Accueil » Tutoriaux - How To » Sécurisez votre NAS avec SSL (StartSSL & OVH)

Sécurisez votre NAS avec SSL (StartSSL & OVH)

Notre nouveau sujet pour 2012 sera la sécurité ! Maintenant que vous maîtrisez un peu mieux votre NAS Synology, je vous propose de sécuriser l’accès au DSM et aux différents services par sécurité SSL (cryptage httpS) suivez le guide !


1. Introduction

Parce qu’il arrive souvent qu’on ait besoin d’accéder aux services de son NAS depuis une connexion Internet, on passe par un chemin non crypté susceptible d’être décodé par des hackers qui pourraient bien prendre le contrôle de votre machine. Loin de moi l’idée de vous faire peur, cependant, lorsque je vois qu’en ce moment des dizaines d’adresses IP inconnues forcent l’accès à mon NAS, je me dit qu’il serait grand temps de disposer d’un certificat SSL pour obtenir un chemin crypté de confiance !


Le but de ce tuto c’est de vous proposer un accès aux services au moyen des liens http sécurisés (https) le tout crypté autour d’une clé à chiffrement 2048 bits (rien que ça) mais surtout d’éviter les messages d’erreurs : En effet, si vous réalisez votre propre certificats (et vous êtes obligés de le faire vous même), dès lors que vous vous connectez à votre page, votre navigateur vous informe d’un risque potentiel car il ne reconnaît pas votre certificat. Pour le faire valider, il faut bien souvent avoir recourt à des services en lignes qui vous propose de le faire (moyennant une somme comprises entre 3 et 4 chiffres annuelle) pas de panique, voici une solution miracle 😀


2. Prérequis

– Un modem routeur capable de faire de la translation d’adresse (NAT)
– Un NAS Synology
– Un nom de domaine enregistré chez OVH (ou ailleurs) qui ne vous coûtera que 5 à 10€/an en moyenne


3. Présentation de l’idée générale

Voici comment cela se passe pour l’accès externe de votre NAS :


Votre modem qui dispose d’une IP sur Internet (exemple 81.12.11.10) route (grâce à sa fonction Routeur) les paquets d’informations (pages web, fichiers, mails, etc) du réseau Internet à votre réseau local (votre ordinateur bien souvent ayant l’ip du genre 192.168.1.10). Ceci étant valable pour accéder depuis votre ordinateur à Internet


Dans le sens contraire, personne depuis Internet ne peut venir sur votre réseau local, sauf au moyen du NAT (Translation d’adresse) qui permet, en affectant un port spécial, de rediriger une demande arrivant de l’Internet à destination d’un équipement de votre réseau.


Du coup, Si votre NAS (ip 192.168.1.15) est hébergeur de page web, le fait de taper l’adresse IP de votre connexion dans un navigateur web sous la forme : http://81.12.11.10:80 avec le NAT activé dans le modem (redirection du port 80 vers l’adresse ip du réseau 192.168.1.15) alors la page web s’affichera. Idem pour tout autre service comme par exemple le DSM (le bureau de travail de votre NAS).


Afin d’éviter de se souvenir de l’adresse IP de votre connexion (qui en plus peut changer assez souvent), nous avons recours aux services en ligne de DNS Dynamique (DynDNS), le DynDNS permettra d’accéder à une adresse plus pratique comme par exemple : Monadresseperso.dyndns.org ou autre service du même genre Monadresseperso.mon-ip.org


Cependant, s’ils font correctement leur boulot, ces système de DNS Dynamique gratuit enregistrent votre compte gratuitement en sous domaine (vous êtes propriétaire de monadresseperso.dyndns.org mais pas de dyndns.org) or, pour enregistrer un domaine en SSL, il faut être propriétaire de votre niveau 1 (mondomaine.com) ! Il existe une solution chez Dyndns mais il vous en coutera 40/50€ par an. Voici une solution simple utilisable par vous pour la modique somme de 0 euros (ou 6€ si vous n’avez pas encore le moindre nom de domaine sur Internet) par an.


A savoir : Si vous avez besoin de configurer le NAT voir ici les explication.


4. Configuration du DNS Dynamique chez OVH sur Synology

Et oui, vous ne le saviez probablement pas (moi non plus je l’ai découvert cette semaine par hasard) mais OVH permet bien de faire de la redirection dynamique et depuis un NAS Synology ! Bien qu’il n’apparaisse pas dans la liste des compatibles, il suffit de transformer un petit fichier sur le NAS pour débloquer la fonction !


4-1. Se connecter à son Manager OVH puis sélectionner Domaine, Hébergement.


