Certificat HTTPS & Co

[Maurice92]

Bonjour,

Depuis quelques jours j'essaie vainement de créer un certificat Let's Encrypt pour mon NAS Syno pour y accéder de l'extérieur sans avoir systématiquement un message d'alerte me disant que le site n''est pas sécurisé.... Je passe outre à chaque fois et ça marche mais c'est un peu agaçant à la longue.
J'ai parcouru le forum ainsi que d'autres site web pour trouver une solution. J'ai tenté d'appliquer ce que j'ai pu lire ici et là  mais sans succès.... A chaque tentative, il m'est répondu : "Erreur de connexion. Veuillez redémarrer DSM" ou quelque chose de similaire.
Pour l'accès extérieur, j'ai créé des règles de pare-feu avec, entre autres, les ports 80 et 443 ouverts. Ceux-ci sont bien redirigés par mon routeur (Livebox).
Par ailleurs, j'ai modifié les ports 5000 et 5001 en d'autres ports (avec redirection forcée vers HTTPS) et en les rappelant bien dans mon routeur.
Ayant une IP dynamique chez Orange, j'ai bien créé un nom de domaine via Synology (xxxx.synology.me).
En fait, tout ça marche assez bien hormis ce maudit message de sécurité apparaissant à chaque connexion. J'aurais aimé avoir une connexion HTTPS certifiée mais toutes mes tentatives comme dit plus haut ont échoué.
En dernier recours, j'ai tenté d'installer le paquet Web Station comme préconisé sur un site web mais ça n'a réussi que "m'interdire" l'accès à la console DSM sur mon PC. Quand je tapais l'adresse IP locale de mon NAS sur mon navigateur, un écran s'affichait me disant que WEB Station avait bien été  installée mais pour poursuivre la configuration il me fallait me rendre sur sur l'Aide DSM. Très bien, mais impossible de sortir de cette page (figée) et donc de me rendre sur la console de configuration pour poursuivre l'opération.... J'ai réussi à m'en sortir en supprimant Web Station & Co via mon accès externe qui continuait à marcher très bien hormis le petit souci évoqué ici et objet de mon post.
Donc pour mon certificat SSL, je ne sais plus quoi faire après avoir tenté différentes choses. Hormis si quelqu'un aurait une idée dans le forum, je pense que je vais rester ainsi avec mon message d'alerte systématique ☹️ Il y aurait bien la solution du certificat auto-signé (pas encore tenté) mais je ne sais pas ce que cela vaut en termes de sécurité ??? J'ai lu tout et son contraire sur le sujet....
Dernière chose à laquelle je pense, dans les règles de mon pare-feu j'ai limité l'accès aux seules IP françaises. Ne sachant pas où se trouvent les serveurs LE, ça pourrait peut-être venir de là ??? Mais je ne suis pas chaud pour ouvrir l'accès aux quatre vents....
Dernière chose, mon NAS est un DS414 avec une DSM 6.0.3. Il ne m'est proposé aucune MàJ supérieure dans le centre de paquets (???). Puis-je l'upgrader manuellement vers la dernière version (7.0) ou au moins vers la 6.2.xx sans risque majeur ???

Merci d'avance pour vos réponses


 

[cadkey]

Web station installé, il est normal que si tu te connectes depuis l'exterieur avec https://xxx.synology.me tu tombes sur la page d'erreur que tu indiques car tu n'heberges pas de site web sur ton NAS. C'est ce qu'indique le message. C'est sans importance.

Si tu te connectes avec https://xxx.synology.me:5001 tu accedes à DSM (5001 ou le port HTTPS que tu as redéfinis)

[MilesTEG1]

Salut 👋🏻 

Tout d’abord il est clairement anormal que le certificat ne puisse pas se faire, surtout sur le nom de domaine synology.

as tu essayé de le supprimer (le nom de domaine ) et de le recréer en cochant bien la case pour mettre le certificat LE par défaut.

 

si tu as déjà tenté, faudrait vérifier que le certificat est bien créé . Est ce bien le cas ? (Faut regarder dans l’onglet dédié de dsm, je me rappelle plus le nom et je suis sur mobile).

