//Activer SSL sur NAS
Activer SSL sur NAS

Indice NDT

(N)iveau requis, de l’utilisateur à l’expert.
(D)ifficulté : Simple, Moyenne, Complexe.
(T)emps estimé pour la réalisation.

Utilisateur Technicien Expert
Niveau
Simple Moyenne Complexe
Difficulté
– d’une heure + de 5 heures 12 heures et +
Temps

OcM

Objectif de l’article.
Contexte de la réalisation.
Modalité de l’éxécution.

Sécuriser l’accès au NAS Synology en ajoutant le protocole SSL

NAS Synology et autorité de certification gratuite LET’S ENCRYPT

Principes et mise en oeuvre

Au début du WEB le plus important était d’assurer l’échange d’information. Par la suite, devant l’ampleur des utilisations, il a fallut consolider les protocoles d’origine pour leur apporter la couche de sécurité requise. Le SSL ou sécure socket layer est le protocole utilisé pour sécuriser les échanges sur Internet. Pour résumer, une requête  en http (demande d’un client) est envoyée en clair à un serveur. En cas d’interception du flux  on peut récupérer les information échangées.

L’ajout du TLS (ex SSL)  permet de crypter de bout en bout les informations échangées. Le flux n’est plus « en clair ».`
Maintenant il faut s’assurer de l’identité du serveur et disposer des clés permettant de décoder les messages envoyés.

C’est pour cela qu’on utilise des services tiers appelés autorité de certification; Cette dernière délivre le certificat qui permet de confirmer l’identité du serveur et  de transmettre une des clés pour décrypter les échanges  entre le client et le serveur.

Différents services existent pour déclarer un site,  la plupart sont payants. LETSENCRYPT est une autorité  créée depuis 2015 qui offre le double avantage:

  1. d’être gratuite
  2. et parfaitement intégrée aux produits Synology.

Ai-je vraiment besoin d’une couche de sécurité pour l’accès à mon NAS ?

Si les accès sont internes la réponse est simple : non.

En revanche, si les accès sont externes alors la sécurisation des échanges peut être requise. Attention,  outre les prérequis, le cryptage est une étape de plus dans l’échange et est plus ou moins rapide selon les matériels utilisés. (NAS et  types de connexion)

Enfin, depuis les versions 59 de Firefox et 68 de GoogleChrome, un icône site non sécurisé apparait sur une connexion http. Même si techniquement l’impact d’un tel marquage est nul, auprès d’un utilisateur lambda cela ne rassure pas…

Prérequis


Pour mettre en œuvre la démarche suivante il faut :

  • Les port 80 et 443  doivent  être routés vers le NAS (cf paramétrage BOX/modem routeur) tout comme le 5001 et/ou d’autres selon les services souhaités.
  • un nom de domaine (qu’il soit officiel complet ou un sous domaine via un DDNS – même synology -)
  • une adresse e-mail

par défaut le certificat est émis pour 90 jours. Il est automatiquement renouvelé – un mail est envoyé pour le rappeler.-

Attention : on peut enregistrer plusieurs certificats mais à chaque fois avec un nom domaine et une adresse email distincte

Démarche


  • Accès au NAS en tant qu’Admin ou utilisateur du groupe admin
  • Panneau de configuration puis
  1. Sécurité
  2. Onglet certificat
  3. Bouton Ajouter
  • Créer un certificat
  1. Ajouter un nouveau certificat

Choisir une action

  • importer : dans le cas d’un certificat acheté
  • autosigné quasi obsolète
  • créer auprès de letsencrypt
    peut aussi être configuré comme certificat par défaut.
  1. Procurez-vous un certificat auprès de Let’s Encrypt
  • On complète la fiche
  1. Le nom du domaine
  2. l’adresse e-mail de contact
  3. l’éventuel  sousdomaine (facultatif)
  • Configurer le certificat comme certificat par défaut (si ce n’est pas fait lors de la création)
  1. Certificat
  2. Bouton MODIFIER
  3. cocher la case « configurer comme certificat par défaut »
  • Configurer le certificat pour les services
  1. Certificat
  2. Bouton CONFIGURER
  3. choisir les services à associer au certificat
  • Le service Web redémarre, il faut finaliser le paramétrage via Panneau de configuration, Réseau Onglet DSM
  1. Cocher « REDIRIGER 5000 vers 5001 »
    Par la suite on désactivera cette option préférant ne garder que le routage du port 5001 — en attendant, chaque connexion sur l’ancien port 5000, amène vers le 5001 donc en crypté sécurisé —
  2. cocher  HTTP/2
    protocole optimisé pour la sécurité
  3. On valide et là encore le service WEB redémarre.

AVANT


Désormais l’accès se fait avec l’adresse httpS://nomdudomaine:port du service

exemples :

  1. mondomaine.bzh:5001 pour gérer mon NAS
  2. mondomaine.bzh:8801 pour écouter de la musique
  3. mondomaine.bzh:8001 pour gérer les téléchargements
  4. mondomaine.bzh:7001 pour gérer mes fichiers via fileStation
  5. etc..

APRÈS


Si comme moi, vous avez manuellement réalisé un fichier de configuration pour un site WEB (WordPress & NGINX) y compris dans la gestion des erreurs 404, attention à désactiver ce dernier AVANT de créer le certificat. [ en effet, lors de cette procédure, un fichier est déposé sur le dossier web et doit être accessible pour confirmer la présence du NDD  si le NDD est le même que le serveur WEB ].

Après il faut l’intégrer dans le fichier de configuration NGINX. (s’inspirer de celui créé par WebStation — j’ai créé un dossier et un lien vers les certificats sous usr/local/etc/ … –)

Pourquoi faire simple quand on peut faire compliqué… Je sais… 😔

Sondage Express

2018-03-02T11:12:24+00:00 13 Fév 2018|SYNO|

4 Comments

  1. Yves B. 1 mars 2018 à 13 h 10 min

    Un grand merci pour cette super procédure qui paraît archi compliquée et qui bien expliquée est tout a fait gérable et simple à mettre en place.

    • Daffy 1 mars 2018 à 14 h 05 min

      Merci.
      content de voir que c’est compréhensible et que cela sert !

  2. Caroline bi-nerd 3 mars 2018 à 10 h 31 min

    Yes ! Ça y est mon nas est accessible en HTTPS ! Moi qui m’en faisais une montagne… Grâce à cette page, j’ai suivi tranquillement la procédure et j’y suis parvenue, merci !!

  3. BernCaron72 9 mars 2018 à 9 h 08 min

    Moi aussi !
    Super boulot Daffy, bravo !
    Moi qui me disait « j’y comprends rien, mes potes qui se connectent chez moi encore moins…. Après avoir cet alerte de sécurité parce qu’ils venaient chez moi.. C’est sur que je risquais de plus avoir grand monde »
    Bah non ! J’y suis parvenu.
    La plus grosse difficulté est que les amis continuent d’utiliser l’accès en 5000 donc en http… Et non directement httpS et le 5001… Mais comme j’ai routé l’un vers l’autre… Bah ça le fait , merci !

Les commentaires sont fermés.