Synology Installer un certificat SSL

tabasko

Padawan
17 Octobre 2018
123
0
16
Yvelines
Bonjour à tous !

Installer un certificat SSL
J'y suis confronté parce que je souhaite tester Cloud Station, et aussi par curiosité technique.

C'est quand même un peu la misère quand on est pas totalement familier avec les opérations à mener.
Toutes les procédures indiquent à un moment "se procurer un certification chez let's encrypt" ok ... mais dans les faits je bloque, et j'ai la folie de penser que je ne suis pas le seul à me retrouver bloqué.

Comme j'ai un tas de NDD chez OVH, j'ai décidé d'en prendre 1 et de configurer un sous domaine (du genre nas.1ndd.com).
Jusque là, ok.

Par contre pour se procurer un certificat, c'est tout de suite plus opaque pour moi.
J'ai l'impression que l'autorité qui délivre le certificat doit (et c'est normal) s'assurer que je suis le propriétaire du domaine/sous-domaine indiqué.
Dès lors, je vois pas comment rendre possible cette opération sans avoir un serveur http ouvert sur le port 80 du NAS (chose que je ne souhaite pas faire).

C'est d'ailleurs explicitement demandé sur le NAS :

LmhFO0.jpg


J'imagine qu'ouvrir le port 80 sur ma box en port-fowarding sur le NAS ne servirai à rien (puisqu'il n'y a à ma connaissance aucun service sur le port du nas)

Et si j'ouvre le port 80 sur la box, le message d'erreur devient

fV8srt.jpg


Un gros truc m'échappe ?
 
Petit topo ...

QuickConnect : désactivé.
Pare-Feu Synology : désactivé.


Accès externe : DDNS configuré

baPr2c.jpg




Livebox port 80 ouvert (y -a-til un truc à faire avec le port 443 ??)

HeIanJ.jpg




Accès LAN : OK

cdIpgh.jpg




Accès WAN : testé OK (j'ai forcé la connexion en 4g)

Réseau > Paramètre DMS > HTTPS : désactivé.
Par ailleurs, si j'active https, et que localement j'essaye d'aller sur mon https://nas.xxxxx.com après l'alerte de sécurité, j'ai rien (genre : ERR_EMPTY_RESPONSE). Lors de se test j'active bien l'https depuis le synology (et aussi testé en ajoutant un portfowarding sur la livebox 5001>80 sur IP NAS.


Et encore et toujours :

fV8srt.jpg
 
J'ai fini par trouver qu'il fallait pointer le port 80 externe sur le port 80 interne (ce qui n'avait pas de sens pour moi puis que je n'ai pas de serveur web actif sur mon NAS).
J'ai bien mon certificat Let's Encrypt.

Par contre je pensais que je serai en mesure d'accéder au DSM via le WAN mais comme je ne pointe plus sur le port 5000 j'ai rien au bout ...
 
tabasko a dit:
A partir de ta box. Tu es chez quel opérateur ?

C'est une box SFR

j'ai passé mon après midi a essayer d'installer ce certificat
Yes j'y suis arrivé (pas sans mal) maintenant le petit site que j'héberge pour mon association est accessible en HTTPS

Comme je n'ai pas une IP fixe, j'ai associé le certificat avec mon adresse Tartenpion.synology.me
et j'ai renvoyer mon nom de domaine www.Tartenpion.fr vers https://Tartenpion.synologu.me
(Tartenpion c'est pour l'exemple, ce n'est pas mon véritable nom de domaine)

Sur ma box j'ai renvoyé les ports 80 et 443 vers l'adresse ip réseau local de mon Nas

Je vais étudier l'aspect sécurité de mon Nas , j'ai encore du travail à ce niveau et me concentrer sur la réalisation de mon micro site

Dreambox
 
Je pense qu'il y avait beaucoup plus stratégique à faire pour ta configuration.

Ton site est donc hébergé sur ton NAS ? oui/non
Ton nom de domaine est chez qui ? OVH/autre ?
Il y a la possibilité de rendre dynamique tout cela avec un DDNS.

Voici un magnifique tuto concernant la sécurité de ton NAS Synology.
 
tabasko a dit:
Je pense qu'il y avait beaucoup plus stratégique à faire pour ta configuration.

Ton site est donc hébergé sur ton NAS ? oui/non
Ton nom de domaine est chez qui ? OVH/autre ?
Il y a la possibilité de rendre dynamique tout cela avec un DDNS.

Voici un magnifique tuto concernant la sécurité de ton NAS Synology.

