Google+
Home » Tutoriaux - How To » Sécurisez votre NAS avec SSL (StartSSL & OVH)

Sécurisez votre NAS avec SSL (StartSSL & OVH)

Notre nouveau sujet pour 2012 sera la sécurité ! Maintenant que vous maîtrisez un peu mieux votre NAS Synology, je vous propose de sécuriser l’accès au DSM et aux différents services par sécurité SSL (cryptage httpS) suivez le guide !


1. Introduction

Parce qu’il arrive souvent qu’on ait besoin d’accéder aux services de son NAS depuis une connexion Internet, on passe par un chemin non crypté susceptible d’être décodé par des hackers qui pourraient bien prendre le contrôle de votre machine. Loin de moi l’idée de vous faire peur, cependant, lorsque je vois qu’en ce moment des dizaines d’adresses IP inconnues forcent l’accès à mon NAS, je me dit qu’il serait grand temps de disposer d’un certificat SSL pour obtenir un chemin crypté de confiance !


Le but de ce tuto c’est de vous proposer un accès aux services au moyen des liens http sécurisés (https) le tout crypté autour d’une clé à chiffrement 2048 bits (rien que ça) mais surtout d’éviter les messages d’erreurs : En effet, si vous réalisez votre propre certificats (et vous êtes obligés de le faire vous même), dès lors que vous vous connectez à votre page, votre navigateur vous informe d’un risque potentiel car il ne reconnaît pas votre certificat. Pour le faire valider, il faut bien souvent avoir recourt à des services en lignes qui vous propose de le faire (moyennant une somme comprises entre 3 et 4 chiffres annuelle) pas de panique, voici une solution miracle :D


2. Prérequis

- Un modem routeur capable de faire de la translation d’adresse (NAT)
– Un NAS Synology
– Un nom de domaine enregistré chez OVH (ou ailleurs) qui ne vous coûtera que 5 à 10€/an en moyenne


3. Présentation de l’idée générale

Voici comment cela se passe pour l’accès externe de votre NAS :


Votre modem qui dispose d’une IP sur Internet (exemple 81.12.11.10) route (grâce à sa fonction Routeur) les paquets d’informations (pages web, fichiers, mails, etc) du réseau Internet à votre réseau local (votre ordinateur bien souvent ayant l’ip du genre 192.168.1.10). Ceci étant valable pour accéder depuis votre ordinateur à Internet


Dans le sens contraire, personne depuis Internet ne peut venir sur votre réseau local, sauf au moyen du NAT (Translation d’adresse) qui permet, en affectant un port spécial, de rediriger une demande arrivant de l’Internet à destination d’un équipement de votre réseau.


Du coup, Si votre NAS (ip 192.168.1.15) est hébergeur de page web, le fait de taper l’adresse IP de votre connexion dans un navigateur web sous la forme : http://81.12.11.10:80 avec le NAT activé dans le modem (redirection du port 80 vers l’adresse ip du réseau 192.168.1.15) alors la page web s’affichera. Idem pour tout autre service comme par exemple le DSM (le bureau de travail de votre NAS).


Afin d’éviter de se souvenir de l’adresse IP de votre connexion (qui en plus peut changer assez souvent), nous avons recours aux services en ligne de DNS Dynamique (DynDNS), le DynDNS permettra d’accéder à une adresse plus pratique comme par exemple : Monadresseperso.dyndns.org ou autre service du même genre Monadresseperso.mon-ip.org


Cependant, s’ils font correctement leur boulot, ces système de DNS Dynamique gratuit enregistrent votre compte gratuitement en sous domaine (vous êtes propriétaire de monadresseperso.dyndns.org mais pas de dyndns.org) or, pour enregistrer un domaine en SSL, il faut être propriétaire de votre niveau 1 (mondomaine.com) ! Il existe une solution chez Dyndns mais il vous en coutera 40/50€ par an. Voici une solution simple utilisable par vous pour la modique somme de 0 euros (ou 6€ si vous n’avez pas encore le moindre nom de domaine sur Internet) par an.


A savoir : Si vous avez besoin de configurer le NAT voir ici les explication.


4. Configuration du DNS Dynamique chez OVH sur Synology

Et oui, vous ne le saviez probablement pas (moi non plus je l’ai découvert cette semaine par hasard) mais OVH permet bien de faire de la redirection dynamique et depuis un NAS Synology ! Bien qu’il n’apparaisse pas dans la liste des compatibles, il suffit de transformer un petit fichier sur le NAS pour débloquer la fonction !


4-1. Se connecter à son Manager OVH puis sélectionner Domaine, Hébergement.


4-2.Cliquez sur le nom de domaine que vous voulez utiliser pour le Dyndns (vous pouvez même utiliser un sous domaine ensuite comme monnas.mondomaine.com)


4-3. Choisissez Domaine & DNS puis Zone DNS



4-4. Remplissez un nom de sous-domaine ainsi que votre IP actuelle sur Internet (si vous ne la connaissez pas : www.monip.org vous la donne) puis cochez la case pour créer votre identifiant DynHost et validez.


