Installer un certificat SSL/TLS sur NAS Synology
Cet article explique comment obtenir un certificat auprès de SSmarket sur votre Synology NAS. Un certificat SSL peut être utilisé pour sécuriser les services web, l’administration et la transmission de données.
Procédure d'activation et d'installation du certificat SSL sur le NAS
Pour un fonctionnement correct d'un certificat SSL, vous devez disposer de deux clés : une privée et une publique. Générez les clés avant de demander le certificat. La clé publique (CSR) sera incluse dans le certificat.
Pour créer une requête de signature de certificat (CSR), il y a plusieurs méthodes. Nous vous décrivons la plus simple.
Créer une demande CSR et la clé privée sur Synology
Nous vous recommandons de créer la clé privée et la CSR sur le NAS ou via l'interface de SSLmarket. Pour des raisons de sécurité, n'utilisez pas des services en ligne. Ne transmettez votre clé privée à personne.
Créer la clé privée et la CSR dans OpenSSL
Si avez un linux sur votre ordinateur ou vous êtes connecté à un serveur linux ou un autre système Unix, utilisez OpenSSL pour générer une demande de signature de certificat (CSR) et une clé privée. La saisie des données est simple et intuitive. Les fichiers seront générés au format idéal Base64 avec extension PEM.
Pour plus d'information, voir l'article Clé publique (CSR request).
Créer la clé privée et la CSR sous Windows
Vous pouvez générer une demande de signature de certificat (CSR) et une clé privée sous Windows. Bien que le système génère les fichiers binaires qui ne sont pas compatibles avec les NAS, vous pouvez les convertir au format texte à l'aide de la boîte à outils OpenSSL. Pour en savoir plus, voir l'article Opérations avec les certificats SSL/TLS.
Créer la clé privée et la CSR sur NAS
Enfin, nous allons vous décrire comment générer une clé privée et une CSR directement sur le NAS. Si votre NAS ne dispose pas d'un système d'exploitation moderne qui vous permet de générer une CSR dans l'assistant, vous pouvez générer la CSR et la clé privée à l'aide de la boîte à outils OpenSSL.
La procédure est la même que dans le paragraphe ci-dessus, la seule différence est la connexion au NAS. Vous ne vous connectez pas au NAS via l'interface web, mais via SSH ou Telnet. Ces protocoles doivent être pris en charge par NAS. OpenSSL est également disponible.
Pour SSH sur Windows, nous vous recommandons le client PuTTY SSH.
Pour générer une nouvelle clé privée à l'aide de la boîte à outils OpenSSL, tapez :
openssl genrsa -nodes -out server.key 2048
Pour générer une demande de signature de certificat (CSR), tapez :
openssl req -new -key server.key -out server.csr
Pour générer une demande CSR, saisissez les données requises dans OpenSSL. Renseignez les champs obligatoires : au moins Common name (le nom de domaine, par exemple, synology.jannie.fr), et Country (par ex. FR). Pour terminer la demande, collez le contenu de votre CSR dans la commande de SSLmarket.
Synology utilise également Apache (pour le service web). La procédure à suivre pour générer la CSR et modifier les paramètres (manuellement) via SSH est décrite dans l'article Installer un certificat SSL sur le serveur Apache.
Installer un certificat dans une ancienne version de DSM
Les anciennes versions du système DSM vous permettent l'importation du certificat et de la clé, bien qu'elles ne puissent pas générer de demande CSR.
Si le dialogue n'apparaît pas, l'utilisateur avancé peut trouver la clé privée et le certificat existant et remplacer les fichiers par le nouveau certificat. Redémarrez le serveur pour que le nouveau certificat soit activé. Le certificat sera probablement enregistré dans le dossier: /usr/syno/etc/ssl ou /usr/local/ssl/server.
NAS Synology avec DSM 7.0
DSM est un système d'exploitation de NAS Synology et une interface graphique dans laquelle nous gérons le NAS et contrôlons son fonctionnement via un navigateur.
Installer un certificat SSL sur Synology
La version de DSM 7.0 vous permet de générer une CSR avec l'assistant. Les fichiers de CSR et la clé privée sont téléchargés dans votre ordinateur. La CSR va être utilisée pour l'émission du certificat et doit être collée dans la commande de certificat. La clé privée sera requise lors de l'importation du certificat sur le NAS.
Sauvegardez la clé privée.
Connexion au NAS
Connectez-vous à votre NAS et sélectionnez Panneau de Configuration.
Accédez à Panneau de configuration > Sécurité.
Créer une demande de CSR dans l'assistant
Pour créer une demande de signature de certificat, ouvrez Panneau de configuration > Sécurité > CSR > Créer une demande de signature de certificat (CSR). L'assistant "Créer une demande de signature de certificat" s'ouvre, renseignez les informations. Choisissez la longueur de 2048 bits et générez la demande.
La demande de CSR est stockée avec la clé privée dans un fichier ZIP. Enregistrez-le.
Importer un certificat SSL et la clé privée
Pour importer le certificat émis par l'autorité de certification : sélectionnez Sécurité > Certificat > Ajouter > Importer.
Sélectionnez "Ajouter un nouveau certificat". Insérez la clé privée, le certificat et le certificat intermédiaire (vous l'avez reçu par e-mail). Les certificats intermédiaires sont indispensables pour assurer la connexion sécurisée.
Certificat intermédiaire et le niveau de sécurité
La connexion sécurisée est basée sur la chaîne de confiance. L'absence des certificats intermédiaires sur le serveur peut entraîner les alertes de sécurité dans les navigateurs (en particulier sur les téléphones portables).
Redémarrage du NAS
Une fois le nouveau certificat SSL importé, la partie web de NAS va être redémarré et le serveur utilisera le nouveau certificat.
Nous sommes désolés que vous n'ayez pas trouvé les informations que vous recherchiez.
Aidez-nous à améliorer cet article. Vous cherchez autre chose ? N'hésitez pas à nous écrire.