Oui mon site est sur mon NAS, c'est un petit site pour une association qui ne touchera que ses membres et quelques visiteurs intéressés par la simulation de vol sur ordinateur
mon nom de domaine est chez GANDI
Pour le DDNS c'est ce que j'ai fait avec le XXXXX.synology.me

merci pour le lien, je l'avais déjà trouvé , je suis en pleine consultation

Dreambox
 
Pour le DDNS c'est ce que j'ai fait avec le XXXXX.synology.me

Il y a surement moyen de le faire via Gandi (dans ce cas tu aurais ton vrai nom de domaine) c'est plus sympa et tu auras appris à le faire en chemin.
Par contre cela n'a pas l'air aussi facile que chez OVH qui la fonction d'implémenté dans son manager.
Dans l'idée : http://www.planet-libre.org/index.php?post_id=15723 çà donne çà. Pas simple simple mais peut être pas insurmontable si tu fouilles un peu plus.
 
tabasko a dit:
Pour le DDNS c'est ce que j'ai fait avec le XXXXX.synology.me

Il y a surement moyen de le faire via Gandi (dans ce cas tu aurais ton vrai nom de domaine) c'est plus sympa et tu auras appris à le faire en chemin.
Par contre cela n'a pas l'air aussi facile que chez OVH qui la fonction d'implémenté dans son manager.
Dans l'idée : http://www.planet-libre.org/index.php?post_id=15723 çà donne çà. Pas simple simple mais peut être pas insurmontable si tu fouilles un peu plus.

Bonjour tabasko

Merci pour le lien mais c'est bien au dessus du niveau de mes connaissances
toutefois je vais fouiller dans la documentation de Gandi, on ne sait jamais
et si je ne trouve pas de solution par moi même , j’interrogerais GANDI

Cordialement Dreambox
 
Ou si tu trouves un domaine plus sympa, tu glisses chez OVH pour quelques euros par an :)

Sans juger ta réponse, et par simple curiosité, quelles sont les principales motivations pour héberger localement le site et ne pas préférer le mettre chez un hébergeur externe ?
 
tabasko a dit:
Ou si tu trouves un domaine plus sympa, tu glisses chez OVH pour quelques euros par an :)

Le domaine c'est le nom de l'association et je ne désire pas le changer
le site étant en HTTP plusieurs membres m'ont prévenus qu'ils avaient une alerte de sécurité de la part de google chrome
d'ou mon intérêt d'installer un certificat SSL pour passer en HTTPS
Gandi propose ce certificat mais c'est payant et notre association n'a pas trop de moyen (ah ces jeunes retraités et l'argent)
c'est pourquoi j'ai choisi Let's Encrypt après avoir découvert son existence sur le forum
c'est mon prédécesseur qui a choisi Gandi pour le nom de domaine (12€ par an)

tabasko a dit:
Sans juger ta réponse, et par simple curiosité, quelles sont les principales motivations pour héberger localement le site et ne pas préférer le mettre chez un hébergeur externe ?

Je vais satisfaire ta curiosité LOL, c'est principalement pour le coût, le NAS tourne 24h/24h pour d'autres services, principalement pour l'hébergement de fichiers et de photos, alors à part le nom de domaine, c'est gratuit et puis c'est un petit défi technique pour moi qui ne suit pas informaticien même si cette discipline m'intéresse beaucoup

Je ne suis pas non plus webmaster et avoir le serveur à coté de moi me permet de corriger rapidement mes erreurs de débutants , j'agit directement sur les fichiers du serveurs sans avoir à uploader les modifications sur un serveur distant (mais j'oubli jamais les sauvegardes)

Et puis à 60 ans j'ai toujours envie d'apprendre !

Dreambox
 
C'est bon çà ! Home made ! et geek au passage.
Il y a aussi sinon la solution de transférer ton domaine chez OVH, allez ... et tu payeras ton année un peu moins cher qu'à Gandi :) mais il faut payer le transfert.
Reste à voir si tu veux découvrir le transfert de domaine, toujours stressant même si çà se passe toujours bien.
 
tabasko a dit:
C'est bon çà ! Home made ! et geek au passage.

Eh Eh Pour les besoins de nos simulateurs d'avions, je joue souvent avec des cartes Arduino, Raspberry Pi et autre microcontrôleurs

tabasko a dit:
Il y a aussi sinon la solution de transférer ton domaine chez OVH, allez ... et tu payeras ton année un peu moins cher qu'à Gandi :) mais il faut payer le transfert.
Reste à voir si tu veux découvrir le transfert de domaine, toujours stressant même si çà se passe toujours bien.

On a déjà payé pour trois ans, renouvellement pas avant Mai 2021 LOL
Bon j'arrête le hors sujet ...

Dreambox