4-5. Vous allez ici pouvoir créer votre identifiant et mot de passe pour l’accès au DNS Dynamique d’OVH (information essentielle pour mettre à jour votre IP avec le service DDNS du Synology). Choisissez un identifiant (qui sera alors sous la forme mondomaine.fr-monID), indiquez le sous domaine précédement créé pour le DynDNS et enfin un mot de passe de votre choix puis validez.

C’est terminé avec OVH


5. Modification du DDNS sur Synology

Comme expliqué, le soft DDNS du Synology ne prend pas en compte tout les systèmes de DNS Dynamique existant sur terre. Nous allons donc modifier un fichier interne du Synology pour lui apprendre à utiliser celui d’OVH


5-1. Lancez une connexion Telnet ou SSH (avec PuTTy) à votre NAS (notez qu’il faut évidement que le service en question soit activé dans le programme TERMINAL sur le DSM du Synology). Faites démarrer > Exécuter > cmd <Entrée> et tapez Telnet 192.168.1.15 <Entrée> (Remplacez par l’IP de votre NAS)


5-2. Un login/mot de passe vous sera demandé : tapez Root et le mot de passe du compte Admin de votre NAS

5-3. Tapez maintenant : vi /etc/ddns_provider.conf <Entrée>


5-4. Défilez en bas de page (Page Down ou flèche bas du clavier) puis placez le curseur devant le dernier fournisseur : [Freedns.org], appuyez sur la touche « i » du clavier (pour insérer), tapez <Entrée> 3x pour insérer une nouvelle ligne vierge à chaque fois et insérez ce code à la place :



[Ovh]
       modulepath=DynDNS
       queryurl=www.ovh.com/nic/update?system=dyndns&username=__USERNAME__&
password=__PASSWORD__&hostname=__HOSTNAME__&myip=__MYIP__


Oui Modulepath=DynDNS et pas OVH c’est pas une erreur ;) Si tout est OK, enregistrez en appuyant sur Echap puis tapez :wq
Vous pouvez quitter sans enregistrer en appuyant sur Echap puis tapez :q!

5-5. Répétez l’opération pour le fichier /etc.defaults/ddns_provider.conf (placez « vi » devant et renotez la ligne ci-dessus)


5-6. Quittez à nouveau ce fichier et tapez reboot pour redémarrer le NAS (attendez facilement 5 minutes avant de vous reconnecter au NAS)


5-7. Sur le système DDNS du DSM Synology, vous avez désormais la possibilité de choisir le DynDNS de votre domaine chez OVH ! Saisissez votre identifiant de la forme mondomaine.fr-monID et le mot de passe associé et admirez !


Votre NAS est désormais accessible sous la forme : http://monNAS.mondomaine.fr :)


6. Création du compte chez StartSSL


Comme expliqué précédemment, StartSSL ne permets pas de créer une liaison SSL sur un domaine Dyndns.org, mais le problème étant résolu parfaitement avec OVH, cela va maintenant être un jeu d’enfant ! Tout ce que vous devez savoir maintenant c’est que pour continuer la suite de ce tuto, vous aurez besoin de consulter votre boite mail postmaster@mondomaine.fr.


Perso comme j’utilise le service Google Apps pour gérer les mails de mon domaine du coup, il faut créer un groupe postmaster et déclarer votre utilisateur (votre adresse mail sur ce domaine) pour lui permettre de les lire tout simplement ;)


6-1. StartSSL est un organisme reconnu par nombreux navigateur pour être certifié SSL. Grâce à cela vous n’aurez plus ce vilain message d’erreur à chaque fois que vous voulez vous connecter à votre NAS ! On démarre par le site www.startssl.com puis choisissez StartSSL™ Produits > StartSSL™ Free > Express Lane


6-2. Indiquez votre nom, prénom, mail, adresse etc. Pour vérifier votre mail et créer votre compte, StartSSL va installer un certificat sur votre navigateur Web. Attention : si vous perdez votre certificat, vous perdez votre compte ! Ne révoquez pas votre compte ni votre domaine de chez StartSSL : cette fonctionalité est payante !


6-3. Commençons par sauver votre certificat. Sur votre navigateur (ici Firefox) faites Outils > Options > Avancé > Chiffrement > Afficher les certificats



Puis Vos certificats > choisissez celui de StartCom sous votre nom puis Sauvegarder (au format .P12)


6-4. Fermez votre navigateur, rouvrez le et retournez sur le site StartSSL puis dans le menu « Panneau de configuration » pour cliquer sur Authenticate, le site va charger votre Certificat et afficher votre page « membre ». Sur l’onglat Validations Wizard, on va devoir vérifier que vous êtes le propriétaire du nom de domaine (avec un envoi de mail sur votre adresse postmaster@votredomaine.fr). Choisissez Domain Name Validation puis Continue



6-5. Renseignez votre sous domaine puis continuez


6-6. Choisissez une des adresses proposées pour valider que vous êtes bien le propriétaire du domaine (postmaster par défaut)


6-7. Vérifiez votre boite mail et donnez lui le code que vous avez reçu (quasi immédiat) : la procédure est terminée !


