Synology Synology Certificat SSL expiré

[leblaireau09]

Bonjour,
J'ai un NAS Synology DS224+ Jusqu'à présent j'avais installé 2 certificats : 1 pour Quickconnect et 1 Let's Encrypt.
Le certificat Let's Encrypt a expiré. Impossible de le renouveler après x tentatives. Message : Vérihier le port 80, règles de proxy inversé,...) >>port 80 transmis sur ma Livebox en NATPAT
En fait mon but est de permettre un accés SSL à des vidéos stockées sur mon NAS en utilisant Synology Drive client.
J'ai un nom de domaine avec un certificat Let's Encrypt qui fonctionne bien : https://jarlan.fr
j'ai crée un sous domaine chez OVH : nas.jarlan.fr qui est activé en ssl
J'ai mis dans le proxy inversé la transmission de ports : https://nas.jarlan.fr:443 vers https://localhost:xxx (xxx=port sécurisé du NAS)
Quand j'envoie un lien vers mes vidéos du style : https://nas.jarlan.fr:xxx/lien synology drive
J'accède à mes vidéos mais le certificat n'est pas valide "Attention : risque probable de sécurité" Retour recommandé etc.
Ce qui n'est pas attractif et facile pour proposer des vidéos !
Donc j'arrive au bout de mes compétences et je voudrais savoir comment faire si vous pouvez m'aider ?
Faut-il que j'arrête de passer par du https ?
Merci pour vos retours,

Philippe

 

[zypos]

Si j'ai bien compris tu as ton nom de domaine chez OVH avec un certificat Let'sEncrypt valable .Pour que cela fonctionne avec des sous-domaine il faut déclarer le sous-domaine au nomment de la création du certificat dans autre objet.
Je suis dans un cas similaire avec un nom de domaine chez OVH : toto.fr et un certificat pour ce nom de domaine . En sous-domaine pour accéder à Drive
j'ai : drive.toto.fr Il faut déclarer drive.toto.fr comme autre objet dans la création du certificat.
Note : évite de mettre des noms de domaine actif sur des forum question de sécurité.

 

[leblaireau09]

Merci pour ton message.
Je viens de réessayer sur le NAS :
Dans Ajout d'un certif Let'Encrypt : le champ Nom de domaine est requis : j'ai mis nas.toto.fr
Et j'ai mis également nas.toto.fr dans "Autre nom de l'objet" mais j'ai toujours l'erreur...

 

[zypos]

Ton nom de domaine maître est toto.fr ; dans le champ nom de domaine il faut indiquer toto.fr puis dans "autre nom de l'objet " nas.toto.fr
Je pense qu'il faut revoir les accès à ton NAS ; perso j'ai virer Quickconnect et j'utilise également un nom de domaine en synology.me avec son certificat
De fait j'ai deux noms de domaine qui pointe sur mon NAS : toto.synology.me et toto.fr chaque nom de domaine à son certificat
Pour le nom de domaine en synology.me la demande de certificat se fait avec la création du nom de domaine
Il faut ouvrir les ports 80 et 443 vers le NAS .
As-tu fait une entrée de type CNAME chez OVH ?
PS . Je suis ce week-end en transit chez ma fille (et les petits enfants) donc difficile de te donner tous les renseignements

 

[leblaireau09]

Merci beaucoup pour ces infos !
Je pense que j'ai une entrée AA chez OVH je vais en créer une en CNAME
Pas de soucis : bon we
On verra plus tard, j'ai déjà des pistes

 

[zypos]

Je pense que j'ai une entrée AA chez OVH je vais en créer une en CNAME

Chez Orange si tu n'a pas d'abonnement pro ton adresse IP est dynamique . Il va donc falloir mettre en place un dynhost
Les enregistrements en A sont pour les IPv4 fixe et AAAA pour les IPv6 fixe .
Pour l'enregistrement CNAME qui est nécessaire si tu veux utiliser des sous-domaine il faut faire un enregistrement " générique" type :
CNAME non de domaine : *toto.fr ce qui te permet de rajouter des sous-domaine au fil de l'eau sans intervention chez OVH ;
IL faudra créer le certificat pour le nom de domaine "maître" et déclarer les sous-domaine dans autre objet avant la création du certificat
Ne pas oublier d'ouvrir les ports 80 et 443 vers le NAS . Les certificats se renouvelle automatiquement
Note : tu es limité en nb de sous-domaine pour les certificats .

