DSC_0426.jpg DSC_0462.jpg DSC_0298.jpg

 i need more coffee

Atteint depuis mon plus jeune âge d'hippopotomonstrosesquippedaliophobie (cultivez vous ça ne fera pas de mal) j'ai décidé de faire un blog sur ma maladie (be feeeaar..).
Blague à part c'est un blog totalement axé génie logiciel que vous trouverez ici. Du PHP, du J2EE, et évidement toutes les technologies qui leur sont liées.

Have fun !

Synology : Utiliser une connexion SSL certifiée

13 juin 2013Posté par : Kevin Danezis dans Synology

Petit tutoriel rapide qui vous servira j'espère : comment mettre en place un certificat SSL pour vos connexions au NAS en https ? et surtout comment générer ce certificat officiel !

Avant propos : je ne suis pas l'auteur de ce tuto, vous pouvez retrouver l'original en anglais sur ce super site de Mike Beach, je vous propose ici une traduction et des screenshoots plus poussés.

Lorsque vous vous connectez à votre interface depuis l’extérieur, Synology vous propose généralement de passer par un nom de domaine du type monidentifiant.synology.me. Ce service gratuit a le mérite d'exister mais ne propose pas de certifier votre connexion HTTPS comme vous pouvez le voir sur cette image. Nous allons voir comment y remédier.

SSL01.png

Préambule : Afin de dérouler au mieux le tutoriel, vous allez avoir besoin de deux choses impérativement :

  1. vous devez posséder un nom de domaine (hé oui... le certificat étant lié à un domaine a valider préalablement, vous devez avoir la main sur ce domaine, c'est également pour cette raison que nous n'allons pas rester sur monidentifiant.synology.me.
  2. Un email du type postmaster ou hostmaster ou webmaster@votre_domaine qui soit branché sur votre boite perso afin de valider votre domaine

Si vous n'avez pas encore de domaine, vous pouvez en achetez un domaine chez Gandi par exemple et gérer une redirection d'email vers votre boite mail perso.

Configurez votre nom de domaine

Pour la suite du tuto, j'ai acheté le domaine pouet.com et j'ai décidé de faire pointer https://mon_nas.pouet.com:5001 vers mon NAS Synology, pour cela j'ai bien modifié les zones DNS dans l'interface Gandi

mon_nas 10800 IN A xx.yy.zz.aa

A noter que j'aurais également pu écrire :

mon_nas 10800 IN CNAME monidentifiant.synology.me.

Surtout si l'ip de ma ligne ADSL est dynamique puisque les services de Synology vont faire la colle entre mon "chez moi" et monidentifiant.synology.me

Nous sommes prêt pour démarrer !

Créez vous un compte sur StartSSL

ssl02.png

Ce site qui se désigne comme le couteau suisse du certificat et du PKI propose gratuitement de vous générer un certificat validé valable pour un unique sous domaine. Attention j'insiste sur ce dernier point : gratuit pour un unique sous domaine. Dans notre cas ce sera mon_nas.pouet.com

Se créer un compte est une tâche qui prend 10 minutes, vous demandera une adresse email valide qui ne soit pas blacklistée (yopmail par exemple).

SSL03.png

Un code vous sera envoyé et vous permet de valider votre email.

SSL04.png

Un premier certificat va être généré, ce certificat, qui au passage est installé automatiquement dans votre navigateur, va vous permettre de vous reconnecter ultérieurement à votre panel utilisateur chez eux, pensez surtout à bien le conserver au chaud en sécurité

SSL05.png

SSL06.png

SSL08.png

Validez votre nom de domaine

La seconde étape est la validation de votre nom de domaine qui se fait par l'envoi d'un code à un email. Pour démarrer, cliquez sur l'onglet "Validation Wizard" et sélectionnez "Domain Name Validation" pour lancer les hostilités.

SSL09.png

Entrez votre domaine racine (pouet.com dans mon cas présent) et sélectionnez l'une des adresses de votre choix

SSL10.png

SSL11.png

Validez votre nom de domaine avec le code réceptionné.

Générez votre certificat SSL

Enfin ! vous allez pouvoir générer ce certificat.

Pour ce faire vous allez cliquer sur le second onglet "Certificates Wizard" . Sélectionnez "Web Server SSL/TLS certificate".

SSL12.png

Générez votre clé privée que vous sauvegardez sur votre bureau sous le nom "cle_privee" sans extension particulière (utilisez pour cela un éditeur de texte fiable comme Notepad++). Prenez soin de mémoriser le mot de passe que vous allez lui donner ! Pour le reste vous pouvez laisser la configuration de base

 SSL13.png

 

SSL14.png

Sélectionnez votre domaine dans la liste proposée : pouet.com dans notre cas, puis spécifiez le sous domaine choisit : mon_nas dans notre cas

SSL15.png

SSL16.png

SSL17.jpg

 crédit : http://mikebeach.org car j'ai merdé ces screens

Une fois cette dernière fenêtre validée vous pourrez télécharger plusieurs choses : faites un clic droit > save sur les liens intermediate et root. Conservez le nom de ces fichiers comme proposé. Créez également un fichier nommé ssl.crt sur votre bureau et collez y le contenu de votre certificat présent dans le cadre sans en modifier la moindre virgule, espace ou retour à la ligne

SSL18.jpg

 crédit : http://mikebeach.org car j'ai merdé ces screens

Nous allons réaliser une dernière étape en retournant sur le premier onglet et en cliquant sur Decrypt Private Key. Collez y le contenu de votre fichier "cle_privee" que vous avez sauvegardé en début de cette partie, ajoutez le mot de passe et validez le tout. Sauvegardez le résultat dans un fichier nommé "ssl.key"

SSL19.png

A ce stade vous devez avoir 4 fichiers très importants :

  • ssl.key : votre clé privée
  • ssl.crt : le certificat
  • cap.pem : le certificat root (on ne l'utilisera pas)
  • sub.class1.server.ca.pem : le certificat intermédiaire

Si ce n'est pas le cas : vous êtes dans la merde :)

Configurer votre synology pour le SSL

Depuis l'interface d'administration de votre Syno, allez dans la fenêtre de configuration de DSM, dans l'onglet Certificat. Vous retrouverez en rouge le fait que l'actuel certificat est auto-signé et donc non-validé. Cliquez sur "Importer le certificat" et sélectionnez successivement la clé privée, le certificat et le certificat intermédiaire avant de valider le tout

SSL20.png

SSL21.png

 

Après une reconnexion à votre interface, vous devriez obtenir un status certifié dans le même onglet certificat. Autre bonne nouvelle : votre navigateur indiquera un petit cadnas synonyme de certificat valide !

SSL22.png

SSL23.png

Fin de l'opération, vous venez de sécuriser vos accès :)

A lire également

Petit ajout du 14 Juin : Pour ceux qui possèdent une adresse IP dynamique, vous pouvez également suivre ce super tuto en français qui prend comme exemple DynDns et OVH pour faire la même chose que ce que j'explique ici



comments powered by Disqus