7. Création des certificats sur le Synology

Nous allons créer nos propres certificats SSL chiffrés sur 2048 bits (le minimum requis pour StartSSL) pour ensuite les faire reconnaitre chez StartSSL. Lancez une connexion Telnet ou SSH sur le NAS et entrez les lignes de codes suivantes :


7-1. cd /usr/syno/
7-2. mkdir ssl
7-3. cd ssl
7-4. wget http://123adm.free.fr/home/pages/documents/syno-cert_fichiers/openssl.cnf
7-5. mkdir /volume1/public/ssl
7-6. cd /volume1/public/ssl
7-7. openssl genrsa -des3 -out ssl.key 2048

Un mot de passe à créer vous sera demandé, souvenez vous en ! c’est ce mot de passe qui sera utilisé tout au long de la procédure de création des clés et fichiers de certificat.

7-8. openssl rsa -in ssl.key -out ssl.nopp.key
7-9. openssl req -sha1 -nodes -new -key ssl.key -out ssl.csr

Cette dernière ligne de commande vous demande plusieurs renseignements. Mettez ce que vous voulez SAUF pour le Common Name, il s’agit de votre nom de domaine (sans http et sans www)


1. Votre mot de passe
2. Le code de votre pays en 2 lettres : FR
3. Etat ou Province : Lille
4. Localité (ville) : Lille
5. Organisation : Freeman
6. Organisation #2 : Freeman
7. Common Name : monnas.mondomaine.fr
8. Adresse mail : mon@mail.fr
EXTRA :
9. Challenge password : appuyez sur Entrée
10. Nom de compagnie optionnel : appuyez sur Entrée

Désormais se trouve dans le répertoire /volume1/public/ssl les fichiers suivant : ssl.key, ssl.nopp.key et ssl.csr

Récupérez ces fichiers sur votre disque dur (via FileServer ou sur le DSM en naviguant dans le sous répertoire SSL du dossier Public


8. Enregistrement du certificat chez StartSSL


8-1. Retournez sur le site StartSSL puis lancez à présent Certificates Wizard (le 2e onglet) et choisir Web Server SSL/TLS Certificate


8-2. On vous demande de générer la clé privé, cliquez sur Skip



8-3. Dans la boite, collez le contenu du fichier ssl.csr récupéré sur le NAS (/public/ssl/ssl.csr) éditez le simplement et copiez coller le contenu puis Continue



8-4. Une fois validé, rendez vous dans le menu Tool Box (le 1er onglet) puis cliquez sur Retrieve Certificate


8-5. Copiez simplement les lignes dans un fichier Texte de votre bureau et renommez le fichier en ssl.crt ! C’est terminé


9. Mise en place des certificats sur le DSM


9-1. Rendez vous sur le DSM du Synology, partie Service Web puis dans Service HTTP, importez les certificats avec comme Clé Privée : ssl.nopp.key et Certificat : ssl.crt



C’est fini ! Il ne vous reste plus qu’à redémarrer le NAS pour être sûr que tout fonctionne correctement :)

Merci aux sources pour m’avoir permis de réaliser ce tuto (et de le Françiser le plus simplement possible) : deadcode & isorez

???????? ?? ?????

  • Starsys

    Super Tuto.
    Merci. Je ne pensais pas pouvoir régler ce problème de certificat sans payer.
    J’ai réussi à tout faire sauf la dernière étape.
    Tu dis : « cliquer sur retrieve certificate ». La suite n’est pas claire pour moi. Je clique sur « continue » et là j’obtiens « votre certificat personnel a été installé ». Je ne vois pas de texte à copier nulle part. Que faut-il faire exactement ? Il faut à nouveau récupérer le certificat.p12 et l’ouvrir ? Je patauge… Merci.

  • Starsys

    laisse tomber, j’ai trouvé. Je n’etais pas allé au bout de la procédure de création du certificat.
    J’attends la validation

  • starsys

    Hello.
    Donc j’approche du but : mon sous domaine du type monnas.mondomaine.fr est créé et pointe bien vers l’adresse IP (fixe) de ma freebox.
    Lorsque je tape monnas.mondomaine.fr j’arrive bien sur ma page web hebergée sur mon nas.

    Maintenant j’essaye https://monnas.mondomaine.fr:5001 pour voir si le certificat fonctionne et malheureusement j’ai encore le message d’avertissement m’indiquant que ma connexion n’est pas sécurisée.
    J’ai vu que dans la sections « Paramètres de DSM\service http » du synology, on peut aussi importer les certificats. Faut-il le faire ici aussi ? Merci.

