Mugui Posté(e) le 6 août 2016 Partager Posté(e) le 6 août 2016 Bonjour à tous, J'essaie désespérément de faire en sorte que sur mon réseau local, je puisse me connecter via chrome en https sur mon NAS, sans pour autant qu'il me dise que cela n'est pas un site sûr. J'ai essayé des tas de tutos (génération du certificat par un tiers, auto-signature, certificat let's encrypt ...). Chrome me dit toujours que le site n'est pas sûr. (j'ai essayé avec l'adresse IP, ainsi qu'avec le nom du serveur). J'ai clairement raté quelque chose. Je précise que je ne souhaite pas payer. Je vous remercie grandement par avance. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 7 août 2016 Partager Posté(e) le 7 août 2016 (modifié) Merci de préciser : le modèle du nas le type de volume (shr, raid, ...) et le nombre de disques, même si ici ça n'a pas d'importance la version de DSM (le système installé) nb : le plus simple c'est de tout mettre en signature, comme ça on n'a pas besoin de poser la question Comme tu parles de letsencrypt, je pars du principe qu'il s'agit de DSM 6.0. Pour la suite, je détails toutes les étapes pour que ça serve aux autres utilisateurs, mais je pense que tu n'as besoin que de certaines d'entre elles, elles sont à la fin. ----------------------------------------------------------------- Pour qu'un certificat soit reconnu comme valide par un navigateur, il faut que les points suivants soient vrais : le certificat est signé par une autorité connue du navigateur : c'est le cas des certificats délivrés par letsencrypt le certificat est valide : les dates doivent être correctes (un certificat letsencrypt c'est valide 3mois) le certificat doit contenir l'adresse utilisée dans le navigateur : le problème vient probablement de ce dernier point si on accède au nas avec https://nas.domaine.com, le certificat doit contenir le nom nas.domaine.com si on accède au nas avec https://192.168.0.2, le certificat doit contenir l'adresse 192.168.0.2 si on accède au nas avec https://nas, le certificat doit contenir le nom nas Les 2 derniers cas sont à oublier (c'est techniquement possible mais ce si vous avez besoin de cette aide, c'est que c'est hors de votre portée). Donc il faut créer un certificat pour nas.domaine.com (à remplacer par le bon nom de domaine, idem pour l'ip 192.168.0.2) : on commence par créer un nom de domaine (ou utiliser un dns dynamique) qui renvoi vers l'adresse IP du nas si le nas est derrière une box, cas le plus probable, il faut utiliser l'ip publique de la box normalement les services de DNS dynamique s'en chargent (on peut utiliser ceux du nas ou de la box ou ...) il faut ensuite autoriser le port 80 sur le parefeu du nas si le nas est derrière une box, cas le plus probable, il faut "forwarder le port" 80 de la box vers le nas ensuite on fait la demande de certificat via le wizard dans panneau de conf->sécurité->certificat : Ajouter->Procurez-vous ... Let's Encrypt il faut bien indiquer le FQDN qu'on souhaite utiliser (ici c'est nas.domaine.com), pas nas tout court ni l'ip et on renseigne les autre questions une fois le certificat créé, il vaut vérifier qu'il est par défaut le plus simple c'est de supprimer l'autre certificat on pense à refermer le port 80 s'il n'est plus nécessaire enfin pour tester, il faut se connecter au nas avec l'adresse https://nas.domaine.com, ou https://nas.domaine.com:5001 pour accéder à DSM il faut ouvrir le port 5001 et tester depuis Internet (par exemple en 3G) =>il ne devrait plus y avoir d'erreur de certificat Le soucis est qu'en local, le navigateur va vouloir utiliser l'IP associée à nas.domaine.com, donc il va tomber sur la box (coté internet), 2 cas de figure : soit la box gère le loopback, dans ce cas ça va marcher (peut être lentement par contre) soit non, dans ce cas il faut faire en sorte qu'en local le nom nas.domaine.com résolve l'adresse IP privée du nas, pour y arriver, il n'y a pas 36 solutions : méthode sale : on modifie son fichier hosts, dans ce cas il faut penser à le changer quand on est plus chez soit méthode pas fiable : on utilise quickconnect, parfois ça marche, parfois non méthode propre : on installe son propre serveur DNS certaines box peuvent de jouer ce rôle => doc du constructeur il existe un paquet Serveur DNS dans les Syno, bien configuré ça marche il faut créer une zone maitre "nas.domaine.com" avec 2 enregistrements : type NS : Nom : vide TTL : on peut laisser par défaut, mais je recommande un temps court (3600 par exemple) Hôte/Domaine : adresse ip locale du nas (192.168.0.2 dans l'exemple) type A : Nom : vide TTL : on peut laisser par défaut, mais je recommande un temps court (3600 