Installer un certificat SSL/TLS sur NAS Synology
L'objectif de ce guide est de vous expliquer comment installer un certificat SSL/TLS sur un serveur de stockage en réseau, également appelé un stockage en réseau NAS. Un certificat SSL peut être utilisé pour sécuriser les services web, l’administration et la transmission de données.
Contenu de l'article
Procédure générale d'installation du certificat SSL sur le NAS
- Activation de HTTPS pour le transfert de données et le serveur web
- Installer un certificat SSL/TLS sur Synology
Procédure d'activation et d'installation du certificat SSL sur le NAS
Pour obtenir un certificat SSL pour votre site, vous avez besoin de deux clés : une privée et une publique. Avant de demander un certificat, vous devez créer les deux clés. La CSR (demande de certificat) contient la clé publique qui sera incluse dans le certificat.
La principale difficulté rencontrée par les utilisateurs réside dans la création d'une requête CSR sur le NAS Synology.
Pour générer une requête de signature de certificat (CSR), plusieurs méthodes sont possibles. Nous vous décrivons la plus simple.
Générer une requête CSR et la clé privé
Nous vous recommandons de créer la clé privée et la CSR sur un NAS ou chez SSLmarket. N'utilisez des services en ligne pour générer la clé privée et la CSR. Vous ne pouvez pas être sûr si quelqu'un d'autre dispose de votre clé privée.
Créer la clé privée et la CSR dans OpenSSL
Si vous avez un ordinateur ou un serveur sous Linux ou sous un autre système Unix, vous pouvez utiliser l'application OpenSSL qui est intégré dans le système. Le processus de génération se déroule en deux étapes. La saisie de données est simple et les fichiers sont encodés au format Base64, avec l'extension PEM.
Pour plus d'information, voir l'article Clé publique (CSR request).
Créer la clé privée et la CSR sous Windows
Vous pouvez également générer la clé privée et la requête CSR sous Windows. Bien que le système génère les fichiers binaires qui ne sont pas compatibles avec les NAS, vous pouvez les convertir au format texte à l'aide de OpenSSL. Pour en savoir plus, voir l'article Opérations avec les certificats SSL/TLS.
Créer la clé privée et la CSR sur NAS
Si votre NAS ne dispose pas de système d'exploitation moderne permettant de créer la CSR dans l'assistant (voir section suivante), vous pouvez générer la CSR et la clé privée à l'aide d'OpenSSL.
La procédure est la même que celle décrite ci-dessus, la différence consiste dans la connexion sur NAS. Connectez-vous à votre NAS via le protocole Telnet/SSH. L'application OpenSSL est disponible également sur le NAS Synology.
Pour se connecter en SSH sur Windows, nous vous recommandons le client PuTTY SSH.
Afin de générer la clé privée, saisissez la commande suivante :
openssl genrsa -nodes -out server.key 2048
Ensuite, générez la CSR en utilisant la nouvelle clé privée :
openssl req -new -key server.key -out server.csr
Pour générer la requête CSR, saisissez les données requises dans OpenSSL. Renseignez les champs obligatoires : au moins Common name (le nom de domaine, par exemple, synology.jannie.fr), et Country (par ex. FR). Pour terminer la demande, collez le contenu de votre CSR dans la commande de SSLmarket.
Synology utilise également Apache (pour le service web). La procédure à suivre pour générer la CSR et modifier les paramètres (manuellement) via SSH est décrit dans l'article Installer un certificat SSL sur le serveur Apache.
Installer un certificat dans une ancienne version de DSM
Les anciennes versions du système DSM n’intègrent pas l’assistant pour créer la CSR, mais permettent l'importation de la clé et du certificat sur NAS.
Si le dialogue n'apparaît pas, l'utilisateur avancé peut trouver la clé privée et le certificat existant et remplacer les fichiers par le nouveau certificat. Redémarrez le serveur pour que le nouveau certificat soit activé. Le certificat sera probablement enregistré dans le dossier: /usr/syno/etc/ssl ou /usr/local/ssl/server.
