Synology : utiliser un certificat SSL Lets Encrypt

Jusque-là, n’ayant pas besoin d’accéder à mes NAS via Internet, je les laissais utiliser le SSL Synology. Mais ce matin j’en ai eu marre d’avoir pour la énième fois une alerte de sécurité de Vivaldi en me rendant sur le DSM. J’ai donc mis un SSL Lets Encrypt pour être tranquille et la procédure est on ne peut plus simple 🙂

Il y a cependant 2 préalables : avoir un Nom De Domaine associé au NAS et que le serveur Web soit accessible via Internet (ports HTTP et HTTPS).

  1. Accessibilité depuis Internet (exemple Livebox)
  2. Nom de domaine
  3. Certificat Lets Encrypt

Pour commencer vous devez permettre l’accès de votre serveur Web (port HTTP & HTTPS dans votre DSM) depuis Internet. Ce qui implique, si votre routeur ne dispose pas de l’UPNP (ou est bloqué), de créer la redirection vous-même. Voici un exemple avec une Livebox :

  1. J’attribue l’IP statique 192.168.1.101 de mon NAS (IP qui correspond à son interface LAN4 que j’utilise, IP & MAC à retrouver dans le DSM) dans Livebox/Configuration avancée/DHCP,
  2. Je rends ensuite son port HTTPS 7321 (si vous n’avez rien modifié sur votre NAS ce sera le 7001) accessible depuis Internet via le port HTTPS “classique” 443.

Concernant le NDD on peut tout simplement utiliser le service DDNS -gratuit- de Synology, à configurer dans Panneau de configuration / Accès externe / DDNS. Sélectionnez Synology et configurez ensuite le NDD comme bon vous semble.

Une fois que nous avons notre NDD on peut passer à l’installation de Lets Encrypt. Synology a développé un outil interne qui permet au NAS de tout gérer : il ne lui faut q’un domaine et un email pour ensuite générer, installer et renouveler le certificat SSL (tous les 90 jours).

Se rendre dans Panneau de configuration / Sécurité / Certificat

Pour ensuite l’utiliser à la place du SSL de Synology, cliquez sur Configurer et sélectionnez votre SSL LE :

Vous n’aurez plus d’erreur dans votre navigateur !

20 Commentaires
Le plus ancien
Le plus récent Le plus populaire
Cognotte
Cognotte
Invité
04/10/2017 15h17

Hello

merci pour le tuto. j’utilise le DDNS de synology pour le NDD mais lors de la conf du certificat il me dit que le nom de domaine n’est pas correcte.

merci par avance.

Anatharias
Anatharias
Invité
14/10/2017 2h55

Une fois votre certificat installé, pour ne pas être ennuyé sans arrêt par les alertes de votre navigateur indiquant que le certificat est invalide lorsque vous vous connectez sur https://192.168.xxx.xxx, ajoutez l’adresse locale à votre fichier Hosts:
192.168.xxx.xxx votre.nom.de.domaine.com

Enfin ça, c’est uniquement si votre routeur ne supporte pas le loopback et que la connexion depuis votre LAN à votre domaine pointant sur votre NAS en local ne fonctionne pas…

Anatharias
Anatharias
Invité
Répondre à  Anatharias
14/10/2017 3h05

Tiens d’ailleurs Aerya, saurais-tu détailler comment utiliser les certificats générés pour le NAS dans d’autres pages hebergées, comme pour Organizr et Transmission et Medusa etc (oui c’est ma liste de courses 🙂 j’ai DL 3 fichiers .pem en exportant le certificat, mais je sais pas trop comment m’en servir).
Merci, au fait, ton blog dechire, il est dans un tab de mon navigateur et n’en part jamais, presque épinglé, presque 🙂

Anatharias
Anatharias
Invité
Répondre à  Aerya
16/10/2017 2h37

Eh ben, en mettant le Document Root « web/Organizer » en Name-based Hostname « Organizr », pas besoin de fare une nouvelle demande de certficat : https://MonNas.synology.me/Organizr fonctionne
Cependant, en faisant ça, je ne peux plus acceder aux différents sites encapsulés en iframe, si ceux-ci ne sont pas HTTPS également. Donc plus d’accès à Transmission, Medusa, Jackett, etc

Donc je souhaitais, à l’aide de l’export de certificats, d’assigner ce certificat aux services hebergés… mais je ne sais pas comment, ou si c’est faisable.
tu as l’air de dire que non 🙁

Chris
Chris
Invité
06/03/2018 9h11

Sinon pour du Wildcard, en attendant Let’s Encrypt, j’ai pris celui-ci pas cher : https://www.wistee.fr/certificat-ssl/wildcard.php

Michel
Michel
Invité
01/05/2018 10h28

Bonjour,
j’ai fait tout cela mais j’ai toujours le message disant que le certificat n’est pas valide 🙁 .
En demandant plus d’informations je vois bien qu’il a été émis par let’s encrypt …
Une idée ?
Merci.

Michel
Michel
Invité
Répondre à  Michel
01/05/2018 12h23

re-bonjour,

j’ai ajouté l’entrée de hhh.synology.me dans le fichier hosts de mon PC et miracle, si je me connecte avec https://hhh.synology.me au lieu de https://192.168.nnn.mmm je suis en mode sécurisé !

Bon, ça s’est fait par hazard (je planchais sur autre chose …) mais tant mieux !

PS: BRAVO à ce site qui permet à tout un chacun d’envoyer un message sans être enregistré, au coup par coup 🙂

Michel
Michel
Invité
Répondre à  Michel
01/05/2018 14h49

Bonjour, petit update alors que je me suis trouvé déconnecté avec impossibilité de me reconnecter à partir de hhh.synology.me.
En fait le fichier hosts était édité par un autre programme !!!
J’ai lancé un procmon dessus, et j’ai vite trouvé le coupable ! Bitdefender, mon antivirus.
Je comprends sa démarche mais j’ai tout de même désactivé la scan du hosts dans BitDefender …
En espérant que cela servira à d’autres …

Réaux
Réaux
Invité
06/06/2019 19h36

Bonjour j’ai un probleme j’ai suivi pourtant tout les poins mais le certificat et non sécurisé dans le detail du certificat dans google chrome il est valide mais j’ai des points d’exclamation dans utilisation de la clé et contraintes de base

Reaux
Reaux
Invité
Répondre à  Aerya
07/06/2019 22h34

bonjour, merci de votre réponse, c’est pas un site que j’ai c’est un synology, je ne pense pas que j’ai du contenu http à moins que j’ai loupé quelque chose, est ce que qu’il y a un défaut dans ce certificat ???? ou autre chose car tout marche sauf ce certificat. cordialement

Reaux
Reaux
Invité
Répondre à  Aerya
09/06/2019 14h34

bonjour, j’ai fait des test en ligne
– pourquoi pas de cadenas? cela concerne « force https »:
L’utilisation forcée de HTTPS: // sur votre site garantira que les visiteurs de votre site utilisent toujours https://######.synology.me et ne peuvent pas accéder à une URL non sécurisée http://######.synology.me. Ceci est recommandé car si un visiteur accède à votre site en tant que http://######.synology.me, tout sera marqué comme « non sécurisé ».

Le code ci-dessous sert à forcer les HTTP sur un serveur Web Apache. Si vous utilisez un autre serveur Web tel que lighttpd, nginx, etc., vous devrez contacter votre fournisseur d’hébergement Web pour obtenir de l’aide.

Ajoutez le code suivant au fichier .htaccess de votre compte d’hébergement Web:

RewriteEngine On
RewriteCond% {HTTP_HOST} ###### .synology .me [NC]
RewriteCond% {SERVER_PORT} 80
RewriteRule ^ (. *) $ https://######.synology.me/$1 [R, L]
Une fois cette modification effectuée, votre site ne sera plus accessible sur les URL non sécurisées « http://######.synology.me » et tous les visiteurs seront redirigés vers « https://#######.synology.me ».

-Rapport ssl:
note globale « A »
dans les requete:
http il a y ca https://######.synology.me/ (HTTP / 1.1 302 déplacé temporairement)
dans divers:
Code de statut HTTP Échec de la demande (trop de redirection)
Signature du serveur HTTP nginx
Nom d’hôte du serveur static-mon ip externe.ftth.abo.bbox.fr

je vous remercie pour votre aide cordialement

Rjeanmi
Rjeanmi
Invité
Répondre à  Aerya
13/06/2019 16h29

bonjour, la situation alors le cadenas est vert depuis internet mais en réseau local il est rouge je pense que ce n’est pas grave ça reste dans mon réseau local????? j’ai toujours le problème sur la redirection de http a https sur le test mais tandis que j’ai applique les différents point du forum http sont bloqué et j’ai vérifié et le chemin même a rien.
ce qui me chagrine d’après ce que j’ai lu il a beaucoup de problème pour redirigé le http vers https c’est quand même fou de nos jours que synology propose une sécurité à moitié bancal, je vais continuer à faire des recherche sur ça
je vous remercie pour votre patience cela m’a beaucoup aidé sur mon problème
cordialement M. Réaux

Matthieu
Matthieu
Invité
07/10/2019 12h37

Merci top le tuto