 Ensuite il faut que tu mettes ce certificat sur le nom de domaine : utilise le bouton modifier pour affecter un certificat à un nom de domaine ou à un service enregistré dans le reverse proxy.

Si j’ai l’occasion de faire des captures avant que quelqu’un te réponde je les mettrais . 

[cadkey]

Le certificat Let's encrypt se présente comme ceci, premiere ligne le nom que tu lui donnes, dessous le nom de domaine auquel il est rattaché.

C'est bien un certificat émis par  Let's Encrypt (R3) et non le certificat synology.

Modifié le 30 juin 2021 par cadkey

[MilesTEG1]

il y a 1 minute, cadkey a dit :

C'est bien un certificat émis par  Let's Encrypt (R3) et non le certificat synology.

Attention, tu confonds certificat et nom de domaine.

synology fourni le nom de domaine, et LE fourni le certificat.

[cadkey]

Quand je dis 'et non le certificat Synology', c'est qu'il est possible au départ de mettre un certificat autosigné Synology si j'ai bonne mémoire.
Tu confirmes? Si c'est pas clair ou faux, je modifie.

Modifié le 30 juin 2021 par cadkey

[Maurice92]

Tout d'abord, merci pour les réponses rapides 🙂

@cadkey
La capture que tu indiques c'est exactement le message que j'avais.
La seule différence c'est ce que j'avais en local (depuis mon navigateur => Firefox). Depuis l'extérieur, comme je l'ai indiqué, j'accédais parfaitement à DSM. C'est ce qui m'a permis d'ailleurs de supprimer Web Station.
Cette alerte n'est peut-être pas importante (pas de site hébergé), mais impossible de m'en défaire !!! Aucune possibilité pour passer outre (coche, escape, enter....etc.). Donc, solution ultime : tout désinstaller....

@MilesTEG1
Merci aussi de ton intervention.
Quand j'ai créé mon nom de domaine (il y a déjà quelques temps), je n'avais pas réussi, comme tu l'indiques, à générer le certificat. J'avais laissé tombé en me disant que je verrai plus tard.... Comme ça marchait en gros, j'ai fait avec le message d'alerte en passant outre. Mais, à la longue, c'est agaçant....
Donc non, le certificat n'est pas créé. Comme expliqué, quand je tente, ça me répond erreur de connexion et ça ne va pas plus loin...
Pourtant à la lecture des différents tutos sur le sujet, ça n'a pas l'air compliqué. Je crois avoir suivi à la lettre ce qui est demandé de faire ???

[cadkey]

il y a 9 minutes, Maurice92 a dit :

Cette alerte n'est peut-être pas importante (pas de site hébergé), mais impossible de m'en défaire !!! Aucune possibilité pour passer outre (coche, escape, enter....etc.). Donc, solution ultime : tout désinstaller....

Avec Web Station et sans site web, Normal que tu restes bloqué sur cette page si tu tentes de te connecter avec https://xxx.synology.me
Dans ce cas il faut te connecter avec https://xxx.synology.me:5001 (le numero du port https que tu as choisi en remplacement de 5001)

Modifié le 30 juin 2021 par cadkey

[Maurice92]

En local, je me connecte via l'adresse IP du NAS sur le réseau interne => 192..168.1.xx (seulement)
Habituellement, comme il y a une redirection HTTP --> HTTPS, mon navigateur me connecte directement au port adéquat (que j'ai modifié).
Là ce n'était pas le cas. Peut-être que j'aurais dû spécifier le port en plus ??? J'avoue je n'y ai pas pensé car je n'en ai jamais vraiment eu besoin auparavant. Comme dis plus haut, quand je tapais 192.168.1.xx, la connexion s'établissait automatiquement sur 192.168.1.xx:yyyy

[cadkey]

J'ai bien précisé quand Web station est installé, pour répondre à ton probleme de page d'erreur lorsque web station était installé.

[Maurice92]

@Cadkey

On est d'accord 🙂 J'avais un peu zappé cette subtilité.....
Merci.