 

[leblaireau09]

Bonjour,
Oui j'ai remis le Dynhost chez ovh dans la rubrique : Nom de domaine onglet Dynhost : j'ai mis mon sous domaine : nas.tototo.fr avec mon IP publique.
C'est bizarre, je pensais l'avoir fait il y a des mois...
Voici en pièce jointe ma zone DNS
Mon NATPAT redirection des ports 80 et 443 sur la Livebox

J'avais essayé de créer un sous domaine CNAME chez OVH (après suppression des sous domaine : nas.toto.fr de type A et AAAA
MAIS du coup je n'avais plus accès à mon NAS de l'extérieur par https://nas.toto.fr
C'est vraiment un casse-tête !
Help !
Et merci encore.

 

[morgyann]

Bonjour,

J'y mets mon grain de sel vu que tu sembles dans la panade

Un CNAME s'associe avec alias ex pour www.toto.fr = toto.fr et pas avec une IP (le CNAME sert pour le référencement et/ou pour rediriger un sous domaine vers le domaine principal).

L'IP publique A et/ou AAA de ton serveur s'associent avec le NDD ou le sous domaine
toto.fr = 80.45.206.22 (A) Pour le AAA (c'est l'IP6 du serveur que tu peux voir sur ton Nas Syno et pas obligatoire)
blog.toto.fr = 80.45.206.22 (A) si c'est le même serveur
monsite.toto.fr = 80.45.206.22 (A) si c'est encore le même serveur etc etc

Dans un premier temps, c'est tout ce qu'il y a a faire pour l'interface du registrar.

Dans un second temps, tu certifies tes NDD sur ton NAS.
Dans un troisième temps tu mets en correspondance NDD = Services sur ton Nas

Ta capture d'écran pour les NDD est celle d'OVH ?
Les ports 80 et 443 correspondent bien à une capture d'écran de ta box ?

 

[leblaireau09]

Bonjour,
C'est gentil d'intervenir !
Pour répondre à tes 2 questions : OUI et OUI
Donc il me reste à ajouter dans OVH un CNAME du style www.toto.fr >> toto.fr C'est ça ?
Il me propose cela : (pièce jointe)
Je mets quoi dans cible ?
Merci

 

[morgyann]

Pour l’instant tu ne fais pas de Cname pour ce sous domaine
Tu ne fais qu’un enregistrement A donc nas.toto.fr = ipv4 de ta box
C’est tout
Un cname c’est pour un alias donc par ex pour une redirection ou une association de NDD …

 

[morgyann]

Par ex avec un cname tu peux faire pointer blog.toto.fr = monsite.toto.fr
Attention il ne faut pas toucher au cname d’auto configuration de ton registrar
Pour l’instant tu as juste besoin de : NDD1 = ipv4 Ndd2=ipv4 etc

 

[leblaireau09]

Ok merci.
J'ai ce que tu dis
Dans OVH Hébergement>>Multisite j'ai cela :
Des choses à supprimer ?

Message automatiquement fusionné : Dimanche à 13:27

La ligne 2 pointe vers mon IP publique
La dernière ligne pointe vers l'IP de mon site .fr ??

 

[morgyann]

Je ne suis pas chez moi actuellement donc un peu compliqué de répondre.
Je viens de relire le début du poste
Et ce que a indiqué @zypos
Ce sont 2 méthodes différentes
Lui te propose d’utiliser ton NDD maître en ddns puis tes sous domaines en wildcard.
Pour ma part, c.est la méthode classique avec une ipv4 fixe pour chaque NDD chez ton registrar.
Dans la méthode de @zypos tu valides une fois ton domaine maître chez ovh avec je suppose en cname www.toto.fr =toto.fr
Et en A toto.fr =ipv4
Puis les sous domaines se créent automatiquement sur ton nas
Dans ma méthode chaque sous domaine est associé à une ipv4
Dans ce cas, si tu as une ip fixe c’est chaque domaine qui doit être associé à l’ipde ta box. Tes NDD ne doivent pas avoir www devant le nom pour être associé à l’ip en A

 

[morgyann]

Lui te propose d’utiliser ton NDD maître en ddns puis tes sous domaines en wildcard.

De retour, je viens de relire attentivement ton poste.
-> Si effectivement tu n'as pas d'IP Publique fixe (Orange),
-> Que tu as mis ton Syno via le DDNS d'OVH,
Il te faut prendre la méthode de @zypos donc attendre son retour et voir avec lui pour les détails.