  • starsys

    Les details de la connexion non certifiée en https :

    « Le certificat n’est pas sûr car l’autorité délivrant le certificat est inconnue.
    Le certificat n’est valide que pour les noms suivants :
    monnas.mondomaine.fr , mondomaine.fr

    (Code d’erreur : sec_error_unknown_issuer) »

    Y’a un truc que j’ai pas pigé ? Pour info, ayant une IP fixe, je n’ai pas fait toute la première partie du tuto.

  • starsys

    Info : ca marche nickel (pas de message d’alerte de sécurité) sous IE8 mais pas sous firefox (erreur décrite dans mon précédent message) Normal ?

  • http://www.freeman59.fr freeman59

    En fait il faut avoir un navigateur récent, utilises tu la derniere version de Firefox ?

    Sinon une dernière étape pour fixer le problème

    Entrez en SSH sur le Syno et taper :
    cd /volume1/private/ssl
    mkdir /usr/syno/etc/ssl/ssl.root
    cp ca.pem /usr/syno/etc/ssl/ssl.root/
    cp sub.class1.server.ca.pem /usr/syno/etc/ssl/ssl.root
    chown root:root /usr/syno/etc/ssl/ssl.root/*.pem
    chmod 400 /usr/syno/etc/ssl/ssl.root/*.pem
    vi /usr/syno/apache/conf/extra/httpd-ssl.conf-user

    Cherchez la ligne suivante :

    #SSLCertificateChainFile /usr/syno/apache/conf/server-ca.crt

    Insérez la ligne juste en dessous :

    SSLCertificateChainFile /usr/syno/etc/ssl/ssl.root/sub.class1.server.ca.pem

    Recherchez la ligne

    #SSLCACertificateFile /usr/syno/apache/conf/ssl.crt/ca-bundle.crt

    Insérez en dessous :

    SSLCACertificateFile /usr/syno/etc/ssl/ssl.root/ca.pem

    sauvez (taper Esc du clavier puis :wq et Entrée)
    Faire la même chose avec cet autre fichier

    tapez : vi /usr/syno/apache/conf/extra/httpd-ssl.conf-sys

    Redémarrer le serveur apache :
    /usr/syno/etc/rc.d/S97apache-user.sh restart
    /usr/syno/etc/rc.d/S97apache-sys.sh restart

  • starsys

    Merci pour ta réponse rapide.
    J’ai fait quelques autres tests : sous safari : ça fonctionne bien en https sans avertissement sauf pour le file station en 7001 (au moment du chargement de java je pense).
    Sinon sous firefox dernière version : ça passe pas sans message d’avertissement.
    En quoi consiste ta dernière manip ? Le tuto commence à atteindre les limites de mes compétences. Pour faire cette dernière manip, je vais demander l’aide d’un pote qui maitrise.
    Sous firefox j’ai aussi l’impression que la redirection auto en https lorsque l’on se connecte en http ne marche pas.
    Si j’ai bien compris, le certificat n’est valable q’un an ? Que doit-on faire à l’échéance ?

  • starsys

    Je me suis un peu documenté, la deuxième partie du tuto expliquée en commentaire consiste à installer les certificats intermédiaires ?
    Si oui, à quelle étape de ton tuto, récupères tu le ca-bundle.crt de startssl ?
    Je vois qu’il est dispo ici : http://www.startssl.com/certs/
    Je ne suis pas un pro en instructions SSL et avant de me lancer, j’aime bien comprendre ce que je fais. Si tu peux éclairer ma lanterne…
    Merci.

  • http://www.freeman59.fr freeman59

    On ne réccupère pas de ca-bundle.crt, on cherche simplement la ligne contenue dans le fichier édité /usr/syno/apache/conf/extra/httpd-ssl.conf-user

    et on remplace (ou on place juste en dessous) : SSLCACertificateFile /usr/syno/etc/ssl/ssl.root/ca.pem

    donc le ca-bundle n’est pas utilisé, on utilise le ca.pem a la place

  • Theo

    Salut freeman. Ou recuperes tu ca.pem et sub.class1.server.ca.pem ?

  • starsys

    Ca y est c fait.
    Tout tourne impec avec les certifs intermédiaires.
    Merci Freeman.

    Encore 2 questions : est-il possible de rediriger automatiquement le port 7000 sur le port 7001 pour le file station ? On a cherché avec mon pote hier : si on utilise des .htacces, ca merde.
    Je peux bien sur enlever le routage du port 7000 dans ma freebox mais c pas user friendly pour le visiteur lambda.
    Meme question pour le photo et surveillance station.
    Peux tu donner rapidement la manip qu’il faudra faire dans un an pour renouveler le certificat ?
    Merci encore.