4-2.Cliquez sur le nom de domaine que vous voulez utiliser pour le Dyndns (vous pouvez même utiliser un sous domaine ensuite comme monnas.mondomaine.com)


4-3. Choisissez Domaine & DNS puis Zone DNS



4-4. Remplissez un nom de sous-domaine ainsi que votre IP actuelle sur Internet (si vous ne la connaissez pas : www.monip.org vous la donne) puis cochez la case pour créer votre identifiant DynHost et validez.


4-5. Vous allez ici pouvoir créer votre identifiant et mot de passe pour l’accès au DNS Dynamique d’OVH (information essentielle pour mettre à jour votre IP avec le service DDNS du Synology). Choisissez un identifiant (qui sera alors sous la forme mondomaine.fr-monID), indiquez le sous domaine précédement créé pour le DynDNS et enfin un mot de passe de votre choix puis validez.

C’est terminé avec OVH


5. Modification du DDNS sur Synology

Comme expliqué, le soft DDNS du Synology ne prend pas en compte tout les systèmes de DNS Dynamique existant sur terre. Nous allons donc modifier un fichier interne du Synology pour lui apprendre à utiliser celui d’OVH


5-1. Lancez une connexion Telnet ou SSH (avec PuTTy) à votre NAS (notez qu’il faut évidement que le service en question soit activé dans le programme TERMINAL sur le DSM du Synology). Faites démarrer > Exécuter > cmd <Entrée> et tapez Telnet 192.168.1.15 <Entrée> (Remplacez par l’IP de votre NAS)


5-2. Un login/mot de passe vous sera demandé : tapez Root et le mot de passe du compte Admin de votre NAS

5-3. Tapez maintenant : vi /etc/ddns_provider.conf <Entrée>


5-4. Défilez en bas de page (Page Down ou flèche bas du clavier) puis placez le curseur devant le dernier fournisseur : [Freedns.org], appuyez sur la touche « i » du clavier (pour insérer), tapez <Entrée> 3x pour insérer une nouvelle ligne vierge à chaque fois et insérez ce code à la place :



[Ovh]
       modulepath=DynDNS
       queryurl=www.ovh.com/nic/update?system=dyndns&username=__USERNAME__&
password=__PASSWORD__&hostname=__HOSTNAME__&myip=__MYIP__


Oui Modulepath=DynDNS et pas OVH c’est pas une erreur 😉 Si tout est OK, enregistrez en appuyant sur Echap puis tapez :wq
Vous pouvez quitter sans enregistrer en appuyant sur Echap puis tapez :q!

5-5. Répétez l’opération pour le fichier /etc.defaults/ddns_provider.conf (placez « vi » devant et renotez la ligne ci-dessus)


5-6. Quittez à nouveau ce fichier et tapez reboot pour redémarrer le NAS (attendez facilement 5 minutes avant de vous reconnecter au NAS)


5-7. Sur le système DDNS du DSM Synology, vous avez désormais la possibilité de choisir le DynDNS de votre domaine chez OVH ! Saisissez votre identifiant de la forme mondomaine.fr-monID et le mot de passe associé et admirez !


Votre NAS est désormais accessible sous la forme : http://monNAS.mondomaine.fr 🙂


6. Création du compte chez StartSSL


Comme expliqué précédemment, StartSSL ne permets pas de créer une liaison SSL sur un domaine Dyndns.org, mais le problème étant résolu parfaitement avec OVH, cela va maintenant être un jeu d’enfant ! Tout ce que vous devez savoir maintenant c’est que pour continuer la suite de ce tuto, vous aurez besoin de consulter votre boite mail [email protected]


Perso comme j’utilise le service Google Apps pour gérer les mails de mon domaine du coup, il faut créer un groupe postmaster et déclarer votre utilisateur (votre adresse mail sur ce domaine) pour lui permettre de les lire tout simplement 😉


6-1. StartSSL est un organisme reconnu par nombreux navigateur pour être certifié SSL. Grâce à cela vous n’aurez plus ce vilain message d’erreur à chaque fois que vous voulez vous connecter à votre NAS ! On démarre par le site www.startssl.com puis choisissez StartSSL™ Produits > StartSSL™ Free > Express Lane


6-2. Indiquez votre nom, prénom, mail, adresse etc. Pour vérifier votre mail et créer votre compte, StartSSL va installer un certificat sur votre navigateur Web. Attention : si vous perdez votre certificat, vous perdez votre compte ! Ne révoquez pas votre compte ni votre domaine de chez StartSSL : cette fonctionalité est payante !