 

[zypos]

Il te faut prendre la méthode de @zypos donc attendre son retour

Merci @morgyann , bon je suis rentré hier soir ( sans les petits enfants ) Je vais faire dans la matinée un tuto détailler avec des captures d'écran

 

[zypos]

Prérequis
Avoir une IP_Pubique dynamique , majorité des cas pour les abonnements non pro ( sauf Free)
Rediriger les ports 80 et 443 vers le NAS
Config des DDNS sur le NAS
Perso j'ai un nom de domaine en Synology.me avec son certificat : Accès externe / DDNS . Pour ce nom de domaine la demande de certificat s'effectue lors de la création du nom de domaine et recouvre le nom de domaine maître et tous les sous-domaine
C'est dans cet écran que l'on fera une demande pour OVH :


Sur OVH
Sans adresse IP Fixe il faut passer par un DynHost : Ecran DynHost :
DynHost : .toto.fr Cible : il faut rentrer l'IPv4 publique :12.123.456.78

Ecran : Zone DNS

1° ligne : Domaine =toto.fr. Cible doit correspondre à ton adresse IPv4 la même que le DynHost plus haut
2° Ligne : Domaine =*.toto.fr. Cible : toto.fr.
Il faut un temps de propagation , donc on ne peut pas implanter le DDNS OVH immédiatement sur le NAS
De mémoire pour OVH c'est terminé il faut configurer la suite sur le NAS
Note : On peut trés bien avoir plusieurs noms de domaine qui pointent vers le Nas , mais il faudra que chaque nom de domaine possède son Certificat

 

[zypos]

Partie 2 Retour sur le NAS
Le nom de domaine OVH doit apparaître dans Accès Externe / DDNS . Il faut faire une demande de Certificat : Sécurité / certificat .
Par défaut le certificat recouvre uniquement le nom de domaine maître : toto.fr . Pour les sous-domaine il faut les rajouter manuellement dans la partie "autre nom de l'objet" : nas.toto.fr , nous pouvons rajouter plusieurs nom de sous-domaine , mais cela n'est pas infini , perso j'ai cinq sous-domaine
Il faut " affecter" le bon certificat au bon sous-domaine : Sécurité / Certificat /Paramètres
La suite est gérer via le portail de connexion :

Exemple : pour un accès à DSM : il faut remplir la partie Domaine ici : dsm.toto.fr

Idem pour les autres applis Synology via l'onglet Application . Pour les applis en Docker il faut passer par le reverse proxy onglet Avancé

Note : Je ne suis pas expert ni en informatique , ni en tuto , et j'espère que vous serez indulgent avec un vieux ( plus de 70 ans )

 

[leblaireau09]

Merci @morgyann , bon je suis rentré hier soir ( sans les petits enfants ) Je vais faire dans la matinée un tuto détailler avec des captures d'écran

Hello,
Merci beaucoup car c'est pas simple !

 

[leblaireau09]

Partie 2 Retour sur le NAS
Le nom de domaine OVH doit apparaître dans Accès Externe / DDNS . Il faut faire une demande de Certificat : Sécurité / certificat .
Par défaut le certificat recouvre uniquement le nom de domaine maître : toto.fr . Pour les sous-domaine il faut les rajouter manuellement dans la partie "autre nom de l'objet" : nas.toto.fr , nous pouvons rajouter plusieurs nom de sous-domaine , mais cela n'est pas infini , perso j'ai cinq sous-domaine
Il faut " affecter" le bon certificat au bon sous-domaine : Sécurité / Certificat /Paramètres
La suite est gérer via le portail de connexion :
Voir la pièce jointe 16560
Exemple : pour un accès à DSM : il faut remplir la partie Domaine ici : dsm.toto.fr
Voir la pièce jointe 16561
Idem pour les autres applis Synology via l'onglet Application . Pour les applis en Docker il faut passer par le reverse proxy onglet Avancé

Note : Je ne suis pas expert ni en informatique , ni en tuto , et j'espère que vous serez indulgent avec un vieux ( plus de 70 ans )

Hello le jeune !
Merci beaucoup Zypos !
C'est déjà beaucoup de connaissances !

Message automatiquement fusionné : Lundi à 15:09

Je vais essayer de suivre tes explications et voir ce qui manque entre OVH et le NAS
Je te tiens au courant.
Merci encore

 

[morgyann]

Donc avec le DDNS OVH sur Syno, on peut créer des Wildcards. Je croyais que c'était réservé uniquement à Syno. Pour une fois,qu'OVH fait quelque chose de bien -