  • http://www.freeman59.fr freeman59

    @Theo y a pas de fichier ca.pem de créé, il se trouve nativement dans /usr/syno/etc/ssl/ssl.root/ normalement :)

    @starsys malheureusement je n’en sais rien, je suis comme vous, j’ai créé mon certif ce mois ci, va falloir attendre l’an prochain pour avoir la réponse, si on survit à la fin du monde :D

    Pour la redirection de port perso j’ai fait ca … j’ai viré la redir du 5000 et activé uniquement le 5001, c’est pas terrible mais c’est fonctionnel :s

  • starsys

    Freeman : pour le port 5000, tu peux directement paramétrer la redirection dans paramètres de DSM : rediriger automatiquement http vers https (excepté web station et photo station).
    C dommage que Synology ne permette pas la redirection de tout le http en https.
    Mon pote est expert en sécurité, il a passé plusieures heures à chercher dans le.conf de apache, et essayé plein de .htaccess, il a pas reussi.
    Je vais voir s’il propose une option dans la DSM beta 4.
    Sinon en attendant, on peut enlever les règles de routages du port 7000 pour le file station mais ca ne règle pas le reste…

  • http://www.batixpress.com david

    Hello Everybody,

    Je sèche un coup sur la procédure… J’ai le même soucis que Starsys
     »
    J’ai réussi à tout faire sauf la dernière étape.
    Tu dis : « cliquer sur retrieve certificate ». La suite n’est pas claire pour moi. Je clique sur « continue » et là j’obtiens « votre certificat personnel a été installé ». Je ne vois pas de texte à copier nulle part. Que faut-il faire exactement ? Il faut à nouveau récupérer le certificat.p12 et l’ouvrir ?  »
    Quand je donne au DSM le certificat ssl.crt.p12 il n’en veux pas. Normal mais y’a t’il un truc que j’ai zappé? Merci par avance et super tuto. DSM 4.0 trop bon.

  • http://www.batixpress.com david

    Ok c’est good. A l’étape 8.3 cliquez sur continuer et suivez les instructions. A la fin la clé s’affiche, ils faut la copier coller dans un éditeur et l’enregistrer avec le nom suivant ssl.crt
    Nickel merci

  • http://www.freeman59.fr freeman59

    Quand vous suivez bien la procédure, il y a un texte (dans une zone de texte) qu’il est possible de copier

    Il suffit alors de copier ce texte, le coller dans un fichier .txt tout bête et de renommer ce dit fichier en « ssl.crt »

    EDIT : Grilled t’as fini par le trouver toi même :)

  • http://www.batixpress.com david

    Oui j’ai réussis, dernière question :
    Lors de la création du DYNDNS dans le syno, je dois mettre quoi dans la partie nom d’hôte ?

  • http://www.batixpress.com david

    Je tape sousdomaine.domaine.com et j’ai l’erreur « format de nom d’hôte incorrect » sur le syno ;/

  • http://www.batixpress.com david

    Comme quoi le copier coller fait parfois perdre du temps…
    J’avais
    [Ovh]
    modulepath=DynDNS
    queryurl=www.ovh.com/nic/update?system=dyndns&username=__USERNAME__&
    password=__PASSWORD__&hostname=__HOSTNAME__&myip=__MYIP__
    sur 2 lignes! Il a pas apprécier. J’aurais pu y passer des heures. Bref cela dis j’ai encore un problème (on va y arriver..)
    Quand je tape dans le navigateur sousdomaine.domaine.com je tombe sur ce liens
    https://ssl0.ovh.net/fr/
    WTF! :/ Mes compétences s’arrête la. J’ai bien suivis sur le tuto la phase de création chez OVH du dynHost.Une idée Freeman? Je suis à bout là .
    merci

  • http://www.batixpress.com david

    Hello, mon problème est résolue. Sacré DNS quand tu mets du temps à te propager. Super tuto en tout cas. Comment on fair pour renouveler le certificat au bout d’un an?

    J’ai fait une connexion VPN OpenSLL avec échange de clefs pour la sécurité. J’ai vu que tu l’avais fais en PPTP pourquoi ce choix? Car le client est intégré a W7 ? OpenSLL est plus sécurisé en tous cas.
    Aller à bientôt.

  • http://www.freeman59.fr freeman59

    attention tout ceci est à taper sur 1 seule ligne :

    queryurl=www.ovh.com/nic/update?system=dyndns&username=__USERNAME__&password=__PASSWORD__&hostname=__HOSTNAME__&myip=__MYIP__

  • http://www.freeman59.fr freeman59

    Pour le VPN j’ai testé une solution rapide et facile à mettre en place (donc PPTP) car supporté nativement, j’ai tenté l’aventure en OpenSSL ca semble quand même un peu mieux (bien qu’il faille encore savoir crypter le mot de passe contenu en clair dans un fichier texte et c’est pas terrible !)