6-3. Commençons par sauver votre certificat. Sur votre navigateur (ici Firefox) faites Outils > Options > Avancé > Chiffrement > Afficher les certificats



Puis Vos certificats > choisissez celui de StartCom sous votre nom puis Sauvegarder (au format .P12)


6-4. Fermez votre navigateur, rouvrez le et retournez sur le site StartSSL puis dans le menu « Panneau de configuration » pour cliquer sur Authenticate, le site va charger votre Certificat et afficher votre page « membre ». Sur l’onglat Validations Wizard, on va devoir vérifier que vous êtes le propriétaire du nom de domaine (avec un envoi de mail sur votre adresse [email protected]). Choisissez Domain Name Validation puis Continue



6-5. Renseignez votre sous domaine puis continuez


6-6. Choisissez une des adresses proposées pour valider que vous êtes bien le propriétaire du domaine (postmaster par défaut)


6-7. Vérifiez votre boite mail et donnez lui le code que vous avez reçu (quasi immédiat) : la procédure est terminée !


7. Création des certificats sur le Synology

Nous allons créer nos propres certificats SSL chiffrés sur 2048 bits (le minimum requis pour StartSSL) pour ensuite les faire reconnaitre chez StartSSL. Lancez une connexion Telnet ou SSH sur le NAS et entrez les lignes de codes suivantes :


7-1. cd /usr/syno/
7-2. mkdir ssl
7-3. cd ssl
7-4. wget http://123adm.free.fr/home/pages/documents/syno-cert_fichiers/openssl.cnf
7-5. mkdir /volume1/public/ssl
7-6. cd /volume1/public/ssl
7-7. openssl genrsa -des3 -out ssl.key 2048

Un mot de passe à créer vous sera demandé, souvenez vous en ! c’est ce mot de passe qui sera utilisé tout au long de la procédure de création des clés et fichiers de certificat.

7-8. openssl rsa -in ssl.key -out ssl.nopp.key
7-9. openssl req -sha1 -nodes -new -key ssl.key -out ssl.csr

Cette dernière ligne de commande vous demande plusieurs renseignements. Mettez ce que vous voulez SAUF pour le Common Name, il s’agit de votre nom de domaine (sans http et sans www)


1. Votre mot de passe
2. Le code de votre pays en 2 lettres : FR
3. Etat ou Province : Lille
4. Localité (ville) : Lille
5. Organisation : Freeman
6. Organisation #2 : Freeman
7. Common Name : monnas.mondomaine.fr
8. Adresse mail : [email protected]
EXTRA :
9. Challenge password : appuyez sur Entrée
10. Nom de compagnie optionnel : appuyez sur Entrée

Désormais se trouve dans le répertoire /volume1/public/ssl les fichiers suivant : ssl.key, ssl.nopp.key et ssl.csr

Récupérez ces fichiers sur votre disque dur (via FileServer ou sur le DSM en naviguant dans le sous répertoire SSL du dossier Public


8. Enregistrement du certificat chez StartSSL


8-1. Retournez sur le site StartSSL puis lancez à présent Certificates Wizard (le 2e onglet) et choisir Web Server SSL/TLS Certificate


8-2. On vous demande de générer la clé privé, cliquez sur Skip



8-3. Dans la boite, collez le contenu du fichier ssl.csr récupéré sur le NAS (/public/ssl/ssl.csr) éditez le simplement et copiez coller le contenu puis Continue



8-4. Une fois validé, rendez vous dans le menu Tool Box (le 1er onglet) puis cliquez sur Retrieve Certificate


8-5. Copiez simplement les lignes dans un fichier Texte de votre bureau et renommez le fichier en ssl.crt ! C’est terminé


9. Mise en place des certificats sur le DSM


9-1. Rendez vous sur le DSM du Synology, partie Service Web puis dans Service HTTP, importez les certificats avec comme Clé Privée : ssl.nopp.key et Certificat : ssl.crt



C’est fini ! Il ne vous reste plus qu’à redémarrer le NAS pour être sûr que tout fonctionne correctement 🙂

Merci aux sources pour m’avoir permis de réaliser ce tuto (et de le Françiser le plus simplement possible) : deadcode & isorez

???????? ?? ?????

