Jusque-là, n’ayant pas besoin d’accéder à mes NAS via Internet, je les laissais utiliser le SSL Synology. Mais ce matin j’en ai eu marre d’avoir pour la énième fois une alerte de sécurité de Vivaldi en me rendant sur le DSM. J’ai donc mis un SSL Lets Encrypt pour être tranquille et la procédure est on ne peut plus simple :)
Il y a cependant 2 préalables : avoir un Nom De Domaine associé au NAS et que le serveur Web soit accessible via Internet (ports HTTP et HTTPS).
- Accessibilité depuis Internet (exemple Livebox)
- Nom de domaine
- Certificat Lets Encrypt
Pour commencer vous devez permettre l’accès de votre serveur Web (port HTTP & HTTPS dans votre DSM) depuis Internet. Ce qui implique, si votre routeur ne dispose pas de l’UPNP (ou est bloqué), de créer la redirection vous-même. Voici un exemple avec une Livebox :
- J’attribue l’IP statique 192.168.1.101 de mon NAS (IP qui correspond à son interface LAN4 que j’utilise, IP & MAC à retrouver dans le DSM) dans Livebox/Configuration avancée/DHCP,
- Je rends ensuite son port HTTPS 7321 (si vous n’avez rien modifié sur votre NAS ce sera le 7001) accessible depuis Internet via le port HTTPS « classique » 443.
Concernant le NDD on peut tout simplement utiliser le service DDNS -gratuit- de Synology, à configurer dans Panneau de configuration / Accès externe / DDNS. Sélectionnez Synology et configurez ensuite le NDD comme bon vous semble.
Une fois que nous avons notre NDD on peut passer à l’installation de Lets Encrypt. Synology a développé un outil interne qui permet au NAS de tout gérer : il ne lui faut q’un domaine et un email pour ensuite générer, installer et renouveler le certificat SSL (tous les 90 jours).
Se rendre dans Panneau de configuration / Sécurité / Certificat
Pour ensuite l’utiliser à la place du SSL de Synology, cliquez sur Configurer et sélectionnez votre SSL LE :
Vous n’aurez plus d’erreur dans votre navigateur !
Hello
merci pour le tuto. j’utilise le DDNS de synology pour le NDD mais lors de la conf du certificat il me dit que le nom de domaine n’est pas correcte.
merci par avance.
Salut, ton NAS est-il bien accessible via son domaine ? Les ports sont-ils bien ouverts dans ta box FAI ?
Une fois votre certificat installé, pour ne pas être ennuyé sans arrêt par les alertes de votre navigateur indiquant que le certificat est invalide lorsque vous vous connectez sur https://192.168.xxx.xxx, ajoutez l’adresse locale à votre fichier Hosts: 192.168.xxx.xxx votre.nom.de.domaine.com Enfin ça, c’est uniquement si votre routeur ne supporte pas le loopback et que la connexion depuis votre LAN à votre… Lire la suite »
Tiens d’ailleurs Aerya, saurais-tu détailler comment utiliser les certificats générés pour le NAS dans d’autres pages hebergées, comme pour Organizr et Transmission et Medusa etc (oui c’est ma liste de courses :-) j’ai DL 3 fichiers .pem en exportant le certificat, mais je sais pas trop comment m’en servir). Merci, au fait, ton blog dechire, il est dans un tab… Lire la suite »
Je ne pense pas que ce soit possible sauf à utiliser un Wild Card. Enfin c’est possible mais tu auras une erreur SSL vu que le nom ne correspondra pas… Donc avec Lets Encrypt (vu qu’ils ne font pas encore de WCard) c’est fichu.
Eh ben, en mettant le Document Root « web/Organizer » en Name-based Hostname « Organizr », pas besoin de fare une nouvelle demande de certficat : https://MonNas.synology.me/Organizr fonctionne Cependant, en faisant ça, je ne peux plus acceder aux différents sites encapsulés en iframe, si ceux-ci ne sont pas HTTPS également. Donc plus d’accès à Transmission, Medusa, Jackett, etc Donc je souhaitais, à l’aide de… Lire la suite »
Pour les iframes en HTTPS en effet ça ne passera pas : les IP sont différentes et donc les domaines aussi, tu ne peux utiliser le même SSL pour tous.
C’est pour ça qu’on est impatients que Lets Encrypt mette en place un service wildcard :)
Sinon pour du Wildcard, en attendant Let’s Encrypt, j’ai pris celui-ci pas cher : https://www.wistee.fr/certificat-ssl/wildcard.php
Bonjour,
j’ai fait tout cela mais j’ai toujours le message disant que le certificat n’est pas valide :-( .
En demandant plus d’informations je vois bien qu’il a été émis par let’s encrypt …
Une idée ?
Merci.
re-bonjour, j’ai ajouté l’entrée de hhh.synology.me dans le fichier hosts de mon PC et miracle, si je me connecte avec https://hhh.synology.me au lieu de https://192.168.nnn.mmm je suis en mode sécurisé ! Bon, ça s’est fait par hazard (je planchais sur autre chose …) mais tant mieux ! PS: BRAVO à ce site qui permet à tout un chacun d’envoyer un… Lire la suite »
Merci :)
Bonjour, petit update alors que je me suis trouvé déconnecté avec impossibilité de me reconnecter à partir de hhh.synology.me. En fait le fichier hosts était édité par un autre programme !!! J’ai lancé un procmon dessus, et j’ai vite trouvé le coupable ! Bitdefender, mon antivirus. Je comprends sa démarche mais j’ai tout de même désactivé la scan du hosts… Lire la suite »
Bonjour j’ai un probleme j’ai suivi pourtant tout les poins mais le certificat et non sécurisé dans le detail du certificat dans google chrome il est valide mais j’ai des points d’exclamation dans utilisation de la clé et contraintes de base
Salut, ça peut vouloir dire que tu affiches du contenu HTTP sur ton site HTTPS. Des images par exemple. Si l’ensemble des éléments de ta page ne sont pas en HTTPS tu auras alors une erreur de ce type.
bonjour, merci de votre réponse, c’est pas un site que j’ai c’est un synology, je ne pense pas que j’ai du contenu http à moins que j’ai loupé quelque chose, est ce que qu’il y a un défaut dans ce certificat ???? ou autre chose car tout marche sauf ce certificat. cordialement
J’ai bien compris mais s’il y a un certificat HTTPS c’est pour une page Web, c’est ce que je voulais dire.
Sinon, plus simplement, quelles sont les erreurs SSL ? (https://ssl.webaware.net.au/testing/)
bonjour, j’ai fait des test en ligne – pourquoi pas de cadenas? cela concerne « force https »: L’utilisation forcée de HTTPS: // sur votre site garantira que les visiteurs de votre site utilisent toujours https://######.synology.me et ne peuvent pas accéder à une URL non sécurisée http://######.synology.me. Ceci est recommandé car si un visiteur accède à votre site en tant que http://######.synology.me,… Lire la suite »
Ok donc en gros faut juste que tu forces le HTTPS. Ce qui va dépendre de l’application Synology concernée. Leurs forums ont des infos à ce sujet, comme par exemple https://community.synology.com/enu/forum/16/post/124464
bonjour, la situation alors le cadenas est vert depuis internet mais en réseau local il est rouge je pense que ce n’est pas grave ça reste dans mon réseau local????? j’ai toujours le problème sur la redirection de http a https sur le test mais tandis que j’ai applique les différents point du forum http sont bloqué et j’ai vérifié… Lire la suite »
Merci top le tuto