Certification SSL

[marcus2701]

Bonjour, avez vous sécurisé votre NAS avec un certificat ? Si oui par quelle autorité de certification ? Comment ? Combien ? Merci

[Fenrir]

• oui
• ma propre autorité
• il suffit d'installer le certificat via l'interface du dsm et d'activer l'HTTPS
• 0€ car c'est mon autorité, mais il existe au moins une autorité gratuite officielle te permettant de le faire : startssl

Si tu te fiche d'avoir des avertissement SSL de la part de ton navigateur, tu peux te contenter du certificat auto généré par Synology (de mémoire il est installé de base, il suffit d'activer le HTTPS).

Si tu veux un certificat reconnu sans erreur par les navigateurs, il faut faire une demande à une autorité de certification, les prix varient de 0€ à plusieurs milliers.

Tu peux créer la demande de certificat directement depuis le Syno ou avec openssl.

A noter qu'il faut aussi que tu possèdes un nom de domaine et que tu saches créer des enregistrements DNS.

 

[PiwiLAbruti]

Comment as-tu configuré ta propre autorité ? Est que le certificat génère une alerte de sécurité lors de la navigation ?

[marcus2701]

J'ai un certificat auto-signée et je fais dans la mesure du possible tout en https. J'ai eu des alertes au début mais j'ai ajouté le dsm en exception permanente. Ca m'allait très bien mais depuis peu en cliquant sur le cadenas rouge barré c'était marqué que la technologie de cryptographie était obsolète du coup je flippe un peu

[gaetan.cambier]

ta cryptographie est declarée obsolette non pas à cause du certificat, mais des algorithme utilisé !

faut mettre l'aes-gcm en 1° et priviliegier tls 1.2

 

[marcus2701]

Merci ! tu peux me dire ou aller pour changer ça ?

[gaetan.cambier]

ca depend,

 

tu utilise simplement ton nas d'origine pour te connecter ou tu as installer un reverse proxy (nginx, haproxy) ?

c'est pas meme ligne a changé, mais pas au meme endroit, donc, je doit savoir

[marcus2701]

Juste pour me connecter. Je m'y connais pas en proxy et autres

[gaetan.cambier]

dans le fichier suivant en ssh :

/etc/httpd/conf/extra/httpd-ssl.conf-cipher

tu modifie la ligne commancant par SSLCipherSuite avec :

SSLCipherSuite EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5

tu redemarre le serveur web :

synoservicecfg --restart httpd-user

 

pour editer le fichier faudra utiliser "vi" google te donnera comment l'utiliser

avant et après, tu peux toujours tester ta connection ssl sur le site ssllabs.com

 

[marcus2701]

Ça a l'air compliqué tout ça :-) . Je vais lire ça tranquillement et le faire. Merci beaucoup pour ton aide.

[marcus2701]

J'ai installé vi et activé ssh au niveau du serveur. Dans cette section j'ai vu qu'on pouvait personnaliser le mode de chiffrement en activant des cases à cocher. Tu peux me dire si la configuration que tu m'a proposé peut-être faire avec cet interface graphique ?

[marcus2701]

J'ai installé vi et activé ssh au niveau du serveur. Dans cette section j'ai vu qu'on pouvait personnaliser le mode de chiffrement en activant des cases à cocher. Tu peux me dire si la configuration que tu m'a proposé peut-être faite avec cet interface graphique ?

[gaetan.cambier]

j'ai remarqué cela sur le dsm 5.2, mais c'est uniquement pour personaliser les connection ssh :s

donc pas le choix, faut passer par l'edition du fichier

 

[marcus2701]

:-( Je n'y connais vraiment rien. Peux tu me dire si j'ai bien saisi quoi faire ? Je suis sous linux. Au niveau du pc, j'ai installé vi et ssh qui sont maintenant dispo dans mon terminal. Au niveau du NAS j'ai activé le ssh. Je voudrais maintenant me connecter au NAS depuis mon terminal. Apparemment je dois taper: monuser:password@ipdemonNAS c'est ca ? Une fois connecté, je tape les commandes que tu m'as donné pour ouvrir le fichier de configuration et le modifier puis je redémarre le serveur. C'est bien ca ? Dans tes commandes à part "user" au niveau du redémarrage y a t'il d'autre mot à personnaliser ?

[marcus2701]

monuser: password

[marcus2701]

Tu n'aurais pas un tuto qui détaille la procédure ?

[Fenrir]

1. active le ssh sur le syno : à faire dans les paramètres du DSM
2. installe un client ssh sur ton pc (sous linux/mac os, c'est natif, sous Windows tu peux installer putty)
3. connecte toi en ssh sur le nas : login root, mot de passe, celui du compte admin
4. puis lance ces 2 commandes :

cp /etc/httpd/conf/extra/httpd-ssl.conf-cipher /root/httpd-ssl.conf-cipher.backup

sed -i 's/SSLCipherSuite HIGH:!EXPORT:!eNULL:!aNULL:!DES:!RC4:!RC2:!MD5:!IDEA:!SEED:!CAMELLIA:+AES128:+AES256:+3DES:+kEECDH:+kRSA:!EDH:!aECDH:!aECDSA:!kECDHe:!SRP:!PSK/SSLCipherSuite EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5/g' /etc/httpd/conf/extra/httpd-ssl.conf-cipher

La première commande fait un backup du fichier de configuration

La seconde remplace la liste des cipher dans le fichier.

Enfin relance le serveur apache

Si tu as un soucis après, tu peux revenir en arrière avec la commande :

cp /root/httpd-ssl.conf-cipher.backup /etc/httpd/conf/extra/httpd-ssl.conf-cipher

 

Modifié le 4 juin 2015 par Fenrir

[gaetan.cambier]

C une bonne idée le sed, ça évite de devoir utiliser vi

Modifié le 4 juin 2015 par gaetan.cambier

[marcus2701]

Super merci à vous deux. Une dernière question je n'arrive pas à voir où fini la première et commence la deuxième commande

[gaetan.cambier]

commande 1 (backup) :

cp /etc/httpd/conf/extra/httpd-ssl.conf-cipher /root/httpd-ssl.conf-cipher.backup

commande 2 (remplacement de la ligne): 

sed -i 's/SSLCipherSuite HIGH:!EXPORT:!eNULL:!aNULL:!DES:!RC4:!RC2:!MD5:!IDEA:!SEED:!CAMELLIA:+AES128:+AES256:+3DES:+kEECDH:+kRSA:!EDH:!aECDH:!aECDSA:!kECDHe:!SRP:!PSK/SSLCipherSuite EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5/g' /etc/httpd/conf/extra/httpd-ssl.conf-cipher

et la commande 3 (pour redémarrer apache) :

synoservicecfg --restart httpd-user

 

Modifié le 4 juin 2015 par gaetan.cambier

[marcus2701]

Merci beaucoup :)

[marcus2701]

cp: can't stat '/root/httpd-ssl.conf-cipher.backup': Permission denied J'obtiens ce message d'erreur en voulant faire la sauvegarde.

[gaetan.cambier]

Utilise l'utilisateur root et ça fonctionnera ;)

[marcus2701]

Oups. J'ai ça maintenant: cp: can't create '/admin/httpd-ssl.conf-cipher.backup': No such file or directory

[PiwiLAbruti]

Qui t'a dit d'utiliser /admin ?

[marcus2701]

C'est bien l'utilisateur root non ?