Installation d'un certificat let's Encrypt
En regardant les tutos de Synology, ça a l'air très simple. Et ils ont raison, mais ils ont oublié les pré-requis.
Vous devez avoir une IP fixe publique
Sur le routeur, redirection des ports suivants vers le NAS :
C'est tout pour les prérequis.
Maintenant vous pouvez générer votre certificat.
Nous allons travailler par l'exemple.
Les enregistrements DNS que vous utiliserez doivent exister chez votre registrar. Si vous ne savez pas les créer, inutile d'aller plus loin, ça ne fonctionnera pas.
Sur le NAS : Panneau de configuration -> Sécurité -> Certificat.
Vous visualisez le certificat par défaut généré à l'installation du NAS. Si vous en avez d'autres, supprimez-les pour laisser place nette.
Une fois terminé, vous avez le nouveau certificat qui s'affiche dans la liste.
Sélectionnez-le et cliquer -> Configurer.
Assurez-vous que tous vos services utilisent ce certificat.
C'est terminé. Désormais vous n'aurez plus d'alerte de certificat auto-signé.
*Synology conseille de saisir le nom de domaine (exemple.org) sans sous-domaine (nas). Le problème est qu'il arrive que dans les DNS du registrar, le nom de domaine sans sous-domaine pointe sur une autre IP publique que celle du NAS. Et là vous n'arriverez pas à créer (ou renouveler) le certificat car les ip ne correspondront pas, même si vous l'avez quand même déclarée. La vérification de Let's Encrypt semble s'arrêter à la première déclaration trouvée dans les enregistrements.
Prérequis
Vous devez avoir une IP fixe publique
Sur le routeur, redirection des ports suivants vers le NAS :
- 443
- 80
- 5000
- 5001
- Rediriger automatiquement les connexions HTTP vers HTTPS pour le bureau DSM
- Activer HTTP/2
- Activer l'en-tête « Server » dans les réponses HTTP
C'est tout pour les prérequis.
Maintenant vous pouvez générer votre certificat.
Installation
Nous allons travailler par l'exemple.
Les enregistrements DNS que vous utiliserez doivent exister chez votre registrar. Si vous ne savez pas les créer, inutile d'aller plus loin, ça ne fonctionnera pas.
- Nom de domaine : exemple.org
- Enregistrement DNS A : nas.exemple.org -> Votre ip fixe publique
- Enregistrements DNS CNAME :
- emails.exemple.org -> nas.exemple.org
- videos.exemple.org -> nas.exemple.org
Création du certificat
Sur le NAS : Panneau de configuration -> Sécurité -> Certificat.
Vous visualisez le certificat par défaut généré à l'installation du NAS. Si vous en avez d'autres, supprimez-les pour laisser place nette.
Procédure :
- Cliquer sur Ajouter
- Sélectionner -> Remplacer un certificat existant.
Par défaut vous devez avoir le nom du certificat par défaut, sinon sélectionnez-le.
Cliquer -> Suivant - Nommez le certificat -> exemple.org.
Sélectionnez -> Procurez-vous un certificat auprès de Let's Encrypt
Cochez -> Configurer comme certificat par défaut.
Cliquer -> Suivant - Nom de domaine -> nas.exemple.org*
- Courrier électronique -> Votre adresse mail pour recevoir les notifications de la part de Let's Encrypt en cas de soucis avec le certificat une fois installé.
- Autre nom de l'objet -> emails.exemple.org;videos.exemple.org
- Cliquer -> Appliquer
Une fois terminé, vous avez le nouveau certificat qui s'affiche dans la liste.
Sélectionnez-le et cliquer -> Configurer.
Assurez-vous que tous vos services utilisent ce certificat.
C'est terminé. Désormais vous n'aurez plus d'alerte de certificat auto-signé.
*Synology conseille de saisir le nom de domaine (exemple.org) sans sous-domaine (nas). Le problème est qu'il arrive que dans les DNS du registrar, le nom de domaine sans sous-domaine pointe sur une autre IP publique que celle du NAS. Et là vous n'arriverez pas à créer (ou renouveler) le certificat car les ip ne correspondront pas, même si vous l'avez quand même déclarée. La vérification de Let's Encrypt semble s'arrêter à la première déclaration trouvée dans les enregistrements.