Certificat
Un certificat peut être utilisé pour sécuriser les services SSL du DiskStation, tels que le Web (tous les services HTTPS), la messagerie ou FTP. Avoir un certificat permet aux utilisateurs de valider l'identité d'un serveur et de l'administrateur avant d'envoyer des informations confidentielles.
Dans Panneau de configuration > Sécurité > Certificat, vous pouvez effectuer les actions suivantes :
- Vous procurer un certificat auprès de Let's Encrypt.
- Créer un certificat auto-signé.
- Créer des demandes de signature de certificats auprès d'autres autorités de certification (CA).
- Signer des demandes de signature de certificat provenant d'autres demandeurs.
- Gérer des certificats sur votre DiskStation.
Remarque :
- À partir de DSM 6.0, vous pouvez créer et importer plusieurs certificats sur votre DiskStation.
- Si vous cochez la case Configurer comme certificat par défaut, le certificat en cours de traitement est utilisé comme certificat par défaut. Le certificat original par défaut perd son statut de valeur par défaut.
Certificats de Let's Encrypt
Pour vous procurer un certificat auprès de Let's Encrypt :
Vous pouvez obtenir automatiquement des certificats SSL/TLS gratuits et sécurisés auprès de Let's Encrypt, une autorité de certification ouverte et fiable.
- Cliquez sur Ajouter.
- Sélectionnez Ajouter un nouveau certificat et cliquez sur Suivant.
- Sélectionnez Se procurer un certificat auprès de Let's Encrypt.
- Saisissez les informations suivantes :
- Cliquez sur Appliquer pour enregistrer les paramètres. Après confirmation, le certificat est instantanément importé sur votre DiskStation.
Remarque :
- Vous ne pouvez enregistrer des certificats de Let's Encrypt qu'avec un nombre limité de comptes de messagerie. Si vous dépassez la limite, utilisez un compte de messagerie précédemment enregistré pour obtenir davantage de certificats.
- Vous ne pouvez enregistrer qu'un nombre limité de certificats par domaine provenant de Let's Encrypt. Si la limite est dépassée, procédez de l'une des façons suivantes :
- Saisissez le nom de domaine actuel comme Nom alternatif du sujet (Subject Alternative Name ou SAN) et utilisez un autre nom de domaine pour effectuer une demande de certificat.
- Saisissez
*.NOM_DE_DOMAINE_SYNOLOGY_DDNS
comme SAN à appliquer pour effectuer une demande de certificat générique.
- Let's Encrypt procédera à une validation des domaines avant d'émettre des certificats pour vos domaines. Vérifiez que le port 80 de votre DiskStation et du routeur est ouvert pour pouvoir valider les domaines depuis Internet. Toutes les autres communications avec Let's Encrypt passent par HTTPS afin de préserver la sécurité de votre DiskStation.
- Les certificats émis par Let's Encrypt sont valides pendant 90 jours. DSM renouvelle automatiquement les certificats avant qu'ils n'expirent si la validation du domaine s'est effectuée avec succès. Vérifiez que le port 80 de votre DiskStation et du routeur est ouvert afin de pouvoir renouveler les certificats.
- Les certificats génériques ne sont pris en charge que pour le service Synology DDNS.
Certificats auto-signés
Un certificat auto-signé est un certificat créé et signé par la même entité dont il certifie l'identité (dans ce cas, le DiskStation). Les certificats auto-signés sont signés avec la clé privée générée par le DiskStation. Étant donné que les certificats auto-signés ne sont pas émis par des autorités de certification tierces, ils offrent moins d'assurance sur l'identité du serveur et ne sont généralement utilisés que pour sécuriser les canaux entre le serveur et un groupe d'utilisateurs connus.
Pour créer des certificats auto-signés :
- Cliquez sur Ajouter.
- Sélectionnez Ajouter un nouveau certificat et cliquez sur Suivant.
- Sélectionnez Créer un certificat auto-signé.
- Suivez les instructions de l'assistant d'installation.
Demandes de signature de certificat (CSR)
Outre les certificats provenant de Let's Encrypt et les certificat auto-signés, vous pouvez également demander des certificats provenant d'autres autorités de certification commerciales ou tierces. Pour vous procurer un certificat, vous pouvez être amené à effectuer les actions suivantes :
- Créer une demande de signature de certificat (CSR) : Un corps de texte chiffré généré par le DiskStation contenant des informations qui sont incluses dans votre certificat comme votre nom de domaine, nom de l'organisation, emplacement général et adresse e-mail.
- Fournissez vos identifiants personnels ou ceux de l'organisation, et prouvez que vous êtes le propriétaire du nom de domaine qui a été saisi dans le champ de nom commun de la demande de signature de certificat.
Pour créer des demandes de signature de certificat :
- Cliquez sur CSR.
- Sélectionnez Créer une demande de signature de certificat (CSR).