[cadkey]

Ton Syno est bien identifié, nom de domaine, adresse ip sur le site https://account.synology.com/fr-fr/
Tu as une Ip Dynamique, tu as bien activé DDNS?

[Maurice92]

Oui, le Syno est bien identifié. Comme j'ai dit, j'y accède sans pb depuis l'extérieur. Le seul point qui m'ennuie c'est le fichu message d'alerte pour site non sécurisé. Je peux faire avec bien-sûr mais bon, si je pouvais éviter ça serait mieux => certificat SSL obligatoire...
J'ai bien une IP dynamique couverte par un nom de domaine Synology (DDNS).

[cadkey]

Si tu as verifié dans https://account.synology.com/fr-fr/ ok.
As-tu tenté après un redémarrage du nas?
Après redémarrage de ton routeur?

[Maurice92]

Vérification faite = OK
Redémarrage NAS = OK => connexion LE toujours refusée
Redémarrage routeur (Livebox) = Non fait => impossible pour le moment (à voir demain ?)

[MilesTEG1]

@Maurice92

Tu pourrais préciser quelle adresse tu tapes quand tu as l'alerte de sécurité ?

Tu utilises DSM 7 ou DSM 6.2 ?

Sinon j'ai récupéré mon ordi 🙂  Je vais pouvoir agrémenter ce message de quelques captures.

 

On va reprendre du début, pour être sûr de parler des bonnes choses.
Mes captures sont faites avec DSM 7, mais pour DSM 6.2, c'est normalement valable aussi, sauf pour le reverse proxy...

 

1/
Peux-tu confirmer que dans l'onglet sécurité/certificat, tu n'as rien ?
Moi j'ai deux certificats pour deux noms de domaines.

Si tu as quelque chose dans cet onglet, ne fait pas la suite, et attends de nouvelles instructions, il y a moyen de faire fonctionner le bazar 🙂 (voir point 4/ )

 

2/
Dans l'onglet Accès externe/DDNS : tu dois avoir une ligne avec Synology et l'adresse externe. On est bien d'accord ?

Si oui :

3.1/ 
Alors, il faut vérifier dans ta box, que le port HTTPS que tu as personnalisé pour DSM soit bien routé vers l'IP de ton NAS. Prenons la valeur par défaut pour illustrer l'exemple : 5001.
Attention ne route surtout pas le 5000 !
(tant que tu es à vérifier ces ports, je te propose de router aussi le port 443, j'en parlerais à la fin du message).

3.2/ 
Maintenant, tu testes l'accès à DSM avec une connexion 4G (autre que celle de ta box) en tapant :

• ton adresse IP internet avec le port de connexion :  https://ip_box:port/
• ton nom de domaine : https://mon-ndd.tld:port/

En fonction des résultats on avisera.

• Si tu accèdes sans soucis des deux manières à DSM, tout va bien. Tu vas pouvoir tenter de générer le certificat.
• Si tu n'accèdes pas à DSM, là ça veut dire que tu as quelque chose qui bloque... va falloir trouver quoi.

 

4/
Ensuite, pour le certificat, il faudrait vérifier en cliquant sur le bouton Paramètre, et voir si tu pourrais pas affecter le certificat sur les services.

 

5/
Sinon faudrait essayer de réinitialiser le certificat :

Par contre, là je ne sais pas ce que ça fait, je n'ai jamais tenté...

 

______________________

Autre chose, si tu es intéressé, c'est de ne pas exposer le port de DSM sur internet, et de ne passer que par le port 443 (qui sera le seul port ouvert sur la box), en utilisant le reverse proxy.
Là il faut créer une entrée dans le reverse proxy comme ceci (toujours avec DSM7 😉 ) :

 

Pour le certificat, une fois que tu sais que ton nom de domaine fonctionne sans soucis, il va falloir le recréer le nom de domaine et choisir de créer le certificat et de le mettre par défaut au moment de la création.
Voir aussi cet article qui parle de ça, et de la création du certificat LE pour le nom de  domaine synology (ça rend un peu redondant tout ce que j'ai dit précédemment 😛 )
NAS Synology : Domaine, sous-domaine, Reverse-Proxy et HTTPS (cachem.fr) (l'exemple utilisé dans cet article est pour Bitwarden, mais s'applique aussi pour DSM comme je l'ai montré au-dessus).

