FAQ - SYNOLOGY

En regardant les tutos de Synology, ça a l'air très simple. Et ils ont raison, mais ils ont oublié les pré-requis.

Prérequis

Vous devez avoir une IP fixe publique
Sur le routeur, redirection des ports suivants vers le NAS :

• 443
• 80
• 5000
• 5001
  

Sur le NAS : Panneau de configuration -> Réseau -> Paramètres de DSM, activez les options :

• Rediriger automatiquement les connexions HTTP vers HTTPS pour le bureau DSM
• Activer HTTP/2
• Activer l'en-tête « Server » dans les réponses HTTP
  

En fonction de votre version de DSM, il se peut que vous ayez d'autres options. N'activez ou ne modifiez rien d'autre. J'ignore l'effet que cela pourrait avoir.
C'est tout pour les prérequis.
Maintenant vous pouvez générer votre certificat.

Installation

Nous allons travailler par l'exemple.
Les enregistrements DNS que vous utiliserez doivent exister chez votre registrar. Si vous ne savez pas les créer, inutile d'aller plus loin, ça ne fonctionnera pas.

• Nom de domaine : exemple.org
• Enregistrement DNS A : nas.exemple.org -> Votre ip fixe publique
• Enregistrements DNS CNAME :
  • emails.exemple.org -> nas.exemple.org
  • videos.exemple.org -> nas.exemple.org

Maintenant que tout est prêt, nous allons pouvoir créer le certificat dans le NAS.

Création du certificat

Sur le NAS : Panneau de configuration -> Sécurité -> Certificat.
Vous visualisez le certificat par défaut généré à l'installation du NAS. Si vous en avez d'autres, supprimez-les pour laisser place nette.

Procédure :

• Cliquer sur Ajouter
• Sélectionner -> Remplacer un certificat existant.
  Par défaut vous devez avoir le nom du certificat par défaut, sinon sélectionnez-le.
  Cliquer -> Suivant
• Nommez le certificat -> exemple.org.
  Sélectionnez -> Procurez-vous un certificat auprès de Let's Encrypt
  Cochez -> Configurer comme certificat par défaut.
  Cliquer -> Suivant
• Nom de domaine -> nas.exemple.org*
• Courrier électronique -> Votre adresse mail pour recevoir les notifications de la part de Let's Encrypt en cas de soucis avec le certificat une fois installé.
• Autre nom de l'objet -> emails.exemple.org;videos.exemple.org
• Cliquer -> Appliquer
  

La création du certificat démarre. La durée de création sera variable en fonction de votre connexion internet.
Une fois terminé, vous avez le nouveau certificat qui s'affiche dans la liste.
Sélectionnez-le et cliquer -> Configurer.
Assurez-vous que tous vos services utilisent ce certificat.
C'est terminé. Désormais vous n'aurez plus d'alerte de certificat auto-signé.

*Synology conseille de saisir le nom de domaine (exemple.org) sans sous-domaine (nas). Le problème est qu'il arrive que dans les DNS du registrar, le nom de domaine sans sous-domaine pointe sur une autre IP publique que celle du NAS. Et là vous n'arriverez pas à créer (ou renouveler) le certificat car les ip ne correspondront pas, même si vous l'avez quand même déclarée. La vérification de Let's Encrypt semble s'arrêter à la première déclaration trouvée dans les enregistrements.

Lorsque vous avez activé le service Calendrier dans le WebDav, Mac Os ne se connecte plus en WebDav au Nas. Il retourne une erreur d'identification alors que sur le NAS, le log vous informe qu'il y a eu une connexion.
Le problème vient bien de Mac OS et non pas du NAS.
En effet, avec n'importe quelle application permettant de se connecter en WebDav, CyberDuck, par exemple, même sur Mac Os, ça fonctionne.

Alors, je recherche une solution.

Suite à une grosse galère pour utiliser Synology Drive depuis l'extérieur, voici les ports à rediriger sur votre routeur vers le NAS.

• 80
• 443
• 5000
• 5001
• 6690 (Synology Drive Client)
  

Apple a fait très fort...
Depuis les dernières mises à jour de sécurité pour 10.13, 10.14 et l'arrivée de 10.15, la connexion au serveur CALDAV Synology est devenue impossible si SSL n'est pas activé.
La cerise sur le gâteau est que iCal ne vous demande plus d'accepter le certificat auto-signé du NAS Synology.
No comment...
Pas contre, si votre serveur NAS Synology a un certificat SSL validé par une autorité de certification, vous n'avez pas de soucis à vous faire.
Nous allons donc décrire une méthode pour contourner le problème.
Pour des raisons de simplification, le serveur NAS dans ce tuto se nomme : "srv-nas.exemple.com" .
Avant de faire quoi que ce soit, sur le NAS, assurez-vous que le protocole https sur le port 5001 est activé.

Récupération du certificat auto-signé.

Pour ça il faut IMPERATIVEMENT utiliser Safari et surtout pas Chrome, ou Firefox etc...
La raison est que seul Safari est capable de stocker le certificat du NAS dans le trousseau (Keychain)
Dans la barre d'adresse de Safari, saisir :
https://srv-nas.example.com:5001
Bien entendu vous avez le message d'alerte d'un site avec le certificat autosigné et qu'il est peut être frauduleux etc...
Faites tout ce qu'il faut pour accepter définitivement le certificat.
Une fois fait, quitter Safari. Inutile de vous connecter à votre session.

Paramètrage d'iCal Mac OS

Ouvrez iCal

• Menu Calendrier -> Ajouter un compte
• Sélectionner : Autre Compte CalDav
• Cliquer sur "Continuer"
• Type de compte : Sélectionner "Avancé"
• Nom de l'utilisateur : saisir votre login
• Mot de passe : Votre mot de passe
• Adresse du serveur : srv-nas.exemple.com
• Chemin du serveur : /caldav/xxxxxxx -> xxxxxxx est votre login
• Port : 5001
• Utiliser SSL : Coché
• Utiliser Kerberos v5 pour l'auth. : décoché
  

Cliquer sur "Se connecter"
Si tout est OK, la fenêtre doit se fermer sans message d'erreur. Sinon, testez si le certificat du NAS est bien enregistré en vous connectant avec Safari au serveur NAS.

NB. Vous risquez d'avoir le panneau vous informant une erreur de connexion, mais rapidement il va disparaitre et vos calendriers vont s'afficher. Alors, patience...

Paramétrage iCal iOS

Ouvrez les règlages

• Allez dans "Mots de passe et comptes"
• Ajouter un compte et sélectionner "Autre"
• Sélectionner "Ajouter un compte CalDAV"
• Serveur : srv-nas.exemple.com:5001/caldav/xxxxxxx -> xxxxxxx est votre login
• Nom d'utilisateur : saisir votre login
• Mot de passe : Votre mot de passe
• Description : Donnez un nom à votre calendrier
  

Tapez sur OK.
Si tout est OK, vous devez voir les coches vertes s'afficher.