Mugui Posté(e) le 6 août 2016 Posté(e) le 6 août 2016 Bonjour à tous, J'essaie désespérément de faire en sorte que sur mon réseau local, je puisse me connecter via chrome en https sur mon NAS, sans pour autant qu'il me dise que cela n'est pas un site sûr. J'ai essayé des tas de tutos (génération du certificat par un tiers, auto-signature, certificat let's encrypt ...). Chrome me dit toujours que le site n'est pas sûr. (j'ai essayé avec l'adresse IP, ainsi qu'avec le nom du serveur). J'ai clairement raté quelque chose. Je précise que je ne souhaite pas payer. Je vous remercie grandement par avance. 0 Citer
Fenrir PostĂ©(e) le 7 aoĂ»t 2016 PostĂ©(e) le 7 aoĂ»t 2016 (modifiĂ©) Merci de prĂ©ciser : le modĂšle du nas le type de volume (shr, raid, ...) et le nombre de disques, mĂȘme si ici ça n'a pas d'importance la version de DSM (le systĂšme installĂ©) nb : le plus simple c'est de tout mettre en signature, comme ça on n'a pas besoin de poser la question Comme tu parles de letsencrypt, je pars du principe qu'il s'agit de DSM 6.0. Pour la suite, je dĂ©tails toutes les Ă©tapes pour que ça serve aux autres utilisateurs, mais je pense que tu n'as besoin que de certaines d'entre elles, elles sont Ă la fin. ----------------------------------------------------------------- Pour qu'un certificat soit reconnu comme valide par un navigateur, il faut que les points suivants soient vrais : le certificat est signĂ© par une autoritĂ© connue du navigateur : c'est le cas des certificats dĂ©livrĂ©s par letsencrypt le certificat est valide : les dates doivent ĂȘtre correctes (un certificat letsencrypt c'est valide 3mois) le certificat doit contenir l'adresse utilisĂ©e dans le navigateur : le problĂšme vient probablement de ce dernier point si on accĂšde au nas avec https://nas.domaine.com, le certificat doit contenir le nom nas.domaine.com si on accĂšde au nas avec https://192.168.0.2, le certificat doit contenir l'adresse 192.168.0.2 si on accĂšde au nas avec https://nas, le certificat doit contenir le nom nas Les 2 derniers cas sont Ă oublier (c'est techniquement possible mais ce si vous avez besoin de cette aide, c'est que c'est hors de votre portĂ©e). Donc il faut crĂ©er un certificat pour nas.domaine.com (Ă remplacer par le bon nom de domaine, idem pour l'ip 192.168.0.2) : on commence par crĂ©er un nom de domaine (ou utiliser un dns dynamique) qui renvoi vers l'adresse IP du nas si le nas est derriĂšre une box, cas le plus probable, il faut utiliser l'ip publique de la box normalement les services de DNS dynamique s'en chargent (on peut utiliser ceux du nas ou de la box ou ...) il faut ensuite autoriser le port 80 sur le parefeu du nas si le nas est derriĂšre une box, cas le plus probable, il faut "forwarder le port" 80 de la box vers le nas ensuite on fait la demande de certificat via le wizard dans panneau de conf->sĂ©curitĂ©->certificat : Ajouter->Procurez-vous ... Let's Encrypt il faut bien indiquer le FQDN qu'on souhaite utiliser (ici c'est nas.domaine.com), pas nas tout court ni l'ip et on renseigne les autre questions une fois le certificat crĂ©Ă©, il vaut vĂ©rifier qu'il est par dĂ©faut le plus simple c'est de supprimer l'autre certificat on pense Ă refermer le port 80 s'il n'est plus nĂ©cessaire enfin pour tester, il faut se connecter au nas avec