Créer une page HTTPS.

[Valleyforge]

Bonjour,

Je sollicite à nouveau la communauté à propos cette fois de la mise en place d'une page web accessible en https.

Autant je m'en sors pour réaliser un site en http (css, php etc..), autant je n'ai aucune idée pour le https.

Que ce soit pour la configuration du DSM ou pour le contenu en lui-même (les pages sont-elles différentes en https).

J'ai déjà un site en http et je voudrais dans un premier temps une simple page https pour accéder à ma base de données.

Existe-t-il un tuto ici ou ailleurs ? J'ai bien trouvé des choses, mais cela me semble très compliqué et je ne suis pas sûr que cela m'aide dans mon projet.

J'ai tâtonné avec Virtual Host pour créer une écoute "basé sur le port" en HTTPS sur le port 8889, avec pour racine du document "web/MON_DOSSIER"

qui se retrouve dans la liste du certificat

J'ai récupéré l'adresse publique du serveur qui abrite la page web, mais quand je tente d'y accéder (https://xxx.xxx.xxx.xxx:8889)  j'ai une réponse "le délai d'attente est dépassé". (pas erreur 404)

La page en question est faite en php pour du http, je ne sais pas si cela a une importance.

Je n'ai rien fait d'autre pour le moment.

 

[DaffY]

Bonjour,

1/ il faut un certificat ssl plutôt dédié à un nom de domaine qui pointe vers le NAS
(Possible et gratuit avec nos NAS tant pour le ndd que pour l3 certificat)
2/ virtual host cree, il fait le mettre en lien avec ce certificat (configuration)
3/ selon le routage existant, et autres filtres firewall existants, ouvrir le port permettant de joindre cet hôte.

[Valleyforge]

Bonjour,

J'ai suivi les conseils et j'ai créé un domaine synology.me avec certificat Let's Encrypt.

J'ai ouvert le port https sur ma box.

Et cela fonctionne, même sans passer par le port 8888 que j'avais créé avec Virtual Host (du coup à quoi çà sert ?).

Le lien de Virtual Host avec le nouveau certificat s'est fait automatiquement, comme tout le reste d'ailleurs.

J'ai fait cela également sur un deuxième NAS (distant) sans problème.

Alors, j'ai supprimé les Virtual Host sans que cela gène l'accès.

Mais, l'accès en http à mes pages restent possible.

Alors, j'ai activé dans les paramètres DSM, "Activer un domaine personnalisé", pour pouvoir activer HSTS et comme domaine j'ai mis mondomaine.synology.me sur le mien et mondomaine2.synology.me sur le NAS distant.

Et Crac, je n'ai plus le contrôle du NAS distant que se soit par mondomaine.synology.me ou par quickconnect, bien que je puisse toujours accéder aux pages en https.

Sur le mien, j'ai toujours le contrôle mais par le réseau local.

Je cherche à faire cette structure :

web

    --- Dossier 1 HTTPS (exclusivement)

                   ------- Sous Dossier 1 HTTPS (exclusivement) : contient site 1

                  ------- Sous Dossier 2 HTTPS (exclusivement) : contient site 2

   ---- Dossier 2 HTTP

                 ------- Sous Dossier 1 HTTP : contient données non sensibles.

 

Est-il normal que le certificat de mon domaine soit celui par défaut ?

Est-ce que j'aurais dû activer HSTS sur mondomaine.synology.me/Dossier 1 HTTPS ?

Ai-je moyen de reprendre la main sur le NAS distant sans m'y connecter en local ?

 

[DaffY]

Bonjour,

1/

La création d’un certificat se fait pour un nom de domaine e.
Lors de la création du ndd via synology elle est implicite et automatique.
Du coup le certificat est ajouté par défaut pour le NAS et tous ses services.

2/

Virtualhost permet de préciser sur les dossiers web des accès directs en web. (Protocole http)
Pour chaque virtualhost ajoutés le certificat e instant et par défaut est associé .

Par défaut le port utilise sauf mention contraire est
80 pour http
443 pour https

Implicitement compris par les navigateurs si on pr3vise http ou https.
a partir du moment où un certificat est mis en place autant utiliser l’accès https.

4 /
Http2 et hsts sont des options (compression et niveau de sécurité encapsulé)


5/
il est conseillé de supprimer historique et cache dns des navigateurs pour de nouveau bien accéder à ces ressources (physiquement elles n’ont pas bouger, mais la manière d’y accéder oui)

l’accès au NAS distant est toujours opérationnel pour peu que
Dns et historique soient effacés
Au pire utilisez un qu’âtre navigateur ou encore un autre point d’accès

Dernier point
La chance d’avoir un NDD via synology est que les sous domaines €mêmes non créés à ce jour) sont couverts par le certificat.

