Aller au contenu

Connexion en local non sécurisée


Messages recommandés

Bonjour,

Je fouille sans succès depuis quelques temps pour trouver la réponse à la question : "comment faire pour que la connexion à mon  DS 411+II soit "verte" quand je suis en local ?

J'ai installé un certificat que j'ai eu chez Gandi avec mon nom de domaine, et lorsque tout va bien quand je me connecte en https://mondomaine.com:port

Mais quand quand je me connecte : https://mon_IP:port, j'ai l'alerte "connexion non sécurisé" en rouge. Je suppose que cela vient du fait que "l'utilisateur" est inconnu puisque dans ce cas, je ne passe pas par le nom de domaine et que le certificat ne correspond pas. Mais comment faire ? je n'ai pas la théorie et je ne sais pas par quel bout prendre ce problème.

 

Je remercie par avance ceux qui voudront bien m'éclairer et me donner un peu de théorie de base (histoire de ne pas rester complètement nul sur ce sujet).

 

Modifié par jmcversa
Lien vers le commentaire
Partager sur d’autres sites

Salut jmc,

Tout d'abord tu as bien compris pourquoi lorsque tu te connectes en local avec l'adresse ip ta connexion est "en rouge" au niveau du certificat. Le certificat a été créé avec le nom de domaine, et comme tu utilises l'IP, il ne correspond pas.

MAIS, cela ne veut pas dire que ta connexion n'est pas "moins sécurisée" puisque le certificat est tout de même utilisé, cela veut juste dire que le certificat ne "correspond pas" à l'URL utilisée., donc rien de grave du tout !

De plus, l'utilisation du HTTPS en réseau local n'est pas du tout une obligation.

Maintenant, si tu veux absolument que la connexion soit verte, il te suffit (à condition que la box de ton FAI le permette) de renseigner dans le DNS de ta box le nom de domaine utilisé pour ton certificat et de mettre l'IP locale de ton NAS (chose impossible à faire sur un BOX Orange par exemple). Mais une fois de plus, cela n'est pour moi vraiment pas une obligation, le plus important est que ton certificat soit utilisable depuis internet avec l'URL https://mondomaine.com:port

Lien vers le commentaire
Partager sur d’autres sites

Merci loli71 pour ta réponse.  Elle me rassure dans le sens ou mon raisonnement  n'était pas trop à côté de plaque.

Je suis conscient que ma connexion reste sécurisée dans ce cas là, mais je voulais faire ça "pour le sport", afin de comprendre un peu la théorie.

Je vais regarder la piste du FAI (j'ai une freebox révolution, et pas mal de chose sont possibles). Entre temps, je regardais s'il était possible de contourner le problème avec le serveur DNS du Syno.

Si tu as 5 minutes à l'occasion pour me dire - dans le cas où Free n'offre pas cette option - si la piste DNS est à creuser. Dans ce cas, je finirais bien par trouver.

Dans tous les cas, merci pour ta réponse rapide.

Lien vers le commentaire
Partager sur d’autres sites

2 façons de faire :

  • créer un certificat contenant aussi l'adresse IP du nas : c'est facile si tu utilises ta propre autorité de certification
    • si tu es le seul à utiliser le nas, pas de soucis, sinon il faudra distribuer ton certificat d'autorité
  • faire en sorte de n'utiliser que le nom de domaine du certificat pour se connecter
    • soit ta box gère le "loopback", dans ce cas rien à faire ou presque, par contre c'est souvent lent
    • soit non, dans ce cas installe un serveur DNS quelques part (sur le syno, sur un pc chez toi, sur un vps, ...) et créé un enregistrement domaine.com IN A 1.2.3.4

ps : pour le dernier exemple, tu peux tester en modifiant ton fichiers "hosts" (/etc/hosts ou c:\windows\system32\drivers\etc\hosts)

Lien vers le commentaire
Partager sur d’autres sites

J'irai éventuellement explorer de ce côté.

Pour l'instant, je suis en train de tester avec DSN Server sur le NAS. Mais si j'en sors un peu moins idiot, j'en sortirais à coup sûr complètement dingue. Je m'arrache les cheveux avec ce truc depuis presque 2 jours sans résultat. Put... je ne dois vraiment pas être doué, pourtant je pensais avoir compris le principe. Je vais essayer une nouvelle fois.

Merci encore pour ton aide.

Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, Fenrir a dit :

regarde ce post, la dernière partie

Cool, merci. Tu vas sans doute m'éviter la camisole.

Je viens de lire vite rapidement, et je crois avoir compris mon erreur. Je relis tout ça tranquillement, je fais les modifs et te tiens informé.