par exemple) Hôte/Domaine : adresse ip locale du nas (192.168.0.2 dans l'exemple) dernier point, il faut indiquer aux pc d'utiliser ce serveur DNS (via le serveur DHCP de préférence) Modifié le 11 août 2016 par Fenrir 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 7 août 2016 Partager Posté(e) le 7 août 2016 à la fois du https en local ... sur un reseau personnel, l’intérêt est très limité doit pas y avoir grand monde pour intercepter les password 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mugui Posté(e) le 7 août 2016 Auteur Partager Posté(e) le 7 août 2016 Bonjour, Merci pour cette grande explication. Alors pour commencer voici le détail de ma configuration : DS716+ + DX213. 4 Disques en SHR. DSM 6.0.1 Je ne l'ai pas précisé dans mon poste initial mais je passe par quickconnect via internet et je ne rencontre aucun soucis. En revanche c'est uniquement en local que je rencontre ce soucis. Si j'ai forcé en HTTPS c'est que je voulais qu'il soit crypté à travers internet. Je n'ai pas vu l'option pour le crypter à travers le net et non via le réseau local. Pour la création du nom de domaine, je dois en acheter un c'est bien cela ? Est ce vraiment bien nécessaire, alors que j'en ai juste besoin pour du local ? Concernant let'sencrypt, je devrai renouveler l'opération tous les trois mois ? Ne vaudrait il mieux pas que je passe par un certificat auto-signé ? Je précise le PC sur lequel je veux y accéder est un PC de bureau fixe qui ne bouge pas du réseau local. Je vous remercie par avance pour votre retour, car j'avoue que je suis dessus depuis un bon moment et je ne m'en sors pas. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 7 août 2016 Partager Posté(e) le 7 août 2016 il y a 1 minute, Mugui a dit : En revanche c'est uniquement en local que je rencontre ce soucis Dans ce cas tu peux directement aller à la dernière partie de mon post précedent, mais lis la suite ici il y a 5 minutes, Mugui a dit : Si j'ai forcé en HTTPS c'est que je voulais qu'il soit crypté à travers internet. Je n'ai pas vu l'option pour le crypter à travers le net et non via le réseau local. Les services HTTP n'écoutent pas sur les mêmes ports que les serveurs HTTPS, il suffit de ne pas ouvrir les ports non chiffrés depuis le net il y a 1 minute, Mugui a dit : Pour la création du nom de domaine, je dois en acheter un c'est bien cela ? Même si je recommande d'en acheter un (c'est plus pratique pour d'autres choses), ce n'est pas obligatoire, si tu utilises QuickConnect, tu as déjà un domaine (truc.synology.me par exemple) il y a 3 minutes, Mugui a dit : Concernant let'sencrypt, je devrai renouveler l'opération tous les trois mois ? Je ne sais pas si le syno intègre un système de renouvellement et je ne l'utilises pas sur mes syno, donc je n'ai pas la réponse il y a 4 minutes, Mugui a dit : Ne vaudrait il mieux pas que je passe par un certificat auto-signé ? C'est contraire à ta demande initiale, à toi de voir il y a 4 minutes, Mugui a dit : Je précise le PC sur lequel je veux y accéder est un PC de bureau fixe qui ne bouge pas du réseau local. Dans ce cas tu peux utiliser la méthode sale (le fichier hosts) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 8 août 2016 Partager Posté(e) le 8 août 2016 Il y a 8 heures, Fenrir a dit : Je ne sais pas si le syno intègre un système de renouvellement C'est le cas, j'ai eu l'occasion de le constater tout récemment: https://forum.synology.com/enu/viewtopic.php?f=145&t=120588&p=445644#p445644 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 9 août 2016 Partager Posté(e) le 9 août 2016 Ouaip c'etait indiqué dans le changelog ou dans le descriptif de V6 que c'etait automatique, moi ce qui me chagrine c'est de devoir laisser le port 80 ouvert, un peu comique... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 9 août 2016 Partager Posté(e) le 9 août 2016 il y a 30 minutes, Einsteinium a dit : moi ce qui me chagrine c'est de devoir laisser le port 80 ouvert Mouais, en ce qui me concerne vu que mon port 443 est également ouvert à l'extérieur, avoir également le 80 ouvert ne change rien en terme de sécurité, suis ni plus ni moins vulnérable. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 9 août 2016 Partager Posté(e) le 9 août 2016 Nan je pense à ceux qui font leurs popotes en locale uniquement 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