l'adresse https://nas.domaine.com, ou https://nas.domaine.com:5001 pour accĂ©der Ă DSM il faut ouvrir le port 5001 et tester depuis Internet (par exemple en 3G) =>il ne devrait plus y avoir d'erreur de certificat Le soucis est qu'en local, le navigateur va vouloir utiliser l'IP associĂ©e Ă nas.domaine.com, donc il va tomber sur la box (cotĂ© internet), 2 cas de figure : soit la box gĂšre le loopback, dans ce cas ça va marcher (peut ĂȘtre lentement par contre) soit non, dans ce cas il faut faire en sorte qu'en local le nom nas.domaine.com rĂ©solve l'adresse IP privĂ©e du nas, pour y arriver, il n'y a pas 36 solutions : mĂ©thode sale : on modifie son fichier hosts, dans ce cas il faut penser Ă le changer quand on est plus chez soit mĂ©thode pas fiable : on utilise quickconnect, parfois ça marche, parfois non mĂ©thode propre : on installe son propre serveur DNS certaines box peuvent de jouer ce rĂŽle => doc du constructeur il existe un paquet Serveur DNS dans les Syno, bien configurĂ© ça marche il faut crĂ©er une zone maitre "nas.domaine.com" avec 2 enregistrements : type NS : Nom : vide TTL : on peut laisser par dĂ©faut, mais je recommande un temps court (3600 par exemple) HĂŽte/Domaine : adresse ip locale du nas (192.168.0.2 dans l'exemple) type A : Nom : vide TTL : on peut laisser par dĂ©faut, mais je recommande un temps court (3600 par exemple) HĂŽte/Domaine : adresse ip locale du nas (192.168.0.2 dans l'exemple) dernier point, il faut indiquer aux pc d'utiliser ce serveur DNS (via le serveur DHCP de prĂ©fĂ©rence) ModifiĂ© le 11 aoĂ»t 2016 par Fenrir 1 Citer
gaetan.cambier PostĂ©(e) le 7 aoĂ»t 2016 PostĂ©(e) le 7 aoĂ»t 2016 Ă la fois du https en local ... sur un reseau personnel, lâintĂ©rĂȘt est trĂšs limitĂ© doit pas y avoir grand monde pour intercepter les password 0 Citer
Mugui Posté(e) le 7 août 2016 Auteur Posté(e) le 7 août 2016 Bonjour, Merci pour cette grande explication. Alors pour commencer voici le détail de ma configuration : DS716+ + DX213. 4 Disques en SHR. DSM 6.0.1 Je ne l'ai pas précisé dans mon poste initial mais je passe par quickconnect via internet et je ne rencontre aucun soucis. En revanche c'est uniquement en local que je rencontre ce soucis. Si j'ai forcé en HTTPS c'est que je voulais qu'il soit crypté à travers internet. Je n'ai pas vu l'option pour le crypter à travers le net et non via le réseau local. Pour la création du nom de domaine, je dois en acheter un c'est bien cela ? Est ce vraiment bien nécessaire, alors que j'en ai juste besoin pour du local ? Concernant let'sencrypt, je devrai renouveler l'opération tous les trois mois ? Ne vaudrait il mieux pas que je passe par un certificat auto-signé ? Je précise le PC sur lequel je veux y accéder est un PC de bureau fixe qui ne bouge pas du réseau local. Je vous remercie par avance pour votre retour, car j'avoue que je suis dessus depuis un bon moment et je ne m'en sors pas. 0 Citer
