Installer un certificat SSL/TLS sur NAS Synology Logo Synology

Cet article explique comment obtenir un certificat auprès de SSmarket sur votre Synology NAS. Un certificat SSL peut être utilisé pour sécuriser les services web, l’administration et la transmission de données.

Procédure d'activation et d'installation du certificat SSL sur le NAS

Pour un fonctionnement correct d'un certificat SSL, vous devez disposer de deux clés : une privée et une publique. Générez les clés avant de demander le certificat. La clé publique (CSR) sera incluse dans le certificat.

Pour créer une requête de signature de certificat (CSR), il y a plusieurs méthodes. Nous vous décrivons la plus simple.

Créer une demande CSR et la clé privée sur Synology

Nous vous recommandons de créer la clé privée et la CSR sur le NAS ou via l'interface de SSLmarket. Pour des raisons de sécurité, n'utilisez pas des services en ligne. Ne transmettez votre clé privée à personne.

Créer la clé privée et la CSR dans OpenSSL

Si avez un linux sur votre ordinateur ou vous êtes connecté à un serveur linux ou un autre système Unix, utilisez OpenSSL pour générer une demande de signature de certificat (CSR) et une clé privée. La saisie des données est simple et intuitive. Les fichiers seront générés au format idéal Base64 avec extension PEM.

Pour plus d'information, voir l'article Clé publique (CSR request).

Créer la clé privée et la CSR sous Windows

Vous pouvez générer une demande de signature de certificat (CSR) et une clé privée sous Windows. Bien que le système génère les fichiers binaires qui ne sont pas compatibles avec les NAS, vous pouvez les convertir au format texte à l'aide de la boîte à outils OpenSSL. Pour en savoir plus, voir l'article Opérations avec les certificats SSL/TLS.

Créer la clé privée et la CSR sur NAS

Enfin, nous allons vous décrire comment générer une clé privée et une CSR directement sur le NAS. Si votre NAS ne dispose pas d'un système d'exploitation moderne qui vous permet de générer une CSR dans l'assistant, vous pouvez générer la CSR et la clé privée à l'aide de la boîte à outils OpenSSL.

La procédure est la même que dans le paragraphe ci-dessus, la seule différence est la connexion au NAS. Vous ne vous connectez pas au NAS via l'interface web, mais via SSH ou Telnet. Ces protocoles doivent être pris en charge par NAS. OpenSSL est également disponible.

Pour SSH sur Windows, nous vous recommandons le client PuTTY SSH.

Pour générer une nouvelle clé privée à l'aide de la boîte à outils OpenSSL, tapez :

openssl genrsa -nodes -out server.key 2048

Pour générer une demande de signature de certificat (CSR), tapez :

openssl req -new -key server.key -out server.csr

Pour générer une demande CSR, saisissez les données requises dans OpenSSL. Renseignez les champs obligatoires : au moins Common name (le nom de domaine, par exemple, synology.jannie.fr), et Country (par ex. FR). Pour terminer la demande, collez le contenu de votre CSR dans la commande de SSLmarket.

Synology utilise également Apache (pour le service web). La procédure à suivre pour générer la CSR et modifier les paramètres (manuellement) via SSH est décrite dans l'article Installer un certificat SSL sur le serveur Apache.

Installer un certificat dans une ancienne version de DSM

Les anciennes versions du système DSM vous permettent l'importation du certificat et de la clé, bien qu'elles ne puissent pas générer de demande CSR.

Si le dialogue n'apparaît pas, l'utilisateur avancé peut trouver la clé privée et le certificat existant et remplacer les fichiers par le nouveau certificat. Redémarrez le serveur pour que le nouveau certificat soit activé. Le certificat sera probablement enregistré dans le dossier: /usr/syno/etc/ssl ou /usr/local/ssl/server.

NAS Synology avec DSM 7.0

DSM est un système d'exploitation de NAS Synology et une interface graphique dans laquelle nous gérons le NAS et contrôlons son fonctionnement via un navigateur.

Installer un certificat SSL sur Synology

La version de DSM 7.0 vous permet de générer une CSR avec l'assistant. Les fichiers de CSR et la clé privée sont téléchargés dans votre ordinateur. La CSR va être utilisée pour l'émission du certificat et doit être collée dans la commande de certificat. La clé privée sera requise lors de l'importation du certificat sur le NAS.

Sauvegardez la clé privée.

Connexion au NAS

Connectez-vous à votre NAS et sélectionnez Panneau de Configuration.

synology - configuration
Accéder à Panneau de configuration

Accédez à Panneau de configuration > Sécurité.

synology - configuration
Accéder à Panneau de configuration

Créer une demande de CSR dans l'assistant

Pour créer une demande de signature de certificat, ouvrez Panneau de configuration > Sécurité > CSR > Créer une demande de signature de certificat (CSR). L'assistant "Créer une demande de signature de certificat" s'ouvre, renseignez les informations. Choisissez la longueur de 2048 bits et générez la demande.

synology - Assistant de création CSR
Assistant de création CSR

La demande de CSR est stockée avec la clé privée dans un fichier ZIP. Enregistrez-le.

Importer un certificat SSL et la clé privée

Pour importer le certificat émis par l'autorité de certification : sélectionnez Sécurité > Certificat > Ajouter > Importer.

synology - Importer un certificat
Synology - Importer un certificat

Sélectionnez "Ajouter un nouveau certificat". Insérez la clé privée, le certificat et le certificat intermédiaire (vous l'avez reçu par e-mail). Les certificats intermédiaires sont indispensables pour assurer la connexion sécurisée.

Assistant d'importation - sélectionnez la clé privée, le certificat et le certificat intermédiaire.
Assistant d'importation - sélectionnez la clé privée, le certificat et le certificat intermédiaire

Certificat intermédiaire et le niveau de sécurité

La connexion sécurisée est basée sur la chaîne de confiance. L'absence des certificats intermédiaires sur le serveur peut entraîner les alertes de sécurité dans les navigateurs (en particulier sur les téléphones portables).

Certificat SSL non reconnu
Un certificat intermédiaire est manquant

Redémarrage du NAS

Une fois le nouveau certificat SSL importé, la partie web de NAS va être redémarré et le serveur utilisera le nouveau certificat.

Cet article vous a-t-il été utile ?