- Suivez les instructions de l'assistant d'installation pour créer et télécharger la demande de signature de certificat.
- Envoyez la CSR et les informations nécessaires à l'autorité de certification pour confirmation.
Lorsque vous recevez le certificat demandé émis par l'autorité de certification, vous pouvez l'importer avec votre clé privée.
Remarque :
Une clé privée doit également être générée en même temps que la demande de signature de certificat. Les autorités de certification n'ont pas besoin de cette clé privée. Veuillez conserver la clé privée de votre DiskStation en sécurité.
Pour signer des demandes de signature de certificat :
Les utilisateurs d'autres périphériques peuvent envoyer des demandes de signature de certificat afin d'obtenir un accès certifié à votre DiskStation. Vous pouvez signer leurs demandes à l'aide du certificat root du DiskStation, et envoyer les certificats générés aux demandeurs.
- Cliquez sur CSR.
- Cliquez sur Signer une demande de signature de certificat (CSR).
- Chargez la demande de signature de certificat et saisissez les informations appropriées.
- Cliquez sur Suivant, le système signera la demande de certificat et créera un certificat correspondant.
Gestion des certificats
Pour importer des certificats :
Vous pouvez importer un certificat précédemment exporté ou un certificat provenant d'une autorité de certification commerciale ou tierce, avec une clé privée, pour que votre DiskStation soit considéré comme fiable par d'autres périphériques.
- Cliquez sur Ajouter.
- Sélectionnez Ajouter un nouveau certificat et Importer le certificat.
- Suivez les instructions de l'assistant pour finaliser l'importation du certificat.
Remarque :
- Les certificats intermédiaires sont optionnels pour certains certificats émis par des autorités de certification.
- Les certificats doivent être au format X.509 PEM.
- Les clés privées doivent être au format RSA et ne peuvent pas être protégées par des phrases de passe.
Pour exporter des certificats :
Il est possible de télécharger des certificats existants à des fins de gestion ou d'archivage et il est également possible de les importer sur les périphériques d'autres utilisateurs afin d'établir un lien de confiance entre votre DiskStation et leurs périphériques. Le fichier exporté contient le certificat, la clé privée et le certificat root auto-signé du DiskStation.
- Sélectionnez le certificat souhaité.
- Cliquez sur Exporter le certificat.
Pour renouveler des certificats :
Lorsque votre certificat est sur le point d'expirer, il peut être renouvelé à l'aide de cette option.
- Cliquez sur CSR.
- Sélectionnez Renouveler le certificat et cliquez sur Suivant.
- Téléchargez la clé privée générée et la demande de signature de certificat.
- Envoyez la CSR à l'autorité de certification souhaitez pour obtenir un certificat renouvelé.
Pour remplacer des certificats :
Si vous ne souhaitez pas utiliser les certificats existants, vous pouvez les remplacer par d'autres certificats.
- Cliquez sur Ajouter.
- Sélectionnez Remplacer un certificat existant et le certificat indésirable dans le menu déroulant.
- Suivez les instructions de l'assistant pour finaliser le remplacement du certificat.
Pour modifier des certificats :
Vous pouvez modifier la description d'un certificat ou définir un autre certificat comme certificat par défaut.
- Sélectionnez le certificat souhaité.
- Cliquez sur Modifier, et vous pouvez effectuer l'une des actions suivantes :
- Modifiez la description du certificat, puis cliquez sur OK.
- Sélectionnez Configurer comme certificat par défaut pour lui affecter le statut par défaut et cliquez sur Appliquer.
Pour configurer des certificats :
Vous pouvez remplacer le certificat d'un service par un autre certificat pour répondre à vos besoins.
- Cliquez sur Configurer pour afficher tous les services et les certificats correspondants.
- Cliquez sur le certificat actuel du service ciblé.
- Sélectionnez le certificat approprié dans le menu déroulant.
- Cliquez sur OK.
Remarque :
- Le certificat Défaut système s'applique à la connexion qui ne se trouve pas dans la liste des services.
Pour supprimer des certificats :
- Sélectionnez le certificat indésirable.
- Cliquez sur Supprimer pour finaliser la suppression du certificat.
Remarque :
- Le certificat par défaut ne peut pas être supprimé.
- Si vous supprimez un certificat qui n'est pas le certificat par défaut, le certificat par défaut se charge des services correspondants. N'oubliez pas que le certificat par défaut peut ne pas être entièrement compatible avec ces services.
Pour réparer des certificats :
Lorsque des erreurs surviennent au niveau d'un certificat, les services enregistrés à l'aide de ce certificat sont inaccessibles. Choisissez parmi les options suivantes pour réparer le certificat :
- Procurez-vous un nouveau certificat. Auprès de Let's Encrypt, par exemple.
- Importez à nouveau le certificat.
- Remplacez le certificat associé aux services par un autre certificat.