Synology Certificat ssl sans domaine Synology ddns

Furet

Nouveau membre
7 Mai 2023
15
0
1
Professionnel
Non
Bonjour à tous!

J'ouvre ce post car je suis confronté a un problème lorsque j'essaie d'obtenir un certificat let's encrypt via DSM sur mon DS120j.
J'obtiens le message suivant: "seuls les domaines synology ddns prennent en charge les certificats generiques emis par let s encrypt".

J'ai un nom de domaine en .fr enregistré chez OVH. Il me sert a accéder à mon nas et aux différents services, via le web ou les applications sans avoir à me souvenir de mon adresse IP et sans passer par les services Synology, notamment quick connect.
Par confort je veux ajouter un certificat ssl pour éviter les messages d'alerte à la connexion.


Après pas mal de recherche, je ne trouve que très peu d'info sur ce message d'erreur.
J'ai en effet trouvé la même limitation dans les différentes documentations Synology, mais, visiblement personne n'a rencontré le même problème et j'ai vu plusieurs personnes arriver à configurer un certificat ssl pour un nom de domaine autre que Synology.
Ou du moins je crois avoir vu!

Je trouverai cela étonnant de ne pas pouvoir obtenir un certificat alors que je possède le nom de domaine et le serveur auquel il est associé.

Si j'ai bien tout suivi, il faut que le serveur vers lequel pointe mon adresse fasse la demande, je dois donc la faire depuis mon nas d'une manière ou d'une autre
Je sais qu'il est possible dobtenir un certificat via un tiers, mais soit cela coûte un bras, soit il faut le renouveler manuellement tous les 90j.
Cela me paraît assez contraignant.

D'où ma question:
Est il possible d'obtenir un certificat ssl gratuit et renouvelable via DSM?
Est-ce une limitation de DSM de manière générale ou est-ce une limitation de mon ds120j?

Le but de la manœuvre est ensuite de pouvoir accéder au nas via reverse proxy, pour ne pas avoir a ouvrir et se souvenir des


Merci a ceux qui liront cela et prendront le temps de s'y intéresser!
 
Bonjour,

Il suffit de renseigner ton nom de domaine et les sous domaine.

Le *.ndd.fr ne fonctionne pas dans ton cas.
 
Merci pour cette réponse rapide!

Voilà ce que j'obtiens après la configuration:
onglet certificat => ajouter => ajouter un nouveau certificat => procurez vous un certificat let's encrypt.

IMG_20230507_154839.jpg
Je suppose que par renseigner le nom de domaine tu parles bien de la première case où je dois mettre mon ndd tout simplement? ou une subtilité m'échappe?


Édit: j'ai tout simplement supprimé la dernière ligne et effectivement, ça semble vouloir se connecter. Tout simplement... Merci beaucoup!
J'ai maintenant une erreur "domaine non valide, veuillez vous assurer que ce domaine peut être résolu en adresse IP publique"

Je travaille un peu là dessus (je cherche de mon côté et je fouille le forum) et je reviens si pas d'avancement.

En tout cas merci encore, je me prenais la tête depuis hier pour cette simple case facultative 😅

Edit2: mettre mes lunettes, ça m'évitera les typos et le second message d'erreur
 
Dernière édition:
Je suppose que par renseigner le nom de domaine tu parles bien de la première case où je dois mettre mon ndd tout simplement? ou une subtilité m'échappe?
Oui il y a une subtilité 😁
Dans le premier champ tu dois mettre ton nom de domaine uniquement, par exemple tondomaine.fr
Et c’est dans autre noms de l’objet que tu dois mettre les autres domaines qualifiés à tords de sous domaines comme : file.tondomaine.fr
Si tu en as plusieurs, il faut les lister tous et les séparer par une virgule :
file.tondomaine.fr,photos.tondomaine.fr,Toto.tondomaine.fr
C’est une limitation à la con de dsm…
Et ça n’est pas terrible car dans le certificat seront listés littéralement tous les ndd.
Il faut aussi que le port 80 et 443 soient ouvert sur internet , à minima sur les iP let’s encrypt Que je ne connais pas…
Pour ne pas avoir ça il faut passer par des outils tiers comme acme ou certbot.
Je sais qu’il y a possibilité d’utiliser acme sans docker , voir un tuto sur nas-forum dont l’auteur est @oracle7 .
Et la pas besoin d’ouvrir un port en particulier car ça va utiliser l’api dns d’ovh.
Perso j’utilise la version docker d’acme.
 
  • J'aime
Réactions: Furet
Merci pour ton retour!

Effectivement j'ai bien vu qu'il fallait ouvrir les ports 80 et 443 sans restrictions, ce que je trouve un peu dommage pour un certificat qui est censé sécuriser les connexions 😅

Pour les restrictions par IP pour le renouvellement, j'ai vu je ne sais plus où que les IP n'étaient plus valides et qu'il fallait forcément ouvrir le port 80. J'essaie de retrouver l'info pour être bien sûr.


Pour les sous domaines, j'ai pour le moment la solution des "alias" dans l'onglet portail de connexion. Ça me donne https://ndd.fr/alias, et j'aime bien cette forme.
Actuellement mon certificat marche pour les applis avec un alias sans avoir à modifier le certificat, j'ai bien le sigle affiché dans mon navigateur une connexion https.
A moins que ce ne soit un problème, je pense garder cette solution que je trouve bien pratique. Je n'ai en plus pour le moment pas beaucoup de paquets ou d'applis installés, et toutes proviennent de Synology donc bien intégrées via cette méthode.
S'il y a une différence avec l'utilisation d'un reverse proxy, je suis preneur d'info!



Par contre je lorgne de plus en plus sur un ds220+ pour pouvoir installer adguard et bitwarden via docker. Ou tout simplement des paquets comme Plex.
Il faudra donc que je me mette au reverse proxy a un moment ou a un autre!


Édit: j'ai bien trouvé l'info des ip a autoriser sur un autre forum, un "vieux" tuto a été edité par la modérations spécifiquement sur cette partie.
Donc il semble que les IP 64.78.149.164 et 66.133.109.36 ne soient plus valides, et qu'il faille donc ouvrir le port 80 sans restrictions.
Source de seconde main je le précise
 
Dernière édition:
si tu as si peur d'ouvrir le port 80 et 443 ( à rappeler que de toute façon, pour ce dernier, il faudra de toute façon l'ouvrir vu que c'est des connexion externe) avec wireshark, verifie les ip dont le nas se connecte au moment du renouvellement du certificat. Si le nas ne prend pas docker, sert toi de ton pc en indiquant au nas comme passerelle l'ip du pc et tu installe wireshark sur ton pc

1ysp.jpg


aj7r.jpg
 
Je ne connaissais pas cette solution, merci du partage!

J'irai y jeter un oeil a Wireshark, ça semble être une solution intéressante