Fenrir PostĂ©(e) le 7 aoĂ»t 2016 PostĂ©(e) le 7 aoĂ»t 2016 il y a 1 minute, Mugui a dit : En revanche c'est uniquement en local que je rencontre ce soucis Dans ce cas tu peux directement aller Ă la derniĂšre partie de mon post prĂ©cedent, mais lis la suite ici il y a 5 minutes, Mugui a dit : Si j'ai forcĂ© en HTTPS c'est que je voulais qu'il soit cryptĂ© Ă travers internet. Je n'ai pas vu l'option pour le crypter Ă travers le net et non via le rĂ©seau local. Les services HTTP n'Ă©coutent pas sur les mĂȘmes ports que les serveurs HTTPS, il suffit de ne pas ouvrir les ports non chiffrĂ©s depuis le net il y a 1 minute, Mugui a dit : Pour la crĂ©ation du nom de domaine, je dois en acheter un c'est bien cela ? MĂȘme si je recommande d'en acheter un (c'est plus pratique pour d'autres choses), ce n'est pas obligatoire, si tu utilises QuickConnect, tu as dĂ©jĂ un domaine (truc.synology.me par exemple) il y a 3 minutes, Mugui a dit : Concernant let'sencrypt, je devrai renouveler l'opĂ©ration tous les trois mois ? Je ne sais pas si le syno intĂšgre un systĂšme de renouvellement et je ne l'utilises pas sur mes syno, donc je n'ai pas la rĂ©ponse il y a 4 minutes, Mugui a dit : Ne vaudrait il mieux pas que je passe par un certificat auto-signĂ© ? C'est contraire Ă ta demande initiale, Ă toi de voir il y a 4 minutes, Mugui a dit : Je prĂ©cise le PC sur lequel je veux y accĂ©der est un PC de bureau fixe qui ne bouge pas du rĂ©seau local. Dans ce cas tu peux utiliser la mĂ©thode sale (le fichier hosts) 0 Citer
CoolRaoul Posté(e) le 8 août 2016 Posté(e) le 8 août 2016 Il y a 8 heures, Fenrir a dit : Je ne sais pas si le syno intÚgre un systÚme de renouvellement C'est le cas, j'ai eu l'occasion de le constater tout récemment: https://forum.synology.com/enu/viewtopic.php?f=145&t=120588&p=445644#p445644 0 Citer
Einsteinium Posté(e) le 9 août 2016 Posté(e) le 9 août 2016 Ouaip c'etait indiqué dans le changelog ou dans le descriptif de V6 que c'etait automatique, moi ce qui me chagrine c'est de devoir laisser le port 80 ouvert, un peu comique... 0 Citer
CoolRaoul Posté(e) le 9 août 2016 Posté(e) le 9 août 2016 il y a 30 minutes, Einsteinium a dit : moi ce qui me chagrine c'est de devoir laisser le port 80 ouvert Mouais, en ce qui me concerne vu que mon port 443 est également ouvert à l'extérieur, avoir également le 80 ouvert ne change rien en terme de sécurité, suis ni plus ni moins vulnérable. 0 Citer
Einsteinium Posté(e) le 9 août 2016 Posté(e) le 9 août 2016 Nan je pense à ceux qui font leurs popotes en locale uniquement 0 Citer
parisbyday Posté(e) le 17 octobre 2016 Posté(e) le 17 octobre 2016 Je galere pas mal avec letsencrypt, apres il faut voir que je suis pas un expert de la securité. J'ai essayé de suivre le super tuto et j'ai donc suivi la check list avec : le port 80 ouvert par ex. Le certificat a bien été créé et est present dans la liste avec celuis de syno. Le certificat letsencrypt est bien celui par defaut. Mon nom de domain c'est monsite.dsmynas.org que j'ai declaré lors de la creation du certificat. Quand je me connecte sur https://monsite.dsmynas.org j'ai une erreur du genre. monsite.dsmynas.org uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown. The server might not be sending the appropriate intermediate certificates. An additional root certificate may need to be imported. The certificate is not valid for the name monsite.dsmynas.org. Error code: SEC_ERROR_UNKNOWN_ISSUER Le truc bizarre de mon point de vue de novice est que quand je fais un view du certificat invalide il me presente le certificat synology et non le letsencrypt. J'ai a l'evidence raté un truc mais je vois pas ou. J'ai testé plusieurs browser avec le meme resultat. J'utilise les ports 5008 en HTTP et 5018 en HTTPS avec redirection auto HTTP => HTTPS. Si vous avez des idées je suis preneur. Merci d'avance, Jean 0 Citer
