NAS Asustor : Installer un certificat Let’s Encrypt

I. Présentation

Let's Encrypt est une autorité de certification ouverte dont l'ISRG est à l'origine et qui n'a pas pour objectif de réaliser des profits, d'ailleurs elle vous permet d'obtenir un certificat de sécurité gratuitement. A l'heure du HTTPS, ce projet tombe à pic si vous ne souhaitez pas débourser d'argent dans un certificat (bien qu'il y ait différents niveaux de sécurité dans les certificats), pour le mettre sur son NAS à la maison ce sera parfait ! Et en plus, ça permettra de sécuriser vos connexions avec un véritable certificat.

logo-asustor30Let's Encrypt va nous permettre d'obtenir un certificat X.509 pour le protocole TLS, de manière gratuite et automatisée, car le processus est transparent de notre côté (création, validation, signature, etc.).

Depuis la version ADM 2.6.2 du système d'exploitation pour les NAS Asustor, il est possible de créer automatiquement un certificat Let's Encrypt pour son NAS, depuis l'interface du NAS. C'est d'ailleurs cette fonctionnalité qui fait l'objet de ce tutoriel, la finalité sera d'avoir un certificat installé sur notre NAS et qui sécurise les connexions. De son côté, Synology a également intégré cette possibilité sur son système d'exploitation DSM, ce sont d'ailleurs les deux seuls fabricants à proposer cette fonctionnalité pour le moment.

II. Préparer son NAS : Ouvrir le port 80

Lors du processus de création du certificat, une connexion doit s'effectuer entre Let's Encrypt et votre NAS, pour cela le NAS doit avoir un serveur web accessible sur le port 80. Ceci est temporaire le temps de la création du certificat, pas de panique 🙂

Pour activer le serveur web sur le port 80, rendez-vous dans "Services" sur l'interface de l'ADM, puis dans "Serveur Web" cochez la case "Activer serveur Web". Veillez à ce que le port d'écoute soit 80.

asustor-lets-encrypt-8

Le routeur/firewall doit être configuré pour qu'en accédant à votre nom de domaine (qui doit avoir votre IP publique enregistrée dans les DNS) sur le port 80 on tombe sur le serveur web du NAS. Pour cela, si vous utilisez la fonctionnalité EZ-Routeur du NAS effectuez la configuration depuis l'ADM, sinon je vous laisse effectuer la configuration sur votre équipement.

L'objectif est de rediriger le port 80 externe vers le port 80 à destination du NAS.

Pour rappel, l'EZ-Routeur est accessible dans "Paramètres" puis "Accès facile". La règle créée doit être semblable à celle ci-dessous :

asustor-lets-encrypt-9

Une fois que la redirection est en place, vous pouvez tester depuis un navigateur et vous devez obtenir cette page :

asustor-lets-encrypt-10

Si c'est le cas, c'est tout bon, vous pouvez passer à la suite ! 😉

III. Générer et installer le certificat Let's Encrypt

On va s'attaquer à la partie Let's Encrypt, où il est nécessaire d'accéder au "Gestionnaire de certificat" au sein des "Paramètres" sur l'image ci-dessous, et cliquez sur "Ajouter" pour démarrer l'assistant de création d'un nouveau certificat.

Avant de commencer, pour ceux que ça intéresse voici la liste officiel des DDNS supportés : Public Suffix DDNS

asustor-lets-encrypt-1

Cochez "Créer un nouveau certificat" et nommez-le comme vous le souhaitez, je vous conseille d'utiliser le nom de domaine comme nom pour le certificat.

Il est à noter que pour le moment, vous ne pouvez pas configurer un certificat Let's Encrypt avec un sous-domaine à "myasustor.com" proposé au sein des NAS Asustor. Pour ma part, j'utilise un nom de domaine avec l'extension ".ovh".

Au passage pour que le certificat devienne le certificat principal sur le NAS, cochez la case "Définir comme certificat par défaut".

asustor-lets-encrypt-2

Sélectionnez "Créer certificat à partir de Let's Encrypt" et poursuivez.

asustor-lets-encrypt-3

Nous voilà à la dernière étape de la création, indiquez votre nom de domaine, une adresse e-mail valide, et le tour est joué.

Note : Si vous le souhaitez, vous pouvez enregistrer un certificat pour votre domaine principal ainsi que pour différents sous-domaines qui utilisent ce domaine racine, pour cela il faudra remplir la zone "Nom Alternatif Sujet" avec un sous-domaine par ligne. Ceci peut être intéressant notamment si vous voulez avoir différents sous-domaine qui pointent vers diverses applications sur le NAS.

Par exemple, le nom de domaine est "it-connect.fr" et les sous-domaines peuvent être : plex.it-connect.fr, proxy.it-connect.fr, mail.it-connect.fr, photos.it-connect.fr, etc... Selon vos besoins.

