seuls les navigateurs sur lesquels l'autorité sera installée n'auront pas le warning.

Si tu souhaite utiliser un vrai certificat, il faut au préalable t'assurer que tu puisse faire un alias de ton domaine officiel vers ton domaine no-ip, ou qu'il propose un service à la no-ip

[Marckaos]

Ce matin,

achat d'un nom de domaine chez Gandi. Le tarif pour ce service est abordable. Je verrais bien comment l'utiliser le temps venu. Mon but principal restant un petit site perso sur le Syno.

J'ai le droit avec ce domaine à un certificat, mais je trébuche toujours sur l'installation. Je crois bien que je n'y comprends rien à ces histoires de clés et de fichiers à installer sur le Syno.

Je me mélange les crayons avec les exports, les imports et les créations, je vieilli mal !!!

Je ne vous parle pas non-plus de ma compréhension des sous-domaines, redirections et tout le toutim. J’aurais dû m’intéresser aux réseaux depuis bien plus longtemps.

Amicalement, Marckaos.

[Mic13710]

Si vous avez un certificat et la clé, vous pouvez les installer dans le NAS en lieu et place du certificat par défaut Synology.

Il faudra sans doute décrypter votre clé avant de la rentrer dans le Syno.

Gandi devrait vous proposer un outil de décryptage.

Dans cet outil, vous copiez la clé qui vous a été donnée et vous donnez le mdp que vous avez utilisé lors de la création.

Vous devez toujours conserver la clé cryptée ainsi que le mdp associé en lieu sûr.

Une fois décryptée, vous recopiez la clé dans un fichier texte que vous sauvegardez en UTF 8 sous le nom que vous voulez. Vous éditez le nom du fichier pour changer son extension ".txt" en ".key"

Vous avez donc un certificat (extension .crt) et une clé décryptée (extension .key).

Dans l'onglet certificat du NAS, vous cliquez sur "Importer le certificat" et vous renseignez les champs :

Clé privée : avec le fichier .key
Certificat : avec le fichier .crt
Certificat intermédiaire : facultatif. C'est un certificat que vous devriez pouvoir télécharger sur Gandi. Chez StartSSL il s'appelle sub.class1.server.sha2.ca.pem. Il devrait y avoir un équivalent chez Gandi.

Puis vous validez.

Si tout se passe bien, votre certificat est installé dans le NAS.