121 plusieurs commentaires

  1. j’ai posté la question là http://www.nas-forum.com/forum/topic/11597-comment-installer-correctement-un-certificat-ssl-startssl-comodo/page-5 (je sais pas si tu veux virer le liens si ça te déranges) 🙂

  2. Bonjour

    Merci pour le tuto bien explicite claire et précis, pour les autres tuto aussi,

    a- Si je n’ai pas loupé un truc avec cette méthode n’importe qui a login et
    mdp peux se connecter sur NAS en https, alors si ces informations
    fuitent !!! la porte serait ouverte à touts visite mal attentionné en htps !!! est -ce correct mon analyse ?!

    b- la connection en VPN via serveur VPN NAS est bien mais malheureusement la vitesse de surf dépend totalement d’upload du serveur NAS,

    moi-même ayant une vitesse d’upload 1.80Mb&28Mb en Dowload via VDSL(mixte ADSL+FibreOp) et tout en Cat6 sur le quel NAS travaille et NATTE (NAT), quand je m’y connecte via un autre provider qui fait 4Mb Up et 60Mb Down, j’ai vitesse de max 1Mb voir souvent 700 800Kb,

    Donc pour moi et en Belgique cette technologie est handicapé !!!!

    Cependant quelques question me reviens souvent ;

    1- je travaille pour une boite provider coaxial en tant que Tech Network …, étant souvent loin de centrale, nécessité de se connecter en 3G ou wifi vers nos DB, Comme nos machines (tablette,portable,labtop …) ont une ip publique sur WAN donc le certificat s’impose, pour s’y faire il faut d’abord aller s’identifier quelques part sur une page web (je pense technologie Juniper) et faire une demande de certificat , puis s’identifier via Téléphone pour approuvé son identité(conversation entre humain) , une fois notre demande authentifiée et approuvée , dès ce moment il faut retourner sur la page là nous avons fait notre demande pour télécharger le certif+une sorte de clé « INEXPORTABLE ». sans ce certificat et la CLÉ nous ne pouvons pas accéder à nos /home et resource . ce certif a une durée de vie de 2 à 5 ans mais attention perdu ou formaté il faut demander un nouveau certif+clé.

    Quelqu’un sait où sont stockés ces foutus fichiers cetif+clé , car quand je fait un nettoyage de pc via CCleaner ou Tuneup , ils s’effacent de mon pc et je dois de nouveau refaire la procédure !!! de coups je nettoie plus mon pc et c’est embêtant. donc où sont stockés ces fichiers svp ?

    Est-possible de mettre en œuvre une telle stratégie sur NAS, càd toute vivant ou mort souhaitant d’accéder à NAS pour travailler ou piratage soit soumise à une demande de certif, que l’admin(vous ou moi) doit approuver ou pas sa demande ??

    et puis le User en question télécharge son certif+clé pour pouvoir y acceder ?

    ATTENTION !!!!! Donc avec une Clé INEXPORTABLE car en cas de perte il faut passer par la procédure !!!!!

    2- NasCloud est très lourd pour NAS(ici NAS 212+) , ça ralenti énorement le NAS et le réseau , donc je n’utilise plus et vous ?

    Merci pour votre temps, tout lien ou aide sera la bienvenu 😉

  3. Hello Guys.
    Je reveille le topic car le certificat a expiré… Snif (ca marchait bien). Du coup va falloir remettre les mains dans le camboui et j’ai un peu oublié le fonctionnement du biniou.

    Est-ce que quelqu’un s’y est déjà recollé ?

  4. C bon. Je me suis penché sur l’affaire et tout remarche pour 1 an !

    Pas de difficulté particulière.

    Si on veut améliorer le tuto, il faut juste dire qu’en étape 8.4 il faut attendre de recevoir le mail de startssl pour dire que le certificat est prêt. (Sinon on ne peut pas copier le texte)

    Merci encore Freeman, j’avais besoin de me rafraichir la mémoire pour refaire la manip.

  5. Merci beaucoup pour ce tuto, tres bien expliqué

  6. Bien que la demande date de longtemps, je poste une réponse qui pourra servir à plus d’un comme moi qui, en suivant ce tuto, a encore des questions et problèmes lors du tuto 🙂

    Tu as surement utilisé le certificat « pfx ».
    A l’étape 8-3, il faut aller jusqu’au bout de la procédure (selectionner le domaine, renseigner un sous domaine) puis … on a le cadre avec l’ensemble de la clef à copier dans un fichier crt.

  7. Bien que la demande date de longtemps, je poste une réponse qui pourra servir à plus d’un comme moi qui, en suivant ce tuto, a encore des questions et problèmes lors du tuto 🙂

    Tu as surement utilisé le certificat « pfx ».
    A l’étape 8-3, il faut aller jusqu’au bout de la procédure (selectionner le domaine, renseigner un sous domaine) puis … on a le cadre avec l’ensemble de la clef à copier dans un fichier crt.

