Home >> Matériels >> NAS >> Let’s Encrypt : SSL sur NAS Synology
lets-encrypt-synology

Let’s Encrypt : SSL sur NAS Synology

Désormais, il est possible d’acquérir des certificats gratuitement, sur Let’sEncrypt. Un bon moyen de sécuriser un accès aux NAS. C’est ce que je vous propose aujourd’hui, en intégrant un certificat Let’s Encrypt sur un NAS Synology.

Chez mes clients, j’installe des NAS de marque Synology. Nous ne reviendrons pas sur la discussion (ce n’est pas e sujet), mais j’apprécie tout particulièrement ces petits NAS qui sont très polyvalents.

Afin de sécuriser ces petits serveurs, un certain nombre de paramètres doit être configuré. Complexité des mots de passe, interdiction d’inclure DSM dans un iFrame, utilisation de ports différents que ceux d’origine, etc…

Et indiscutablement : Rediriger HTTP vers HTTPS.

Seulement, en utilisant HTTPS, les navigateurs détectent un certificat autosigné et bloquent la connexion, qu’il faut alors paramétrer en exclusion pour pouvoir accéder à l’interface du NAS.

Let’s Encrypt

Depuis DSM v6.0, Synology introduit le support de Let’s Encrypt. Vous ne le savez peut être pas, mais il vous sera donc facile de mettre en place un vrai certificat.

Cela vous permettra notamment de ne pas faire transiter vote authentification en clair, et plus généralement de chiffrer la communication entre vous et le NAS.

Il faut cependant savoir qu’un certificat SSL/TLS (X.509) tel qu’il est utilisé ici, est généré pour assurer de la propriété d’un domaine et éventuellement de sous-domaines. Vous ne pouvez donc l’utiliser que si vous accédez à votre NAS via une URL précise, et non son adresse IP.

Générer un Certificat

Rendez-vous dans la config de Sécurité de DSM. Là, choisissez Certificats, puis créer un certificat.

Choisissez de créer un nouveau certificat.

Entrez ensuite une description, sélectionnez l’option d’acquisition d’un certificat Let’s Encrypt, et définissez l’utilisation de ce certificat par défaut.

creer-un-certificat-lets-encrypt

Remplissez ensuite les infos demandées. Le nom de domaine qui sera approuvé par ce certificat, l’adresse mail associée (qui effectuera la demande), et les éventuels noms de domaines alternatifs à approuver.

config-certificat-lets-encrypt

Voilà, votre certificat est installé, et votre connexion HTTPS, si toutefois elle est bien paramétrée (mais je n’en doute pas, puisque vous êtes un bon tech réseau!), sera approuvée par ce certificat, et reconnue comme étant clean par votre navigateur.

Notes

Bug

Lors de mon dernier paramétrage, le certificat créé n’a pas été utilisé par défaut. Il faut alors faire un clic droit sur la liste des certificats, puis configurer. Là, il faut sélectionner pour chaque service le certificat à utiliser par défaut.

Renouvellement

Synology précise que les certificats émis par Let’s Encrypt sont valides 90 jours. DSM renouvelle automatiquement les certificats avant qu’ils n’expirent si la validation du domaine s’est effectuée avec succès. Vérifiez que le port 80 de votre Synology NAS et du routeur est ouvert pour le renouvellement des certificats.

About Samuel Monier

Informaticien indépendant Réseaux et systèmes - Infrastructure - Serveurs. J'interviens sur les départements 42 - 63 - 69 - 43 - 71, et à échelle nationale à distance. N'hésitez pas à me demander conseil!

A lire également

Vtiger-Synology

vtiger CRM sur Synology

Nous allons voir aujourd’hui comment installer rapidement pour un client un outil de CRM. Il …

  • Sébr

    Salut, merci pour le tuto mais sur mon DS216+II cela ne passe pas, une fois avoir rempli le domaine et le mail et que je fais appliquer j’ai le message « Echec de l’opération. Reconnectez-vous au DSM » déco reco pareil. Je referais un test plus tard.

    • Pyrithe

      Salut,
      Est ce que DSM est à jour sur ton NAS? La dernière version est la v6.0.2-8451 Update 2.

      • Sébr

        Oui il est à jour. Je vais voir pour le rebooter.

        • Twin

          Salut,

          Il me semble que si tu as un message d’erreur comme ça c’est qu’il il a un problème de port. contrôle que tout soit bien ouvert

  • Artus Alvin

    Salut,
    Même soucis que Sébr pour moi.

  • roberto1

    Salut,

    Merci beaucoup pour ce tuto. J’ai quelques petites questions :

    1) « Autre nom de l’objet », ça correspond à quoi exactement dans le formulaire ?

    2) Concernant l’utilisation du « serveur mail » et de « cloud station », ai-je également besoin d’avoir des certificats pour l’utilisation de SSL/TLS ?

    3) N’ayant pas la possibilité de faire un cluster SHA, du fait que je vais utiliser le serveur mail, je compte utiliser un serveur de secours que je rendrai accessible à distance en cas de panne du premier. Je peux exporter mon certificat Let’s Encrypt sur le deuxième serveur ?

    Merci beaucoup