    Je sais pas pourquoi mais j’ai pas mal de soucis a faire fonctionner le VPN (ca marche puis un jour ca marche plus …) faudra que je m’y replonge un de ces 4 :)

  • starsys

    Salut à tous, avez vous mis à jour votre syno avec le DSM 4 ? Si oui, est-ce que Sabnzbd fonctionne toujours ? J’ai appliqué le tuto pour les certificats, après la mise à jour est-ce que tout fonctionne comme avant ? J’hésite à me lancer car j’ai peur de perdre toutes les modifs.
    Merci.

  • http://www.calong.fr Lionel

    Bonjour et merci pour ce tuto qui correspond exactement à ce que je voulais faire depuis quelques temps.

    J’ai donc suivi pas à pas tes explications et grace à quelques post de starsys je suis arrivé au bout.
    Malgrés tout cela ne fonctionne pas (les pages accédées en https ne s’affiche pas), ni pour la webstation ni pour l’admin DSM (j’ai aussi importé le certificat pour l’acces).

    Faut-il attendre quelque chose de particulier sur Startssl ? comme une validation quelconque ?

    Ma config
    Syno 1010+
    DSM 4.0

    Cordialement
    Lionel

  • http://www.calong.fr Lionel

    Alors je vais passer pour un débutant, tant pis pour moi (je n’avais pas ouvert le port 443)

    Donc résultat deouyis chrome et safari tout fonctionne (admin DSM et pages perso) par contre depuis Firefox j’obtient l’avertissement suivant :

    Le certificat n’est pas sûr car l’autorité délivrant le certificat est inconnue.

    (Code d’erreur : sec_error_unknown_issuer)

    J’image que pour régler ça il faut faire la partie de tuto que tu as mise dans les commentaires ?

    Cordialement
    Lionel

    PS: toutes mes excuses pour la pollution des post ;-)

  • Starsys

    Bonsoir.
    Oui il faut faire la 2eme partie du tuto.
    Par contre moi je n’avais pas les fichiers ca.pem et sub.class1.server.ca.pem dans mon syno. Je les ai pris sur http://www.startssl.com/certs/

    Sinon j’ai fait la mise à jour du DSM4 et tout semble marcher nickel (certifs et Sabnzbd)

  • http://www.calong.fr Lionel

    Bonsoir,

    Merci beaucoup de l’info, startSSL m’a d’ailleurs envoyé un petit mail pour me dire d’aller chercher le sub.class1.server.ca.pem là ou tu l’indiques ;-)

    Un doute subsiste uniquement sur le ca.pem freeman semble dire qu’on devrait le trouver quelque part sur le syno … à defaut je ferai comme toi.

    Pour ce qui est du DSM 4.0 oui cela fonctionne chez moi aussi très bien ;-)

    Un grand merci donc à vous tous.

    Cordialement
    lionel

  • http://www.calong.fr Lionel

    Bonjour Freeman59, starsys

    Désolé de revenir à nouveau vers vous.

    Je viens de faire la mise à jour DSM 4.0 finale et là petit soucis,
    ce qui fonctionnait bien jusque là ne fonctionne plus :(

    Etat des lieux:

    Le fichier /etc.defaults/ddns_provider.conf a été écrasé mais pas le /etc/ddns_provider.conf, j’ai donc repris les modifs surce fichier et cela fonctionne à nouveau.

    Les fichiers /usr/syno/apache/conf/extra/httpd-ssl.conf-sys et /usr/syno/apache/conf/extra/httpd-ssl.conf-user ont été écrasé durant la mise à jour (c’était pas grave en sois) mais ils ont surtout changé de contenue, le ligne « #SSLCertificateChainFile /usr/syno/apache/conf/server-ca.crt » a changé. J’ai tout de même repris les modifs des deux fichiers mais cela ne fonctionne pas :(

    D’autre part on niveau de l’interface DSM il y a aussi des changements et notamment pour l’ajout de certificat SSL, il y a maintenant la possibilité d’importer un certificat intermédiaire.

    J’ai essayé de ré-impoter la clé privé et le certificat StartSSL et là il ne l’accepte plus et m’indique un certificat invalide (peut-être du fait que je ne lui donne pas le certificat intermèdiaire mais je n’en suis pas sur).

    J’ai utilisé
    http://www.sslshopper.com/ssl-checker.html#hostname=mondomainessl pour voir ce que cela donnait, le certificat est à priori bien présent et le soucis est bien sur la « Intermediate/chain »

    La question est donc comment récupérer le certificat intermédiaire StartSSL pour l’importer via la nouvelle interface DSM 4.0 ?

    En espérant vous avoir donné toutes les info nécessaire et que vous aurez un peu de temps à consacrer au sujet.