  8. Bien que la demande date de longtemps, je poste une réponse qui pourra servir à plus d’un comme moi qui, en suivant ce tuto, a encore des questions et problèmes lors du tuto 🙂

    Tu as surement utilisé le certificat « pfx ».
    A l’étape 8-3, il faut aller jusqu’au bout de la procédure (selectionner le domaine, renseigner un sous domaine) puis … on a le cadre avec l’ensemble de la clef à copier dans un fichier crt.

  9. Bien que la demande date de longtemps, je poste une réponse qui pourra servir à plus d’un comme moi qui, en suivant ce tuto, a encore des questions et problèmes lors du tuto 🙂

    A l’étape 8-3, il faut aller jusqu’au bout de la procédure (sélectionner le domaine, renseigner un sous domaine) puis … on a le cadre avec l’ensemble de la clef à copier dans un fichier crt.

  10. Vincent Vacher

    Hello Freeman,

    Merci beaucoup pour ce tuto c’est top ! En revanche, impossible d’aller plus loin que l’étape 5, le fichier conf est en lecture seule chez moi. Comment je peux faire pour le modifier ?

    Merci beaucoup,

    Vincent

  11. Vincent Vacher

    Hello Freeman,

    Merci pour ce tuto !

    Je bloque à la fin de l’étape 5, j’ai une erreur « format du nom d’hôte non valide ». Je prend pourtant le nom d’hote que j’ai trouvé ici : http://www.mon-ip.com/

    Qu’est-ce que je dois rentrer ?

    Merci beaucoup,
    Vincent

  12. Je viens de renouveller 1 domaine et et je viens d’en recréer un sur OVH car j’ai changé de fournisseur internet et je suis maintenant en ip changeante…
    Tout semble nickel, j’attends pour récupérer mon certificat.

    Petite précision pour l’étape 6-4 : pas besoin de s’emmerder avec google app (qui est maintenant payant), il suffit de faire une redirection d’adresse mail dans la console d’administration OVH.
    Créer la règle de redirection suivante : [email protected] vers l’adresse de son choix. Du coup la validation est plus simple que de valider son domaine sur google app, créer le groupe et tout le tintouin.
    Si ca peut aider…

  13. Je viens de finir. Tout marche sauf sous firefox ou j’obtiens cette erreur : sec_error_ocsp_unknown_cert

    Apparemment d’après startssl il faut attendre un peu. J’espere que ca va s’arranger…

  14. Salut !

    Renouvellement en SHA256 sans souci. 🙂

    En fait j’ai généré à nouveau les certificats.

    Au final, une seule option à modifier sur la génération du ssl.csr. Dans :
    openssl req -sha1 -nodes -new -key ssl.key -out ssl.csr
    remplacer -sha1 par -sha256. C’est tout.

    Et comme le tuto date un chouilla, et pour ceux qui ne le sauraient pas encore, il faut renseigner dans le DSM :
    – Certificat : ssl.crt
    – Clé privée : ssl.nopp.key
    – Certificat intermédiaire : sub.class1.server.ca.pem

    Certificat intermédiaire se trouve ici :
    https://www.startssl.com/certs/sub.class1.server.ca.pem

    A+ 😉

  15. Merci pour les infos Ludo, renouvellement imminent 🙂

  16. Merci pour ce tuto super clair!

    petite question: comment retrouver certificat + clé sur le n’as? je ne les trouve pas à l’adresse suivante via le DSM –> /volume1/ssl

    Merci bcp

  17. Bonjour,

    Je ne comprend pas bien l’étape 6-6 de validation d’e-mail.

    « Choisissez une des adresses proposées pour valider que vous êtes bien le propriétaire du domaine (postmaster par défaut) »

    Aucune des adresses proposés ne m’appartient, je n’ai accès à aucune d’entre elles.
    Ai-je mal compris ?
    ou j’ai du raté quelque chose.
    Mais OVH n’offre pas de boite mail avec le nom de domaine..

    Merci d’avance

  18. La validation doit effectivement se faire via une adresse mail @mondomaine.com, si vous n’en possédez pas, il faudra sans doute utiliser une autre solution

  19. Stp ajoute les dans les pré requis, parce que je vient de perdre de l’argent bêtement pour le domaine et pour le certificat….
    Merci btw

  20. Tuto extrêmement utile auparavant. Encore merci, cela fait des années que je procédais comme ça, grâce à toi freeman59.

    Aujourd’hui il est bien plus simple, et plus pérenne d’utiliser Let’s Encrypt.

    https://letsencrypt.org/
    https://www.nextinpact.com/news/98199-lets-encrypt-et-dsm-6-0-comment-creer-certificat-pour-votre-nas-synology.htm

Laisser une réponse

Votre adresse email ne sera pas publiéeLes champs requis sont surlignés *

*