 

Lien vers le commentaire
Partager sur d’autres sites

 

Sorry, je n'ai pas pu faire de retour plus tôt, car j'étais absent. 

Fenrir, j'ai suivi le tuto que tu m'as indiqué, sans succès. J'ai appliqué à la lettre les consignes, mais j'avoue sans en comprendre ce que je faisais, car la démarche m'échappe, et j'ai lu tellement de docs sur la question que je n'y vois plus clair et n'arrive plus à raisonner sur ce sujet.

Voici ce que j'ai fais : 

J'ai créé dans DNS Server une zone Master. À la création, de la zone Master, le Syno crée automatiquement :

  • un NS Type : mondomaine.com.  NS  3600   ns.mondomaine.com.
  • un A Type : ns.mondomaine.com.  A  3600  mon.IP.public

Ensuite, j'ai fais deux versions:

  • La première, où j'ai ajouté aux enregistrements ressources du Syno les deux enregistrements que tu préconises dans ton tuto (je n'ai pas trouvé pourquoi faire deux enregistrements NS type identique)
    • type NS :
      • Nom : vide
      • TTL : 3600 
      • Hôte/Domaine : mon.ip.locale.nas
    • type NS :
      • Nom : vide
      • TTL : 3600
      • Hôte/Domaine : mon.ip.locale.nas
  • La seconde où j'ai supprimé les enregistrements ressources générés automatiquement par le Syno, pour ne laisser que les deux NS type que tu indiquais dans ton tuto.

Puis j'indique dans l'onglet DNS des préférences réseau du MacBook, mon.ip.locale.nas comme serveur DNS.

Pour les essais, j'ai désactivé le pare-feu du Syno afin d'éliminer des sources de blocage.

J'essaye pour finir de me connecter depuis le navigateur avec l'adresse : mondomaine.com:port et là : rien. Le navigateur indique : Ce site est inaccessible.

Il est évident que j'ai loupé une marche, mais si on pouvez me mettre sur une piste... je cherche, mais là je suis embrouillé (et un peu désespéré aussi).

Merci à qui voudra bien mettre ma boussole dans la bonne direction.

 

 

 

 

 

 

 

 0
Lien vers le commentaire
Partager sur d’autres sites

il y a 47 minutes, jmcversa a dit :

(je n'ai pas trouvé pourquoi faire deux enregistrements NS type identique)

parce que ... je me suis trompé en écrivant le post :biggrin:

NS et A, j'ai corrigé

NS c'est pour dire quel est le serveur DNS de la zone et A c'est un enregistrement "normal" (tel nom correspond à telle ip).

Ce qu'il créé par défaut est presque bon, il y a juste "ns." en trop

  • un NS Type : mondomaine.com.  NS  3600   ns.mondomaine.com.
  • un A Type : ns.mondomaine.com.  A  3600  mon.IP.public
Lien vers le commentaire
Partager sur d’autres sites

Ok, je comprends pourquoi je ne comprenais pas :smile:

Et je crois qu'il reste une dernière petite erreur  sur le  A Type où il faut saisir l'IP local du NAS et non l'IP public.

Je récapitule pour les personnes qui souhaite s'appuyer sur ce post pour refaire cette configuration :

Créer dans DNS Server une zone Master. À la création, de la zone Master, le Syno crée automatiquement :

  • un NS Type : mondomaine.com.  NS  86400   ns.mondomaine.com.
  • un A Type : ns.mondomaine.com.  A  86400  mon.IP.public

Modifier l'enregistrement de la façon suivante :

  • un NS Type : mondomaine.com.  NS  3600   mondomaine.com.
  • un A Type : mondomaine.com.  A  3600  mon.ip.locale.nas

Et là, ça fonctionne.

Un grand Merci Fenrir pour ton aide précieuse.

Dernier point :  je ne sais pas comment noter ce post "Résolu".  SI un modérateur peu me donner la marche à suivre ...

Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, jmcversa a dit :

Et je crois qu'il reste une dernière petite erreur  sur le  A Type où il faut saisir l'IP local du NAS et non l'IP public.

ça c'est à toi de voir, dans ton exemple tu avais l'IP public, donc j'ai repris (ce n'est pas une erreur, on peut très bien avoir plusieurs ip publiques, y compris en interne ou vouloir faire des montages rx)

il y a 3 minutes, jmcversa a dit :

Dernier point :  je ne sais pas comment noter ce post "Résolu".  SI un modérateur peu me donner la marche à suivre ...

Il faut éditer le premier post

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.