Cliquez sur "Finir" une fois que les différents champs sont remplis.

asustor-lets-encrypt-4

Si tout est OK, vous obtiendrez un message "Succès", si ce n'est pas le cas, cliquez à nouveau sur "Finir" pour retenter l'opération. Si vraiment ça ne fonctionne toujours pas, décochez l'option qui permet de mettre à jour automatiquement le certificat, car lors de mes différents tests j'ai vu qu’elle pouvait poser problème (pour le moment).

asustor-lets-encrypt-5

Au sein du gestionnaire de certificat, notre certificat Let's Encrypt apparaît, on voit qu'il est valide pour 3 mois et il pourra être renouvelé automatiquement si vous avez coché l'option lors de la création.

asustor-lets-encrypt-6

Si l'on se connecte à son NAS en HTTPS, on peut voir que la connexion est désormais sécurisée ! Le certificat est vérifié par l'autorité de certification Let's Encrypt, ce qui est logique compte tenu de la configuration effectuée.

asustor-lets-encrypt-7

Voilà, votre NAS dispose désormais d'un véritable certificat pour sécuriser le flux HTTPS avec un certificat valide et vérifié. Au fait, pensez à supprimer l'ouverture de port du 80, ce n'est plus utile de la conserver maintenant que le certificat est là 😉

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Co-Fondateur d’IT-Connect, je souhaite partager mes connaissances et expériences avec vous, et comme la veille techno’ est importante je partage aussi des actus.

florian a publié 1614 articles sur IT-Connect.See all posts by florian

9 réactions sur “NAS Asustor : Installer un certificat Let’s Encrypt

  • 01/08/2016 à 11:15
    Permalink

    Bonjour,

    Merci pour cet article. Tu sembles bien connaître les Asustor et les Synology. Peux-tu faire un comparatif entre les 2 ? points forts / faibles

    Merci

    Répondre
  • 01/08/2016 à 13:40
    Permalink

    Salut
    Merci pour l’article, dans mon interface ovh, j’ai trouvé une possibilité d’avoir HTTPS gratuit Mais j’aimerais savoir c’est quoi les actions à faire pour le référencement puisque les liens externes sont en « http » et j’aimerais savoir si ce certificat est toujours gratuit ou juste pour 12 mois.
    Merci

    Répondre
  • 19/08/2016 à 11:07
    Permalink

    Bonjour,
    Sur mon AS6102T impossible de générer un certificat via Let’s Encrypt.
    Le port 80 et 443 sont bien ouverts vers le NAS.
    Mais dès que je renseigne un email dans le formulaire de création j’obtiens toujours ce message : Mail is not correct (Ref. 5016), et ce quel que soit l’email saisi.
    Du coup je suis passé par ce site https://gethttpsforfree.com/ pour généré mon certificat.
    Ce fut fastidieux.
    Ce qui pose un problème sur le renouvellement automatique car faire ceci tous les 3 mois…
    Si vous avez une solution je suis preneur.

    Merci.

    Répondre
    • 19/08/2016 à 20:49
      Permalink

      Bonsoir Nicolas,

      En effet j’imagine que tu as dû t’amuser pour générer ton certificat… C’est surprenant je n’ai pas eu ce problème lié à l’adresse e-mail, lors de la création je n’ai même pas utilisé un e-mail avec le même domaine que le domaine pour lequel je souhaitais un certificat, et c’est passé.

      Tu as essayé de voir avec le support Asustor ?

      La validité de 3 mois ça fait peu, il faudrait minimum 6 mois car là ça revient trop vite.

      Florian

      Répondre
    • 24/08/2016 à 07:38
      Permalink

      Hi, im Stefan from Germany.
      i do not speak french but google translater works fine for me.

      I have the same Problem and open a ticket by Asustor.

      Here’s the answer from support:

      For the issue mentioned, we find there is issue with the Let’s encrypt function in current ADM release.
      The issue was reported to our engineer team and it will be fixed in our next ADM upgrade.
      My apology for the inconvenience.

      Répondre
  • 14/09/2016 à 15:27
    Permalink

    Hello,

    Depuis la MAJ d’ADM 2.6.4.R9C2, il est possible de générer un certificat pour xxx.myassustor.com 🙂

    Répondre
  • 07/02/2017 à 14:38
    Permalink

    Hello
    Après avoir bien galéré, il manque ici 2 précisions TRES utiles:

    – Le changement du Numéro de port plante l’opération. exemple : vous avez le port http du serveur web configuré à 8030 sur le NAS, et vous mappez le port 80 externe vers le port 8030 interne… CA NE FONCTIONNE PAS. Le port du NAS doit etre sur 80 et le mapping doit se faire de port externe 80 a port interne 80. Il est possible que ça fonctionne sur un autre port à condition qu’il soit mappé avec le même numéro.( j’imagine que la raison de l’échec, c’est que le NAS doit dialoguer avec let’s encrypt et envoyer un message du genre « hello, je suis en http sur le port xxxx, tu peux vérifier… », ce qui expliquerai pourquoi ça rate si le numero de port est changé par le routeur.

    – Attention a l’utilisation de network defender, et en particulier de l’activation d’une white list basée sur les pays. Je n’ai pas testé car désactivé la white list en pensant que d’abord que c’était mon soucis avant de tester l’histoire du mapping de port, mais ça pourrait bien être une source d’ennui.

    Bon courage.

    Répondre
  • 07/02/2017 à 22:32
    Permalink

    Au fait, je reviens avec une petite question : au bout de 3 mois, pour le renouvellement automatique, il n’y a rien à faire ? Je veux dire : pas la peine de remettre en ligne le site web sur http/80 la journée où ça expire ?

    Répondre
  • 28/07/2017 à 08:38
    Permalink

    ya pas de suivi ici ?
    J’ai ma réponse. si ça intéresse quelqu’un , il n’a qu’à faire signe.

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *