Synology certificat let's encrypte syno

mous_tik

Nouveau membre
11 Novembre 2024
12
1
3
Bonjour,

Sujet difficile. J'ai un nom de domaine. moustik.site. Il est sous let's encrypt directement chez mon hébergeur. Tout roule.

Mais, je n'arrive pas à installer un let's encrypt pour tous les sous-domaines et du coup mon NAS syno.moustik.site n'est pas sur infomaniak. 1731447964738.png

J'ai dû faire quelques choses de spéciale parce que je n'ai pas mon sous-domaine géré par informaniak, je pense que c'est normal, mais je ne suis pas sûr. Parce que j'ai mon DDNS dans les accès distant. Donc, cela doit fonctionner. En tout cas, j'ai accès à mes adresses bizarres avec les ports (ce qui n'est pas pratique), j'avoue que j'aurai aimé avoir mealie.syno.moustik.site que syno.moustik.site, mais là, c'est du luxe, je n'en demande pas temps. Car pour palier aux ports à connaitre par coeur, j'ai installé Dashy. Je ne comprend pas tout, mais je vais m'en sortir.
1731448529929.png

Par contre, du coup, mon certificat, c'est de l'auto-signé. Et quand je fais une demande pour avoir un certificat let's encrypte au sein du synology, j'ai une erreur d'accès. Je ne peux pas générer de certificat. Que dois je faire ?

Merci pour vos retours.
 
Bonjour,

Je ne comprend pas tout .
Tu veux faire quoi ?
Héberger des services web sur ton NAS (type Docker par ex) ?

Tu as une IP fixe publique en fibre je suppose ? (ou dois-tu passer obligatoirement via un DDNS ?)
Tu veux accéder à ton Nas via un NDD perso ?
As tu des services hébergés chez Infomaniak (site web par ex) ?

Si le certificat du NDD concerné est installé pour l'ip d'Infomaniak donc il ne peut pas avoir doublon avec ton Ip (NAS).

As tu créé des "sous domaines" et redirigé ceux ci vers ton IP ? - puis la validation de ceux-ci (certificat) se fait sur ton Nas

Voila, qques éléments auxquels nous devons avoir réponse afin de t'aider au mieux.
 
Bonjour, merci pour la réponse Maître Jedi,

Je pense que je suis dans l'inconvénient de "faire sans réellement savoir ou, juste comprendre le minimum pour que cela fonctionne". J'ai un nom de domaine chez infomaniak moustik.site. J'ai une redirection faite par synology qui accepte les connexions venant du nom de domaine infomaniak si j'ai tout compris.

L'idéal pour moi, aurait été d'avoir mes services comme dashy.moustik.site, odoo.moustik.site, mealy.moustik.site, plex.moustik.site. etc etc... Mais je pense que c'est possible uniquement si j'y mets un plus gros budget. Comme dit précédemment, j'ai fait, sans concrètement "savoir", mais en essayant de comprendre. Ce qui donne une installation, made in moi qui n'ai pas dans les règles de l'art. Qui plus est, je suis toujours en train de me demander si mes services sont sécures.

Pour le moment, j'ai syno.moustik.site:5000 pour accéder au synology NAS, le portail DSM. Je ne comprends pas par exemple, pour quoi https://dashy/home/perso me renvoie à mon portail dashy alors que normalement sur webstation, c'est syno.moustik.site:8080. Je dois tout mélanger et pas comprendre. J'ai certainement mélangé les procédés.
 
J'ai un nom de domaine chez infomaniak moustik.site.
Normalement avec un nom de domaine autre que Synology , tu dois configurer ce nom de domaine dans Accès externe/DDNS
Tu doit demander un certificat pour ce nom de domaine dans Sécurité/ Certificat
On peut très bien avoir deux noms de domaine et les certificats associés sur un Synology
d'avoir mes services comme dashy.moustik.site, odoo.moustik.site,
Pour faire cela il faut passer par le reverse proxy si ce sont des applis ou via Web station si ce sont des services Web ;
Il faut aussi faire une entrée CNAME au niveau d'infomaniak. Pour le certificat il faut rajouter les sous-domaine dans la demande du certificat en : Autre nom d'objet.
Ceci est le principe de base à adapter suivant les services hébergés et le fournisseur de nom de domaine .
 
Merci Zypos pour ton aide. Je vais essayer de récapituler plus exactement, parce que je suis confus.

J'ai un nom de domaine qui a déjà Lets' encrypt 1731579256110.png
J'ai un configuré le DDNS : 1731579325740.png

Quand je veux ajouter un certificat avec le nom de domaine moustik.site j'ai ça : 1731579630055.png

Je me dis, c'est normal, puisque le certificat est généré chez infomaniak. Mais alors, pourquoi tout les sous-domaines ne sont pas sous le certificat d'infomaniak ?

Le web station est comme suit : 1731579937226.png

Pourquoi je ne vois pas plex dans mon webstation ? Qu'est-ce que j'ai configuré pour que plex fonctionne avec un certificat auto-signé avec un port comme syno.moustik:xxxx

J'ai donc configuré les choses différemment suivant les services. Ce qui est problématique.
Est-ce que je peux configurer directement avec webstation un nom de domaine genre : plex.syno.moustik.site et dans le CNAME de mon hébergeur, ajouter plex.syno.moustik.site ? Est-ce que du coup, je serais sur le bon certificat ? Et ensuite, est-ce que cela renverra correctement sur mon portail plex ?


Je pense que c'est plus "juste" de faire comme ça, avec les connaissances que j'ai.

Je ne sais pas si je suis plus clair dans mes explications, en tout cas, j'espère.
 

Pièces jointes

  • 1731579605020.png
    1731579605020.png
    14 KB · Affichages: 11
Je dois tout mélanger et pas comprendre. J'ai certainement mélangé les procédés.
J'ai l'impression ;)
As tu créé des "sous domaines" et redirigé ceux ci vers ton IP ? - puis la validation de ceux-ci (certificat) se fait sur ton Nas
Opération 1 : créer un sous-domaine / application ex : dashy.moustik.site, plex.moustik.site, syno.moustik.site etc, etc (tu peux en créer autant que tu veux)
Opération 1Bis : à chaque sous-domaine (quand tu le crées sur le panel Infomaniak) tu associes ton IPV4 (publique de ta box). et valide.
Opération 2 : Sur ton Nas (ouvre les ports 80 et 443 sur ta box et associe l'ip locale de ton Nas) -> Sécurité et certifie chacun de tes sous domaines.

Tes apps (dashy, Odoo, Plex ...) sont déployées comment ? Docker ou via sous-dossier dans le dossier Web ou paquet Syno
 
Hello, merci beaucoup, je mesure comme ça ne doit pas être évident pour vous,🙄

Alors, j'ai des containers et j'ai du paquet Syno.

Par exemple plex, est un paquet syno. dashy odoo mealie sont containerisés et configuré par web-station (je crois 😵‍💫).

J'ai fait ma redirection [A] sur infomaniak, j'ai mis la même ip que l'ip syno.moustik.site.
 
Bon, si tu as Plex en paquet syno et dashy, odoo et mealie en docker -> tu n'as pas besoin de web station
Le + simple c'est, d'utiliser le Proxy Inversé - pour mettre tes apps web en ligne et y avoir accès à l'extérieur.
As-tu installé Portainer (notamment pour déployer Odoo) ?
Sur quel (s) tuto (s) t'es-tu basé ?
Tes apps dashy et mealie sont-elles fonctionnelles en local IP locale du Nas : port de l'app (par ex. 192.168.1.20:8585) ?
possible uniquement si j'y mets un plus gros budget.
Non, c'est gratuit - 1 Nom de domaine suffit (moustik.site) - par la suite tu peux créer autant de "sous domaine" que tu veux (ex. syno.moustik.site, dashy.moustik.site) etc.
J'ai fait ma redirection [A] sur infomaniak, j'ai mis la même ip que l'ip syno.moustik.site.
ok là c'est bon - tu crées 1 sous-domaine par app et tu associes à chacun cette même Ip publique de ta box (associer en A - pas le mode "redirection").
ex . syno.moustik.site -> 80.50.165.60 , dashy.moustik.site -> 80.50.165.60 , odoo.moustik.moustik.site -> 80.50.165.60, mealie.moustik.site -> 80.50.165.60

Tu dois remplacer [80.50.165.60] par l'ip publique de ta box - Infomaniak propose à chaque fois de mettre l'ipv6 (AAA) pas besoin pour l'instant.
une fois fait tu peux quitter Infomaniak.

Je te fais un copier / coller pour la config du Nas d'un poste que j'ai envoyé hier à @frs_alex :
"
1. Tu crées chez ton registrar 2 "sous" domaines 1 pour ton DSM : nas.monsite.fr et 1 pour ton WP blog.monsite.fr et tu associes chacun à ton IPV4 publique de ta box - (tu peux créer autant de sous domaines que tu veux et/ou les supprimer) - Voilà, c'est fini (pour l'instant) pour la partie Registrar.
2. Pour ton Nas Syno : DSM -> Panneau de configuration -> Accès externe -> Avancé : DSM (http) indique un port (ex. 5000 ou 7000 ou 20000 etc de ton choix) - Sur Nom d'hôte : nas.monsite.fr - Sur DSM (https) : 443
3. Sur ta box (ou routeur si tu en a mis un derrière) - fixe lP locale (192.168.1.20 par ex) du NAS - et associe (ouvre) le port 443 et 80
4. En local vérifie que tu as bien accès à ton DSM en tapant IP locale : port local (par ex 192.168.1.20:20000).
5. Sur DSM supprime le DDNS si tu as mis ton propre nom de domaine sinon active celui de Syno (ça peut servir en dépannage) et si tu as configuré le Pare-feu désactive le ou met celui par défaut (tu le réactiveras quand tout fonctionnera).
6. Crée / Valide au niveau de Sécurité -> Certificats : "nas.monsite.fr" et "blog.monsite.fr"
7. Puis met en correspondance (via paramètres) services et certificats - Tu mets celui du DSM (nas.monsite.fr) par défaut (avec les services de DSM) - et celui de blog.monsite.fr avec blog.monsite.fr
8. Au niveau de "Portail de Connexion" -> DSM tu indiques ton port http (ex 20000) et un port https (ex20001) - et au niveau de Avancé -> Proxy inversé, tu associes le port https (ex 20001) avec nas.monsite.fr:443
9. Tu vérifies maintenant que tu as accès à DSM en local avec par ex : 192.168.1.20:20000 (ou 20001) et aussi en https://nas.monsite.fr"


Dans ton cas -> supprime le DDNS (voir 5) et crée chacun de tes certificats pour tes sous domaines sur ton nas (voir 6)
Tu peux aussi désinstaller web station et ses dépendances (MariaDB etc)

Une fois ton nas correctement configuré (et les certifs générés) - et si tes apps fonctionnent déjà bien en local - tu pourras configurer le Proxy inversé ...
 
d'accord, je garde la procédure pour la suite.. Moi j'ai l'impossibilité de changer l'IP de syno.moustik.site. J'ai dû faire un truc pas net. Qui plus est, c'est l'IP de mon réseau interne (je n'ai pas d'IP fixe). C'est peut-être pour ça, que j'ai du DDNS.
 
J'ai un peu de mal à comprendre :
j'ai l'impossibilité de changer l'IP de syno.moustik.site.
Normal l'adresse IP est ton adresse IP_publique qui est donnés par ton FAI . Reste à savoir si ton FAI te donne une IP_publique Fixe ou dynamique ?
c'est l'IP de mon réseau interne (je n'ai pas d'IP fixe).
Sur le réseau interne l'adresse IP des équipements sont données par la BOX et du genre 192.168.xx.xx ; tu dois assigner une IP_Fixe à ton NAS dans l'interface de ta BOX
peut-être pour ça, que j'ai du DDNS.
Le DDNS fais la correspondance entre ton nom de domaine et ton adresse publique , celle donnée par ton FAI ; Dans ton cas infomaniak fais office de DDNS.
 
  • J'aime
Réactions: morgyann
Bonjour @mous_tik,

À ta place je repartirais de zéro parce que là tu t'enfonces, tout simplement parce que tu ne t'es pas renseigné auparavant.
Si j'ai bien compris tu as un nom de domaine syno.moustik.site hébergé chez Infomaniak, il est donc inutile de créer un DDNS puisque le certificat Let's Encrypt fera directement référence à ce nom de domaine. Il est parfois utile de créer un DDNS mais pour de toutes autres raisons. À noter que c'est obligatoire pour les certificats Synology.me mais cela ne te concerne pas.

Tu aurais dû créer un nom de domaine moustik.site, et des noms alternatifs du genre cv.moustik.site ou nas.moustik.site que tu aurais renseignés chez Infomaniak avant de générer le certificat Let's Encrypt. Tu n'auras pas à débourser quoique ce soit puisque le nom de domaine t'appartient et que les "Autres noms de l'objet" que j'appelle plutôt les "noms alternatifs" eux sont gratuits.

Par contre tu ne peux pas avoir un nom de domaine syno.moustik.site et créer des noms alternatifs comme ceux indiqués ci-dessus. La règle est la suivante : si le nom de domaine est ndd.fr les noms alternatifs seront xxx.ndd.fr, yyy.ndd.fr, www.ndd.fr, etc. Ça peut se compliquer si on gère plusieurs domaines mais ce n'est pas ton cas. Ne t'étonne pas après si ta demande de certificat sur moustik.site échoue puisque le nom de domaine enregistré est syno.moustik.site.
 
mais dans ce cas, pourquoi cela fonctionne ?

1731836319300.png
En tout cas, le cv.moustik.site fonctionne parce que c'est directement hébergé chez infomaniak. Je l'utilise pour apprendre le CSS.
plex.moustik,site fonctionne, il redirige bien vers le NAS, mais il n'y a pas la configuration locale qui est correctement effectuée.
syno.moustik.site fonctionne, j'ai accès au portail. MAIS, sans le certificat d'infomaniak.

Je ne comprends donc pas quelque chose. En tout cas, la configuration fonctionne. J'ai suivi un tuto directement d'infomaniak, sinon je n'aurais jamais fait ça. J'ai retrouvé le tuto https://www.infomaniak.com/fr/support/faq/2368/configurer-dyndns-avec-un-nas-synology

Je veux donc bien repartir depuis le début, mais je dois comprendre les étapes parce que j'ai peur de finir par ne plus du tout y avoir accès.


  1. DSM -> Panneau de configuration -> Accès externe -> Avancé : DSM (http) indique un port (ex. 5000 ou 7000 ou 20000 etc de ton choix) - Sur Nom d'hôte : syno.moustik.site - Sur DSM (https) : 443 [ok]
  2. Sur ta box - fixe lP locale du NAS - et associe (ouvre) le port 443 et 80
    Je ne peux faire que ça : 1731839472785.png
  3. Sur DSM supprime le DDNS si tu as mis ton propre nom de domaine sinon active celui de Syno (ça peut servir en dépannage) et si tu as configuré le Pare-feu désactive le ou met celui par défaut (tu le réactiveras quand tout fonctionnera). [en attente parce que j'ai peur de ne plus avoir accès à rien]
  4. etc etc. comme me l'a décrit @morgyann .

    Je m'arrête là, parce que je ne comprends pas la suite. Si cela est trop contraignant pour vous, pas de soucis, je reste comme je suis.
 
Désolé pour mon manque de confiance...

Tout fonctionne pour le moment avec les informations transmises de @morgyann .
@CyberFR Je pense que c'est ce que je suis en train de faire XD, et j'ai bien un domaine moustik.site.
Merci à vous de m'aider.

Je me suis lancé, j'ai la journée de libre pour tout reconfigurer s'il y a un problème.

J'ai donc fait comme annoncé. J'ai fait celui de Plex, mais je referais les configurations une fois que j'aurais fait juste avec le sous-domaine syno.moustik.site et que j'aurais mis de l'ordre dans les autres services que j'ai.

2. Pour ton Nas Syno : DSM -> Panneau de configuration -> Accès externe -> Avancé : DSM (http) indique un port (ex. 5000 ou 7000 ou 20000 etc de ton choix) - Sur Nom d'hôte : nas.monsite.fr - Sur DSM (https) : 443

1. Tu crées chez ton registrar 2 "sous" domaines 1 pour ton DSM : nas.monsite.fr et 1 pour ton WP blog.monsite.fr et tu associes chacun à ton IPV4 publique de ta box - (tu peux créer autant de sous domaines que tu veux et/ou les supprimer) - Voilà, c'est fini (pour l'instant) pour la partie Registrar.
2. Pour ton Nas Syno : DSM -> Panneau de configuration -> Accès externe -> Avancé : DSM (http) indique un port (ex. 5000 ou 7000 ou 20000 etc de ton choix) - Sur Nom d'hôte : nas.monsite.fr - Sur DSM (https) : 443
3. Sur ta box (ou routeur si tu en a mis un derrière) - fixe lP locale (192.168.1.20 par ex) du NAS - et associe (ouvre) le port 443 et 80
4. En local vérifie que tu as bien accès à ton DSM en tapant IP locale : port local (par ex 192.168.1.20:20000).
5. Sur DSM supprime le DDNS si tu as mis ton propre nom de domaine sinon active celui de Syno (ça peut servir en dépannage) et si tu as configuré le Pare-feu désactive le ou met celui par défaut (tu le réactiveras quand tout fonctionnera).
6. Crée / Valide au niveau de Sécurité -> Certificats : "nas.monsite.fr" et "blog.monsite.fr"
7. Puis met en correspondance (via paramètres) services et certificats - Tu mets celui du DSM (nas.monsite.fr) par défaut (avec les services de DSM) - et celui de blog.monsite.fr avec blog.monsite.fr
8. Au niveau de "Portail de Connexion" -> DSM tu indiques ton port http (ex 20000) et un port https (ex20001) - et au niveau de Avancé -> Proxy inversé, tu associes le port https (ex 20001) avec nas.monsite.fr:443
9. Tu vérifies maintenant que tu as accès à DSM en local avec par ex : 192.168.1.20:20000 (ou 20001) et aussi en https://nas.monsite.fr"

  1. [ok] Sous domaine syno.moustik.site associé à l'ipv4 (dynamique) tout comme plex.moustik.site
  2. [ok] Accès externe configuré
    • Port : 5000
    • Nom d'hôte: syno.moustik.site
    • https: 443
  3. [ok] IP local fixé. suppression des ports 5000 et 5001 et ajout des ports TCP/UDP 80 et 443
  4. [X] J'ai accès au portail avec https://iplocal:5001, [cadenas rouge pour les deux sur le navigateur]
  5. [ok] DDNS supprimé, celui par défaut de syno laissé. Par-feu par défaut. [ok]
  6. [ok] Certificat syno.moustik.site crée (RSA/ECC)
  7. [ok] Certificat mis en correspondance [ok]
    • Émis par R11
    • nom de l'objet : syno.moustik.site
    • Pour : FTPS, KMIP, Paramètre système par défaut, Réception des journaux, Synology Drive Server, Synology Storage Console Server, syno.moustik.site
  8. [ok] Portail de connexion 5000 et 5001, j'ai coché Rediriger automatiquement les connexions HTTP vers HTTPS pour le bureau DSM. Je ne sais pas si j'ai fait juste pour le proxy inversé :
  9. [X] J'ai accès en local et via le sous-domaine ! [cadena rouge]
Je crois que c'est bon à ce niveau là.

Edit : plex.moustik.site. fonctionne. J'ai ajouté le riverse proxy.
Maintenant je vais devoir ré-installer toute les images comme dashy et Mealie
 
Dernière édition:
Je suis content que cela commence à bien fonctionner :) - j'ai pu vérifier vu que tu as laissé tes vrais adresses (faut éviter sur un Forum publique)
J'ai accès au portail avec https://iplocal:5001, [cadenas rouge pour les deux sur le navigateur]
L'alerte du navigateur est normale vu que tu es sur ton ip locale (que ce soit en 5000 ou 5001) - c'est un NDD qui est certifié - pas une ip locale
Maintenant je vais devoir ré-installer toute les images comme dashy et Mealie
Tu peux créer si tu le souhaites (pour un accès externe) des "sous domaines" pour tes apps - maintenant que tu semble avoir compris la procédure. Attention : si il n'y a pas de mot de passe pour l'accès (comme Dashy par ex, Mealie je ne sais), n'importe qui, ayant connaissance de l'adresse, pourra accéder.
plex.moustik.site. fonctionne. J'ai ajouté le riverse proxy.
Concernant Plex, (et contrairement à Jellyfin), il est conseillé d'avoir 2 ouvertures de ports (externes) pour que cela fonctionne correctement pour un accès externe.
Plex contraint ses utilisateurs d'être connectés à leur serveur (app propriétaire).
Tu dois dois donc leur ouvrir un port public - soit tu le fixes ou il est automatiquement ouvert sur ta Box via le service UPnP (activé par défaut). Pas de souci, pour faire la manip du "sous domaine" type plex.monndd.fr
En fait pour que cela fonctionne "correctement" (dû au passage obligatoire de reconnaissance via leurs serveurs) - tu dois pouvoir y accéder par :
app.plex.tv et plex.ndd.fr (si sous domaine personnalisé en +).
 
Mealie fonctionne bien aussi, pour moi, c'est tout bon.
Je vais du coup éviter Dashy du coup. Je pense qu'on peut marquer ce sujet comme terminé. J'ai compris qu'il n'y aura pas de cadenas vert même si le nom de domaine est correctement configuré.
Grâce à l'aide de vous tous, j'ai pu nettoyer correctement l'installation et faire quelque chose de plus propre.
Merci