    Cordialement
    Lionel

  • starsys

    Je viens de faire la manip, ca marche chez moi, j’ai ré-importé les 3 fichiers suivants :

    – ssl.nopp.key
    – ssl.crt
    – sub.class1.server.ca.pem (trouvé sur http://www.startssl.com/certs/)

    Vérifié sur SSL Checker : aucune erreur.

  • http://www.freeman59.fr freeman59

    Exact, le fichier /etc.defaults/ddns_provider.conf a été modifié, il faut donc remettre la ligne spécifique d’OVH comme expliqué plus haut

    Pour le SSL je n’ai rien remarqué d’anormal, j’accède toujours en https au NAS et sans erreur donc il me semble que tout est OK pour moi

    Etrange cette histoire :s

  • http://www.calong.fr Lionel

    Bonjour Starsys,

    Le sub.class1.server.ca.pem c’était l’info qui me manquait ;-)

    Je viens de le faire et hop effectivement cela fonctionne sans aucine mise à jour manuelle (ils sont fort chez Syno)

    J’ai un autre truc à re-tester c’est l’accès au DSM sur le 5001, aprés la migration la webstation était OUT à cause d’une erreur lors du start d’apache qui trouvait le 5001 in use :(

    En tout cas merci beaucoup de ton aide.

    Cordialement
    Lionel

  • http://www.calong.fr Lionel

    Sorry j’avais raté ta réponse Freeman59 ;-)

    Merci à toi pour ton aide précieuse.

    Je viens de re-tester l’accès sur le 5001 après la même manip pour l’import des certificats startSSL (3 fichiers) et ça fonctionne.

    Mon soucis initial était sur l’accès à la partie https de ma boutique qui contient notamment les logos pour paypal, ça faisait mauvais genre d’avoir des alertes sécurité sur la partie payement :(

    Cordialement
    Lionel

  • http://www.freeman59.fr freeman59

    ta boutique ? Tu héberge http://www.calong.fr sur ton NAS ? Impressionnant !

  • http://www.calong.fr Lionel

    Et bien oui, je ne sais pas encore si c’est impressionnant ou inconscient mais bon on verra bien ;-)

    A ce sujet si tu as des recommandations en terme de sécurité je suis preneur

    Cordialement
    Lionel

  • starsys

    Lionel.
    Sympa ton site.
    Tu fais pas du Hello Kitty ? Ma fille adore :)

  • http://www.calong.fr Lionel

    Starsys

    Pas de Hello Kitty pour moment mais si tu me dis ce qu’elle aime je peux me débrouiller pour en trouver ;-)

    Lionel

  • starsys

    Globalement elle aime toutes les bestioles et particulièrement les chats et les cochons :) Elle a 3 ans.
    Si t’as une peluche sympa dans ce style, je te la prends.

  • http://www.calong.fr Lionel

    Rtarsys,

    Je regarde et si je trouve quelque chose d’intéressant (je veux dire qui ne soit pas déjà en vente sur les 3/4 des sites français) je le met en ligne et te tiens au courant avec en prime in code promo sympa ;-)

    Lionel

  • starsys

    @Lionel : Super. Merci.

  • http://www.david.batixpress.com david

    Re les folles,
    je viens contribuer un peu avec un petit rex
    Concernant la mise à jour DSM 4 nickel. J’ai juste eu le fichier /etc.defaults/ddns_provider.conf qui a été écrasé mais l’autre était nickel. J’ai donc refait la manip et c’est nickel.

    J’en ai profité pour changer mon DS411j pour un DS1511+… :). Migration des disques et du système super simple et je n’ai quasiment rien perdu. (la conf de la vidéostation)

    Sinon je suis en mode j’exploite le DSM et dans ma lancée j’achète une clé WIFI CISCO AE1000 pour monter le syno en hotspot.

    Je reçoit le truc et je configure, cependant je n’ai pas réussi a me connecter avec mes clients.
    Je relance la clé et la quand la clé WIFI est branchée plus moyen d’accéder au syno. En dirait qu’il essaie de relancer le service réseau et bloc.
    Maintenant je suis coincé car pour reparamétrer la clé il faut qu’elle soit branchée, mais si je la branche le syno est out. (connexion échoué).

    Je vais essayé de débloqué un peu ça. Si ça intéresse des gens pour des essaies ou quoi ça pourrait être pas mal.
    Merci

  • starsys

    @david : j’ai effectivement lu que le réseau créé par le Hotspot est complétement indépendant de ton réseau privé existant. Cela peut-être sympa dans l’optique d’un partage de connexion avec des personnes extérieures (locataires, clients…) mais moins marrant si on souhaite juste s’en servir comme d’un relai wifi.
    A creuser. J’ai aussi commander une clé wifi compatible, je l’attends.