Fenrir Posté(e) le 17 octobre 2016 Posté(e) le 17 octobre 2016 Supprime l'autre certificat dans le nas 0 Citer
parisbyday Posté(e) le 18 octobre 2016 Posté(e) le 18 octobre 2016 Salut, Ca n'as rien changé...  j'ai viré le certificat et ca pointe toujours sur le certificat synology ! 0 Citer
Fenrir Posté(e) le 18 octobre 2016 Posté(e) le 18 octobre 2016 Il faut relancer DSM pour que ça soit pris en compte. Vérifie aussi que tu n'as pas enregistré une exception dans ton navigateur. 0 Citer
parisbyday Posté(e) le 18 octobre 2016 Posté(e) le 18 octobre 2016 Ca a l'air beaucoup mieux ! merci. Sinon j'ai declaré dans la partie proxy inversé des domaines du genre nzbget.mondomaine.dsmynas.org https 443 => 192.168.1.5 http 80 Est-ce que je dois ajouter nzbget.mondomaine.dsmynas.org dans mon certificat ? et si oui, comment faire pour modifier le certificat ? En fait j'ai plusieurs domaines du type X.mondomaine.dsmynas.org et je souhaiterais en declarer plusieurs en une fois. Merci d'avance, Jean. 0 Citer
PiwiLAbruti Posté(e) le 19 octobre 2016 Posté(e) le 19 octobre 2016 Pour cela il faut un certificat wildcard (*.domain.tld), ce que letsencrypt ne propose pas encore (c'est trÚs attendu par la communauté). 0 Citer
Fenrir Posté(e) le 19 octobre 2016 Posté(e) le 19 octobre 2016 On peut aussi utiliser des SAN, c'est géré par letsencrypt 0 Citer
parisbyday Posté(e) le 23 octobre 2016 Posté(e) le 23 octobre 2016 Merci pour vos retour. Letsencrypt gere les SAN mais la questions que je me pose est comment rajouter des SAN a un SAN existant qui contient deja une liste de sous domaine. Jean. 0 Citer
Fenrir Posté(e) le 23 octobre 2016 Posté(e) le 23 octobre 2016 Il y a 6 heures, parisbyday a dit : comment rajouter des SAN a un SAN existant qui contient deja une liste de sous domaine On ne peut pas modifier un certificat, il faut le recréer 0 Citer
mjp05 Posté(e) le 18 décembre 2017 Posté(e) le 18 décembre 2017 bonjour à tous, dans : panneau de configuration > Avancé > suites de chiffrement TLS / SSL > Compatibilité intermédiaire @+JP 0 Citer
Fenrir Posté(e) le 18 décembre 2017 Posté(e) le 18 décembre 2017 Il y a 2 heures, mjp05 a dit : dans : panneau de configuration > Avancé > suites de chiffrement TLS / SSL > Compatibilité intermédiaire à éviter sauf si on utilise un trÚs vieux navigateur pas à jour et plein de failles 1 Citer
mjp05 Posté(e) le 20 décembre 2017 Posté(e) le 20 décembre 2017 (modifié) Le 18/12/2017 à 21:37, mjp05 a dit : bonjour, dans : panneau de configuration > Avancé > suites de chiffrement TLS / SSL > Compatibilité intermédiaire ok , merci ...remis à : Compatibilité moderne @+JP  Modifié le 20 décembre 2017 par mjp05 0 Citer
David13200 Posté(e) le 23 avril 2021 Posté(e) le 23 avril 2021 Balaise ce Fenrir. J'ai parcouru 30 posts et avant de lire sa longue explication, je n'avais pas résolu mon problÚme de "site non sécurisé". En local j'ai appliqué la méthode sale en modifiant le fichier hosts et ça marche du feu de Dieu ! Bravo en tout cas, tu as un gros level. :) 0 Citer
.png.c1ce62910554a5e8a2915ffddd97fe16.png)
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.