NASSécurité

Let’s Encrypt : SSL sur NAS Synology

Désormais, il est possible d’acquérir des certificats gratuitement, sur Let’sEncrypt. Un bon moyen de sécuriser un accès aux NAS. C’est ce que je vous propose aujourd’hui, en intégrant un certificat Let’s Encrypt sur un NAS Synology.

Chez mes clients, j’installe des NAS de marque Synology. Nous ne reviendrons pas sur la discussion (ce n’est pas e sujet), mais j’apprécie tout particulièrement ces petits NAS qui sont très polyvalents.

Afin de sécuriser ces petits serveurs, un certain nombre de paramètres doit être configuré. Complexité des mots de passe, interdiction d’inclure DSM dans un iFrame, utilisation de ports différents que ceux d’origine, etc…

Et indiscutablement : Rediriger HTTP vers HTTPS.

Seulement, en utilisant HTTPS, les navigateurs détectent un certificat autosigné et bloquent la connexion, qu’il faut alors paramétrer en exclusion pour pouvoir accéder à l’interface du NAS.

Let’s Encrypt

Depuis DSM v6.0, Synology introduit le support de Let’s Encrypt. Vous ne le savez peut être pas, mais il vous sera donc facile de mettre en place un vrai certificat.

Cela vous permettra notamment de ne pas faire transiter vote authentification en clair, et plus généralement de chiffrer la communication entre vous et le NAS.

Il faut cependant savoir qu’un certificat SSL/TLS (X.509) tel qu’il est utilisé ici, est généré pour assurer de la propriété d’un domaine et éventuellement de sous-domaines. Vous ne pouvez donc l’utiliser que si vous accédez à votre NAS via une URL précise, et non son adresse IP.

Générer un Certificat

Rendez-vous dans la config de Sécurité de DSM. Là, choisissez Certificats, puis créer un certificat.

Choisissez de créer un nouveau certificat.

Entrez ensuite une description, sélectionnez l’option d’acquisition d’un certificat Let’s Encrypt, et définissez l’utilisation de ce certificat par défaut.

creer-un-certificat-lets-encrypt

Remplissez ensuite les infos demandées. Le nom de domaine qui sera approuvé par ce certificat, l’adresse mail associée (qui effectuera la demande), et les éventuels noms de domaines alternatifs à approuver.

config-certificat-lets-encrypt

Voilà, votre certificat est installé, et votre connexion HTTPS, si toutefois elle est bien paramétrée (mais je n’en doute pas, puisque vous êtes un bon tech réseau!), sera approuvée par ce certificat, et reconnue comme étant clean par votre navigateur.

Notes

Bug

Lors de mon dernier paramétrage, le certificat créé n’a pas été utilisé par défaut. Il faut alors faire un clic droit sur la liste des certificats, puis configurer. Là, il faut sélectionner pour chaque service le certificat à utiliser par défaut.

Renouvellement

Synology précise que les certificats émis par Let’s Encrypt sont valides 90 jours. DSM renouvelle automatiquement les certificats avant qu’ils n’expirent si la validation du domaine s’est effectuée avec succès. Vérifiez que le port 80 de votre Synology NAS et du routeur est ouvert pour le renouvellement des certificats.

Samuel Monier

Informaticien indépendant Réseaux et systèmes - Infrastructure - Serveurs. J'interviens sur les départements 42 - 63 - 69 - 43 - 71, et à échelle nationale à distance. N'hésitez pas à me demander conseil!

Articles similaires

11 commentaires

  1. Salut, merci pour le tuto mais sur mon DS216+II cela ne passe pas, une fois avoir rempli le domaine et le mail et que je fais appliquer j’ai le message « Echec de l’opération. Reconnectez-vous au DSM » déco reco pareil. Je referais un test plus tard.

        1. Salut,

          Il me semble que si tu as un message d’erreur comme ça c’est qu’il il a un problème de port. contrôle que tout soit bien ouvert

  2. Salut,

    Merci beaucoup pour ce tuto. J’ai quelques petites questions :

    1) « Autre nom de l’objet », ça correspond à quoi exactement dans le formulaire ?

    2) Concernant l’utilisation du « serveur mail » et de « cloud station », ai-je également besoin d’avoir des certificats pour l’utilisation de SSL/TLS ?

    3) N’ayant pas la possibilité de faire un cluster SHA, du fait que je vais utiliser le serveur mail, je compte utiliser un serveur de secours que je rendrai accessible à distance en cas de panne du premier. Je peux exporter mon certificat Let’s Encrypt sur le deuxième serveur ?

    Merci beaucoup

  3. Bonjour, j’ai obtenu mon certificat, tout à l’air correct, mais quand je me connecte en https in ne veut pas utiliser mon certificat ? merci

  4. Bonjour,

    Mon certificat let’s encrypt n’a pas été renouvelé automatiquement.
    Pourtant, les port 80 de mon Synology NAS et du rougeur (freebox) sont bien ouvert.

    Pourquoi ? Y a-t-il quelque chose de particulier pour initier le renouvellement ?
    Que faire pour régler ce problème ? Recréer un nouveau certificat ?

    Merci de votre réponse.

    Cdt

    1. À moins que le port 80 soit bloqué par le firewall du Synology ?
      En effet, je l’ai activé avec le profil par défaut, dans lequel il semble que tous les ports soient ouverts. Mais peut-être que je me trompe…

  5. Hello,
    Lorsque je génère mon certificat sans sous domaine, celui-ci se crée sans aucun souci. En revanche, dès que j’ai 2 sous-domaines ou plus, j’obtiens l’erreur « Echec de connexion. Reconnectez-vous à DSM et réessayez ».
    La plupart indiquent que le port 80 doit être ouvert sur le pare feu du SYno et sur le routeur, ce qui est le cas…

    Impossible de trouver une solution pour plusieurs sous-domaines pour l’instant :'(

  6. Il est dit dans l’article que DSM renouvelle automatiquement les certificats avant qu’ils n’expirent si la
    validation du domaine s’est effectuée avec succès… ah bon !
    Mais, Let’s Encrypt envoie un mail pour signaler que le certif va expirer
    Donc à priori, la génération du .CSR ne serait plus utile pour l’utilisateur final pourvu que ce certif soit déjà en place et ce, bien que Let’s Encrypt envoie un mail pour signaler que le certif va expirer ? Pouvez-vous confirmer ?
    (Sinon que faire du fichier .CSR généré lors de la demande de renouvellement du certif ?)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page