  • http://david@batixpress.com david

    Bon les folles j’ai des news!
    La cléf que j’ai prie n’est pas compatible je crois. La vrai liste est la http://www.synology.com/support/faq_show.php?q_id=444&lang=fre

    cette liste correspond au clé qui peuvent est en esclave genre je connecte mon syno au réseau en WIfi (vive les débits pourris). C’est donc pour ça que je perdais le réseau sans arrêt. Il faut que la clé soit capable de faire du partage de connexion et je ne sais pas si toutes les clés peuvent le faire.

    starsys des news de ton coté? Laquelle as tu commandé? J’ai envoyé un mail a Syno pour confirmer ce que je dis et je reviens vers vous.

  • starsys

    Bonsoir. Je viens d’installer la clé wifi asus N13 compatible. Ça marche bien, par contre la portée n’est pas extraordinaire. Ça crée un hotspot protégé ou non par mot de passé pour étendre son réseau existant. C pratique si vous placez votre nas à un endroit ou votre couverture wifi était faible. J’espérais un peu avoir des fonctionnalités plus poussées du genre création d’un hotspot indépendant de votre connexion principale avec gestion de l’authentification, horaires accès, limite de débit, de protocoles, de ports, enregistrement des logs, bref un outil pour offrir un accès internet sans se mettre hors la loi. Peut être que synology va améliorer tout ça dans ce sens, ils sont très forts pour implanter de nouvelles fonctionnalités. Bon début en tout cas.

  • http://www.david.batixpress.com david

    Starsys peut on s’appeler ou s’avoir par email. J’ai acheté la clé N-13 mais pas moyen que ça fonctionne.

  • http://www.david.batixpress.com david

    OK j’ai réussis. Quand j’activais le hotspot, ma clef prenait une IP sur le même réseau et du coup plus accès au syno mais le hotspot était crée. Il fallait juste s’y connecté, lancer un coup de DS assistant et se co à la nouvelle ip du syno. Changer l’IP est c’est partis. Compliqué quand on ne sait pas.

  • Sovxx

    Bonjour Freeman59,
    quand je tape https://sousdomaine.domaine.fr:5001 dans mon navigateur, je tombe bien sur mon NAS.
    En revanche, j’ai le même souci que david (post n°18) : « format de nom d’hôte incorrect » dans la fenêtre de config du DDNS.

    J’ai le DSM 4.0, les .conf bien renseignés (avec le queryurl sur une même ligne), le nom d’utiliseur et password sont bien reconnus (car si je les change, j’obtiens « échec d’authentification » à la place).

    Une idée ? Est-ce que le champ « nom d’hôte » doit être au format « sousdomaine.domaine.fr » ? « sousdomaine » ?
    Merci ; j’ai hâte de pouvoir poursuivre ce tutorial !

  • http://david@batixpress.com David

    Salut sovxx. Ce problème est du au fait que tu dois surement avoir mal copier la config dans les 2 fichiers. J’avais copier coller du post et j’avais la configuration sur 2 lignes au lieu d’une. Le compte etait prie en charge car il etait sur la premiere mais le nom d’hote non car il etait sur la deuxieme ligne. ;)

  • Sovxx

    Youpi ! Ca marche
    Je réponds un peu tout seul : j’avais fait 2 erreurs :
    – j’avais mis des tabulations avant modulepath et queryurl ; j’ai mis des espaces à la place.
    – j’avais fait une faute de syntaxe dans le .conf dans /etc.defaults (celui dans /etc était bon).
    Merci David pour m’avoir mis sur la voie !

    Pour info :
    Dans le champ « nom d’hôte », il faut mettre sous la forme « sousdomaine.domaine.fr ».
    Un message «  »badfqdn » peut apparaitre, mais en insistant un peu, ça passe à « normal ».

  • Sovxx

    Bonjour,

    Je suis allé jusqu’au bout du tutorial et, visiblement, tout marche sans alerte (sous IE, firefox et chromium) !

    Merci beaucoup

    REMARQUE POUR LES LECTEURS :

    Avec le DSM 4.0, dans « Panneau de configuration, Paramètres de DSM, Service HTTP, Importer le certificat », il y a maintenant une 3e case qui permet simplement de charger le certificat intermédiaire sub.class1.server.ca.pem qui est disponible sur http://www.startssl.com/certs/

    Sauf si je me trompe (je n’y connais rien), plus besoin de retourner dans telnet ou SSH pour faire la manip sur les .pem (cf post n°6 de freeman59). En tout cas je ne l’ai pas faite.

  • LeeONell

    Je confirme avec DSM 4.0 c’est plus simple pour le certificat intermédiaire.
    Moi ça marche sur tous les navigateurs mais ce que je comprends pas c’est que sur les sites de tests comme celui là:
    http://www.sslshopper.com/ssl-checker.html
    ça me dit qu’il trouve pas de certificats SSL ?!?! j’y comprend rien.

    Par contre je suppose que c’est normal que quand je me connecte en local via l’IP du syno (https://192.xxx.xx.xx:5001) le certificat passe pas ? On peut rien y faire ?