NAS Synology avec DSM 5.0
DSM est un système d'exploitation de NAS Synology et un interface graphique dans laquelle nous gérons le NAS et contrôlons son fonctionnement dans le navigateur.
Activation de HTTPS pour le transfert de données et le serveur web
Avant de commencer à utiliser un certificat SSL sur le NAS, activez le protocole HTTPS s'il n'est pas encore activé. Synology utilise les certificats pour deux objectifs - 1) pour l’administration et le transfert de données, 2) pour un serveur web intégré qui peut utiliser HTTPS.
Configurez la connexion SSL et le transfert de données : sélectionnez Main Menu > Control Panel > Network > DSM Settings.
Pour configurer le service web SSL, sélectionnez Main Menu > Control Panel > Web Services, cliquez sur l'onglet HTTP Service, sélectionnez Enable HTTPS connection et confirmez.
Installer le certificat SSL sur Synology
La version actuelle de DSM 5.0 permet de créer une CSR à l'aide de l'assistant. Une fois la CSR et la clé privée générées dans l'assistant, elles sont enregistrées sur votre disque dur. Insérez la CSR dans la commande de SSLmarket. et une fois le certificat émis, importez la clé privée avec le certificat sur le NAS.
Sauvegardez la clé privée dans un endroit sûr. Si vous l'avez perdu, vous pouvez demander la réémission (reissue) de votre certificat. Cette opération est gratuite.
Connexion au NAS
Connectez-vous à votre NAS et sélectionnez Panneau de Configuration.
Ensuite, cliquez sur l'option Sécurité.
Créer une demande de CSR dans l'assistant
Pour créer une demande de signature de certificat, ouvrez Panneau de configuration > Sécurité > Certificat > Créer une demande de signature de certificat (CSR). Suivez les instructions de l'assistant. Saisissez les informations requises, choisissez la longueur de 2048 bits et générez la demande.
La demande de CSR est stockée avec la clé privée dans un fichier ZIP. Enregistrez-le.
Importer un certificat SSL et la clé privée
Lorsque vous recevez le certificat émis par l'autorité de certification, vous pouvez l'importer avec la clé privée. L'importation est simple. Sélectionnez Sécurité > Certificat.
Sélectionnez "Ajouter un nouveau certificat". Insérez la clé privée, le certificat et le "certificat intermédiaire" (reçu par e-mail). Les certificats intermédiaires sont indispensables pour assurer la connexion sécurisée.
Certificat intermédiaire et le niveau de sécurité
La connexion sécurisée est basée sur la chaîne de confiance. L'absence des certificats intermédiaires sur le serveur peut entraîner les alertes de sécurité dans les navigateurs (en particulier sur les téléphones portables).
Redémarrage du NAS
Une fois le nouveau certificat SSL importé, la partie web de NAS va être redémarré et le serveur utilisera le nouveau certificat.
Notes concernant d'autres versions de DSM
Dans la version DSM 3.0, le fichier de configuration par défaut openssl.cnf n'est pas présent dans le chemin suivant : /usr/syno/ssl/openssl.cnf.
Pour résoudre ce problème, téléchargez le code d'OpenSSL depuis : http://www.openssl.org/source/. Sélectionnez le dossier /apps/ de l'archive sécurisé "tar" et trouvez le fichier openssl.cnf. Cliquez sur Extraire et sélectionnez le dossier sur votre Synology, par exeple /volume1/share/.
Créez le dossier /usr/syno/ssl. Insérez le fichier openssl.cnf dans ce dossier :
mkdir /usr/syno/ssl/
cp /volume1/share/openssl.cnf /usr/syno/ssl/
Ensuite, créez un dossier temporaire et passez à ce dossier :
mkdir /usr/local/ssl cd /usr/local/ssl
Dans ce dossier, vous pouvez créer la clé privée et la CSR à l'aide d'OpenSSL.