Donc
Si NDD est monNAS.synology.me
Monweb1.monNAS.synology.me peut très bien être le ndd pour le site web 1
Etc pour les autres

[Valleyforge]

Bonjour,

 

1)  Je comprends, mais néanmoins j'ai vu une vidéo de mise en place de ndd et après création du certificat, la vidéo montrait une étape de modification du certificat Synology pour le remettre "par défaut".

Est-ce que cela a un intérêt ?

 

2) J'ai créé un Virtual Host pour pointer sur un dossier de site web.

J'ai pu constaté qu'un accès au site en http était redirigé en https grâce à l'option HSTS du Virtual Host.

Cependant avant d'accéder au site, les navigateurs préviennent d'un risque de sécurité.

Firefox indique que le certificat n'est valable que pour le domaine et pas pour le sous domaine et Safari indique que "cela peut arriver si le site n'est pas bien configuré".

Y-a-t-il un moyen de ne pas avoir cet avertissement (anxiogène) ? une autre configuration d'un service ?

 

J'ai également vu que l'on pouvait créer un fichier htaccess avec la directive : Redirect permanent / https://www.domaine.com/

Cela permet-il de supprimer l'avertissement ?

 

3) J'ai récupéré le contrôle du nas distant par un accès en local ☹️.

 

4) Peut-on créer un alias (beaucoup plus court) de : MonDossierWeb.MonNomDeDomaine.synology.me ?

 

Merci et bonne journée.

 

[DaffY]

Bonjour

Beaucoup de mélange...

Le certificat ssl permet de garantir le chiffrage de bout en bout.
Quelque soit le protocole utilisé.
Https ftps

Le ndd permet l’accès à la ressource NAS, serveur web etc

Le certificat est en relation avec le service concerné et le ndd associé

Voilà pourquoi dans le parametrage du certificat, configuration permet de mettre le service et le ndd avec le bon certificat.

Les domaines synology gratuits offrent de manière automatique le certificat pour les sous domaines.
Si ndd est truc.synology.me mapageweb.toto.synology.me est un sous domaine
Si via virtual host je crée un site web basé sur ce ndd il faut dans certificat faire ensuite le lien certificat et service web associé.


Pour avoir un nom plus court (enfin une extension au final autre que synology) on crée un ndd via un registar en .fr ou .com etc.

On créer un certificat pour ce ndd et on précise aussi ses sous domaines pour que le certificat couvre ces derniers.

Quant hsts c’est une couche de sécurité supplémentaire et le fichier htindex une autre notion encore plus spécifiquement adapté. Pour des serveurs web apache.

[Valleyforge]

Bonjour,

Oui, je reconnais que tout cela est encore confus pour moi.

 

Je n'ai pas eu besoin de paramétrer le certificat, cela s'est fait automatiquement par Virtual Host pour les 2 sous domaines créés:

Il semble donc que le certificat couvre bien mes sous domaines.

 

J'ai pourtant toujours un avertissement de sécurité :

 

qui peut être inquiétant, et plus encore quand on édite l'avertissement ">"

 

 

et puis quand on va sur "plus d'informations", ça dit que tout va bien

 

 

Il y a de quoi y perdre son latin. !!!

 

Cela dit, j'ai déjà rencontré cet avertissement pour d'autres sites tel que l'administration à distance d'une Livebox.

Je trouve dommage que l'on ne puisse pas y remédier.

D'autant plus qu'il est toujours possible d'accéder à la page web sans passer par le sous domaine pour peu que l'on connaisse le chemin absolu du fichier index:

MonDomaine.synology.me/lechemin/très/compliqué/dufichier/index.php

sans avertissement de sécurité (puisque l'accès se fait par le domaine).

Mais c'est moins pratique.

Quoi que, je pourrai (et c'est sans doute ce que je vais faire) créer une page d’accueil à accès par mot de passe (ou pas), pointée par mondomaine.synology.me qui servira par des liens à diriger les visiteurs vers les pages recherchées.

Voilà, et avant de clore ce fil, une dernière question : Les certificats se renouvellent-ils automatiquement ?

Merci et bonne journée.

 

 

 

[DaffY]

J’ai de forts doutes sur la bonne correspondance ndd défini en hôte virtuel et certificat ssl service associé.

Car dans ce cas sauf cache dns temporaire sur le client utilisé, le lien https est complet.

Un test avec un autre device ou un autre navigateur doit pouvoir le voir confirmer .
Si ce n’est pas le cas, le point 1 n’est donc pas couvert ou le ndd utilise n’est pas couvert dans le certificat.

Même si le ndd synology est large préciser le sous domaine peut sans doute aider en supprimant recréant le certificat.

Quant au certificat, tout est clairement indiqué dans l’aide disponible sur le syno. Gratuit, 1 adresse mail par compte crée, durée 3 mois, renouvellement automatique. Port 80 et 443 requis pour création renouvellement.