[Résolu]Erreur liée à la confidentialité / Certificat

[Tical]

Bonjour à tous, 

 

Suite de ma prise en main...

Je viens de lire intégralement les posts suivants: 

- "Tout ce que vous avez toujours voulu savoir sur les réseaux sans jamais oser le demander" de Kramlech

et

-"[TUTO] [Pas-à-pas] Sécurisation du NAS - pour DSM 7" de .Shad.

Merci à eux pour ce très beau travail qui m'a aidé à grandir un peu même si pour l'instant mes connaissances sont assez friables.. je suis très vite perdu encore.

 

En suivant le tuto pas à pas, je bloque sur un point qui ne fonctionne pas à ce jour malgré mon suivi scrupuleux. Quelque chose doit m'échapper…

 

Je souhaite rediriger automatiquement les connexions http vers https. 

J'ai donc suivi le tuto et ai: 

-coché la case dans "portail de connexion" > DSM

- obtenu, ajouté un certificat en l'associant aux services de DSM. 

Problème: 

- j'ai redémarré pour tester et voici le message 

 

Je suis donc allé dans certificats et je me rends compte que le certificat auto-signé est toujours par défaut : 

 

Qu'est-ce que je fais par correctement ou pas entièrement ? 

Merci pour votre aide.

 

 

Modifié hier à 11:01 par Tical

[Mic13710]

Un certificat s'applique uniquement sur un nom de domaine. Si vous faites une requête sur une IP comme vous l'avez fait, aucun certificat ne peut s'appliquer d'où le message.

Pour le certificat par défaut, vous sélectionnez le certificat synology.me, bouton Action, modifier et vous cliquez sur Configurer comme certificat par défaut.

Il faut ensuite attribuer le certificat aux différents services. Cliquez sur le bouton Paramètres et vous sélectionnez le certificat à utiliser pour chacun d'eux.

[Tical]

Bonjour @Mic13710,

Ok donc je dois créer un nom de domaine. Existe t-il dans le forum un topic sur ce process ? 

Merci pour la manip j'ai pu attribuer le certificat par défaut et les différents services à lui attribuer. 

[Mic13710]

il y a 22 minutes, Tical a dit :

Ok donc je dois créer un nom de domaine.

Je ne comprends pas. Vous avez un nom de domaine xxxx.synology.me

C'est très bien pour commencer. Vous n'êtes certes pas le propriétaire de ce domaine ce qui exclue la possibilité de modifier la zone DNS  mais je pense qu'à ce stade vous n'en avez pas besoin. Ce ndd vous permet d'atteindre les différents services de votre NAS et son gros avantage c'est que le certificat est créé et renouvelé automatiquement.

Un ndd propriétaire peut se voir plus tard: par exemple mise en place d'un ndd propre à votre entreprise, avoir un service e-mail en propre. Sinon, celui de synology est suffisant. 

[Tical]

Ok je comprends. 

Pour faire une requête sur le nom de domaine plutôt que sur l'IP quelle est la marche à suivre ? (désolé de mon pauvre niveau de maitrise j'ai honte de cette question 😒)

[Mic13710]

Deux solutions : soit vous indiquez le nom de domaine et le port du service que vous voulez atteindre : https:\\xxx.synology.me:<Numéro du port>, soit vous paramétrez le reverse proxy qui permet d'associer un nom de domaine à un service : par exemple https:\\audio.xxxx.synology.me

Dans le premier cas, il faut ouvrir dans le routeur tous les ports des services que vous voulez utiliser et les diriger vers le NAS. Dans le deuxième, vous ouvrez uniquement le port 443 (https) que vous dirigez vers le NAS. Dans tous les cas, il faudra autoriser l'accès aux dit services dans le parefeu s'il a été activé (fortement conseillé).

Pour le reverse proxy, vous trouverez un tuto dans la section des tutoriels.

[Tical]

Et bien voilà une petite manipulation qui va bien m'occuper 😅

Merci je regarde tout cela ca va le faire. Idem je reviendrai ici pour informer de la résolution. Merci encore 🙂

[Mic13710]

Petite précision : les ouvertures des ports dans le routeur ne servent QUE si vous voulez atteindre les différents service de l'extérieur. Si utilisation uniquement locale, on n'ouvre aucun port. Et si on doit en ouvrir, ne le faire que pour les ports strictement nécessaires. Si vous utilisez le reverse proxy avec de noms de domaine dédiés, il n'y a qu'un seul port à rediriger vers le NAS, le 443.

[Tical]

L'utilisation ne sera que locale (aucun besoin de le faire depuis l'extérieur) et l'objectif est de cesser d'avoir cette mention "non sécurisée" lorsque je suis connecté à mon NAS. 

[Mic13710]

Si c'est une utilisation locale, alors vous pouvez utiliser directement les ports http ce qui évite le certificat et ne donne pas d'alerte. A moins que vous n'ayez aucune confiance dans les personnes qui utilisent votre réseau 😉

[Tical]

Ah ok c'est noté. La confiance n'excluant pas le contrôle je partais sur le principe que plus de sécurité ne peut nuire mais en effet si cela est inutile je vais décocher la redirection des http vers https. 

C'est plus clair pour moi sur ce point maintenant👌

[Mic13710]

Pour information, lorsque vous utilisez le reverse proxy, il ne fait rien de moins que de mettre en correspondance une url (adresse) et un service.

Par exemple : https:\\file.xxxx.synology.me associé à file station sera redirigé vers http:\\<IP du NAS>:7000 par le reverse proxy. Vous voyez bien que l'appel de l'extérieur est chiffré (https) et protégé par un certificat jusqu'au NAS, mais une fois sur le réseau privé, on utilise le http qui est en clair (non chiffré) car ce réseau est protégé puisqu'il ne peut pas subir d'attaque de l'extérieur. Vous pouvez aussi utiliser le reverse proxy pour atteindre d'autres équipements sur votre réseau privé. Par exemple, si vous avez de la domotique sur un petit Raspberry, vous pouvez grâce à l'url https:\\domo.xxxx.xynology.me atteindre votre domotique en redirigeant cette url vers : http:\\<IP de votre domotique>:<port de votre domotique>

Ceci pour vous montrer que le http peut être utilisé sans trop de risque en local, à moins que votre réseau privé ne le soit pas complètement avec des connexions anonymes que vous ne maîtrisez pas, auquel cas, le https s'impose avec un ndd et le certificat qui va avec.

[Tical]

Merci pour cette clarification. Je ne suis pas dans ce cas mais il se peut que j'évolue vers de la domotique auquel cas je reviendrai sur ce sujet 🙂

Le sujet peut-être clôturer merci pour votre aide précieuse

[Lelolo]

Le problème est maintenant résolu. N'hésitez pas à ouvrir un nouveau message en cas de problème. Ceci est une réponse automatique.