 

Voilà 🙂 En tout cas, ne laisse pas tomber l'affaire, il faut que ça fonctionne ! Ce n'est pas normal que ça ne fonctionne pas...

 

Tu peux illustrer ta réponse avec des captures d'écrans, surtout pour les réglages 🙂 Masque les infos sensibles comme l'iP internet (il ne sert à rien de masquer les IP locales LAN), le nom de domaine...

++

[Maurice92]

@cadkey

Je pense jeter l'éponge....

Je crois avoir fait tous les réglages/manipulations possibles sans aucun résultat probant.

Dernières manips effectuées :

 - dans le pare-feu, désactivation de la règle relative aux pays (voir mon post initial) => connexion toujours refusée.

 - désactivation du pare-feu (au cas où) => connexion toujours refusée.

 Donc, j'avoue, je sèche.....

 Je crains que je vais devoir continuer à me connecter depuis l'extérieur avec ce fichu message d'alerte à chaque fois. Tant qu'il me bloque pas complètement, c'est déjà mieux que rien....

 

 @MilesTEG1

 Je te donne mes réponses dans l'ordre de tes questions.

 Tout d'abord, comme je l'ai dit dans mon post initial, ma version de DSM est la 6.0.3. Dans la fenêtre Panneau de configuration/Mise à Jour DSM, il m'est dit que toutes les MàJ critiques sont installées. Il ne m'est pas proposé de passer à la version supérieure.

 D'où ma question dans ce 1er post, puis-je sans risque installer manuellement la version 6.2, voire 7.0, sans risque ? Pour rappel, mon NAS est un DS414.

 Pour ce qui est de l'adresse tapée pour une connexion depuis l'extérieur, c'est celle de mon nom de domaine créé via DDNS de synology. Bien sûr associée au numéro de port HTTPS que j'ai modifié.

 

 Mes réponses :

 1) Dans l'onglet en question, j'ai uniquement le certificat de base de Synology. Mais bon, celui-ci n'est pas reconnu en tant que tel pour la plupart des navigateurs.

 2) Oui. C'est bien ça.

 3.1) Oui aussi. Tous les ports nécessaires sont bien routés vers mon NAS

 3.2) Oui dans les 2 cas.

 4) Du fait de ma version de DSM, je n'ai pas tout à fait la même présentation que ton exemple. Mais de manière "détournée" je vois que le certificat Synology (le seul que j'ai) est appliqué à différentes applications.

 5) Impossible faute de certificat ad-hoc.

  Merci pour le petit conseil à propos de l'exposition du port DSM

[cadkey]

Mouais... Et pourtant tu t'es forcement planté quelque part.

[MilesTEG1]

Il y a 21 heures, Maurice92 a dit :

Dernière chose, mon NAS est un DS414 avec une DSM 6.0.3. Il ne m'est proposé aucune MàJ supérieure dans le centre de paquets (???). Puis-je l'upgrader manuellement vers la dernière version (7.0) ou au moins vers la 6.2.xx sans risque majeur ???

il y a 12 minutes, Maurice92 a dit :

Tout d'abord, comme je l'ai dit dans mon post initial, ma version de DSM est la 6.0.3. Dans la fenêtre Panneau de configuration/Mise à Jour DSM, il m'est dit que toutes les MàJ critiques sont installées. Il ne m'est pas proposé de passer à la version supérieure.

 D'où ma question dans ce 1er post, puis-je sans risque installer manuellement la version 6.2, voire 7.0, sans risque ? Pour rappel, mon NAS est un DS414.

Ho j'avais raté l'info...
Et non ce n'est pas normal d'être encore en 6.0.2 aujourd'hui sur un DS414...
Il faut aller chercher manuellement la MAJ sur le Download Center de Synology : Centre de téléchargements - DS414 | Synology Inc.