parisbyday Posté(e) le 17 octobre 2016 Partager Posté(e) le 17 octobre 2016 Je galere pas mal avec letsencrypt, apres il faut voir que je suis pas un expert de la securité. J'ai essayé de suivre le super tuto et j'ai donc suivi la check list avec : le port 80 ouvert par ex. Le certificat a bien été créé et est present dans la liste avec celuis de syno. Le certificat letsencrypt est bien celui par defaut. Mon nom de domain c'est monsite.dsmynas.org que j'ai declaré lors de la creation du certificat. Quand je me connecte sur https://monsite.dsmynas.org j'ai une erreur du genre. monsite.dsmynas.org uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown. The server might not be sending the appropriate intermediate certificates. An additional root certificate may need to be imported. The certificate is not valid for the name monsite.dsmynas.org. Error code: SEC_ERROR_UNKNOWN_ISSUER Le truc bizarre de mon point de vue de novice est que quand je fais un view du certificat invalide il me presente le certificat synology et non le letsencrypt. J'ai a l'evidence raté un truc mais je vois pas ou. J'ai testé plusieurs browser avec le meme resultat. J'utilise les ports 5008 en HTTP et 5018 en HTTPS avec redirection auto HTTP => HTTPS. Si vous avez des idées je suis preneur. Merci d'avance, Jean 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 17 octobre 2016 Partager Posté(e) le 17 octobre 2016 Supprime l'autre certificat dans le nas 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
parisbyday Posté(e) le 18 octobre 2016 Partager Posté(e) le 18 octobre 2016 Salut, Ca n'as rien changé... j'ai viré le certificat et ca pointe toujours sur le certificat synology ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 18 octobre 2016 Partager Posté(e) le 18 octobre 2016 Il faut relancer DSM pour que ça soit pris en compte. Vérifie aussi que tu n'as pas enregistré une exception dans ton navigateur. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
parisbyday Posté(e) le 18 octobre 2016 Partager Posté(e) le 18 octobre 2016 Ca a l'air beaucoup mieux ! merci. Sinon j'ai declaré dans la partie proxy inversé des domaines du genre nzbget.mondomaine.dsmynas.org https 443 => 192.168.1.5 http 80 Est-ce que je dois ajouter nzbget.mondomaine.dsmynas.org dans mon certificat ? et si oui, comment faire pour modifier le certificat ? En fait j'ai plusieurs domaines du type X.mondomaine.dsmynas.org et je souhaiterais en declarer plusieurs en une fois. Merci d'avance, Jean. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 19 octobre 2016 Partager Posté(e) le 19 octobre 2016 Pour cela il faut un certificat wildcard (*.domain.tld), ce que letsencrypt ne propose pas encore (c'est très attendu par la communauté). 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 19 octobre 2016 Partager Posté(e) le 19 octobre 2016 On peut aussi utiliser des SAN, c'est géré par letsencrypt 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
parisbyday Posté(e) le 23 octobre 2016 Partager Posté(e) le 23 octobre 2016 Merci pour vos retour. Letsencrypt gere les SAN mais la questions que je me pose est comment rajouter des SAN a un SAN existant qui contient deja une liste de sous domaine. Jean. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 23 octobre 2016 Partager Posté(e) le 23 octobre 2016 Il y a 6 heures, parisbyday a dit : comment rajouter des SAN a un SAN existant qui contient deja une liste de sous domaine On ne peut pas modifier un certificat, il faut le recréer 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
mjp05 Posté(e) le 18 décembre 2017 Partager Posté(e) le 18 décembre 2017 bonjour à tous, dans : panneau de configuration > Avancé > suites de chiffrement TLS / SSL > Compatibilité intermédiaire @+JP 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 18 décembre 2017 Partager Posté(e) le 18 décembre 2017 Il y a 2 heures, mjp05 a dit : dans : panneau de configuration > Avancé > suites de chiffrement TLS / SSL > Compatibilité intermédiaire à éviter sauf si on utilise un très vieux navigateur pas à jour et plein de failles 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
mjp05 Posté(e) le 20 décembre 2017 Partager Posté(e) le 20 décembre 2017 (modifié) Le 18/12/2017 à 21:37, mjp05 a dit : bonjour, dans : panneau de configuration > Avancé > suites de chiffrement TLS / SSL > Compatibilité intermédiaire ok , merci ...remis à : Compatibilité moderne @+JP Modifié le 20 décembre 2017 par mjp05 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
David13200 Posté(e) le 23 avril 2021 Partager Posté(e) le 23 avril 2021 Balaise ce Fenrir. J'ai parcouru 30 posts et avant de lire sa longue explication, je n'avais pas résolu mon problème de "site non sécurisé". En local j'ai appliqué la méthode sale en modifiant le fichier hosts et ça marche du feu de Dieu ! Bravo en tout cas, tu as un gros level. :) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.