Tu pourras choisir quelle version tu veux :

Tu peux du coup passer en DSM7 😄 

 

il y a 15 minutes, Maurice92 a dit :

 1) Dans l'onglet en question, j'ai uniquement le certificat de base de Synology. Mais bon, celui-ci n'est pas reconnu en tant que tel pour la plupart des navigateurs.

C'est-à-dire ? L'autosigné ?
Fait une capture.

Pour les autres réponses, tout me semble indiquer que ça doit fonctionner !!!

Pourrais-tu supprimer le nom de domaine synology, et aussi le certificat autosigné (si c'est bien de ça dont on parle), recréer le nom de domaine en faisant des captures de toutes les étapes (masquant bien sur les données sensibles, sur macOS j'utilise Monoswap, et sur windows j'utilise GreenShot).

Et je pense que tu devrais vraiment mettre à jour ton DSM... Fait le manuellement, ça ne craint rien 😉 Récupère le .pat via le lien que je t'ai donné.

[Maurice92]

@cadkey

J'en suis bien convaincu, mais où ???
Comme ça commence à me prendre la tête et que je n'ai pas les connaissances suffisantes pour jouer à "Colombo", je pense en rester là....
Comme je disais, tant que je ne suis pas complètement bloqué, je vais faire avec.

Merci quand même de ton aide.

@MilesTEG1

Oui, effectivement j'avais vu sur le site de Synology la possibilité de télécharger les versions DSM supérieures à la mienne. J'étais un peu hésitant de passer à l'acte....
Pour le certificat Synology, oui c'est bien l'autosigné.
Je suivrai tes conseils à propos de refaire un nom de domaine plus tard car je vais devoir déconnecter mon installation informatique demain  pour cause de gros travaux à mon domicile.
Donc, pas d'inquiétude si je suis "silencieux" pendant quelques temps, je reprendrai, si besoin est, cette discussion ultérieurement.

Merci encore pour l'assistance et les conseils apportés.

[cadkey]

 

Il y a 21 heures, Maurice92 a dit :

Dernière chose, mon NAS est un DS414 avec une DSM 6.0.3. Il ne m'est proposé aucune MàJ supérieure dans le centre de paquets (???). Puis-je l'upgrader

Les mises à jour de DSM ne sont pas dans le centre de paquet mais dans Panneau de Configuration, Mises à jour et restauration.
Comme te dit @MilesTEG1, Fais la mise à jour au moins en 6.2.4 (la 6.0.3 a plus de 4 ans), et les manips demandés avec capture d'écran pour vérifier.

[Maurice92]

@cadkey

Oui, c'est ce que je voulais dire : Mise à Jour et restauration.... Mais j'ai été un peu trop vite dans mon explication.....

En fait, il ne me proposait pas une quelconque version supérieure car l'option était décochée dans la fenêtre "Options de MàJ" (???).
Je viens de corriger la chose et maintenant, il me propose bien de passer à la 6.2.4.xxxx
Je vais le faire dans la foulée avant de me déconnecter demain comme expliquer plus haut.

[cadkey]

Lol. D'où l'intérêt des captures d'écran.

[MilesTEG1]

Quitte à faire une grosse maj (car la 6.2 était Mine de rien assez importante) J’aurais directement mis la 7 😁

[Maurice92]

MàJ vers la 6.2 effectuée. On verra plus tard pour la 7.0 😉
Après une petite vérif, les différents paramètres n'ont pas été a priori affectés.
Quelques applications ont demandé d'être mises à jour. Normal.....

Sinon, petite nouvelle : sans trop y croire après toutes ces tentatives infructueuses, j'ai retenté à nouveau de créer un certificat LE. Et à mon grand étonnement sans avoir touché aucun paramètre de ma configuration précédente, ça a marché !!!
J'ai tenté une connexion extérieure en 4G depuis mon smartphone et là, plus de message bloquant 😁
A croire que le blocage venait de la version DSM précédente ??? Je ne saurais dire mais maintenant ça marche !!!
Ce qui confirme que tous les paramètres initiaux étaient corrects vu qu'ils avaient passé sans encombre les tests proposés par MilesTEG1.

Merci encore mille fois à vous deux pour votre patience et assistance.