Synology nom de domaine

[bret]

Bonjour à toutes et tous ,

je me pose une question ! j'héberge mon serveur Jellyfin sur mon DS 916+ depuis peu , j'ai opté dans un premier temps pour un domaine chez no.ip ( la formule gratuite renouvelable tout les mois) + certificat let's encrypt + reverse proxy pour accéder au serveur . depuis j'accéde à celui-ci ( dans les mêmes conditions) via synology.me ! quel est selon vous le meilleur choix car il me semble que je n'ai pas de renouvellement avec synology.me , le certificat est il renouvelé automatiquement ?

merci d'avanve pour vos conseils avisés

Bret

 

[zypos]

Avec un nom de domaine en Synology , le certificat est renouvelé automatiquement . Ce certificat est valable pour tous les sous-domaine que tu peux créer au fil de l'eau .

 

[bret]

donc il n'y a pas photo .... comme on dit ! ( peut être une expression un peu ancienne )

 

[CyberFR]

Personnellement après avoir panaché un certificat Let's Encrypt et un certificat Synology.me pour profiter de la wildcard de ce dernier, je suis revenu en arrière et j'ai abandonné le certificat Synology.me. Celui-ci me servait pour les paquets Synology (Audio Station, Synology Calendar, Synology Photo, etc) et toutes les applications en docker dépendaient du certificat Let's Encrypt.

Il n'est d'ailleurs pas facile de se débarrasser du certificat Synology.me car DSM ne l'autorise pas (pourquoi ?) et il faut en passer par SSH et vi.

 

[jeu2]

J'ai un certificat Let's Encrypt associé à mon nom de domaine Synology.me depuis des années et je n'ai jamais eu aucun problème. Ça fonctionne très bien, renouvellement automatique via le port 443. Fonctionne pour tout, app, script, docker, et entièrement gratuit, que des avantages.
Je parle bien d'un certificat Let's Encrypt obtenu via DSM avec le nom de domaine synology.me, et non pas d'un certificat auto signé qui n'a pas grand intérêt et que l'on peut supprimer très facilement, heureusement.

 

[zypos]

Il n'est d'ailleurs pas facile de se débarrasser du certificat Synology.me car DSM ne l'autorise pas

Je n'ai pas testé , mais on doit pouvoir supprimer le nom de domaine en Synology et donc le certificat lier . Pour l'accès au applis ( Calendar , dsm ,...) il suffit d'indiquer le nom de domaine personnalisé via le portail des Applications . Le pb avec des nom de domaine tiers c'est d'avoir un certificat wildcard pour pouvoir l'utiliser sur des sous-domaine .
Perso j'ai deux noms de domaine qui pointent sur mon NAS ; un en synology.me et un en .fr pris chez OVH chaque nom de domaine à son propre certificat et je peux utiliser l'un ou l'autre . Ce qui me permet d'avoir : file.toto.fr

 

[CyberFR]

Je parle bien d'un certificat Let's Encrypt obtenu via DSM avec le nom de domaine synology.me

Je pense que c'est soi un certificat Synology.me soit un certificat Let's Encrypt mais un certificat Synology.me ne peut pas être un certificat Let's Encrypt pour lequel tu choisis toi-même le nom de domaine après l'avoir acheté.

Perso j'ai deux noms de domaine qui pointent sur mon NAS ; un en synology.me et un en .fr pris chez OVH chaque nom de domaine à son propre certificat et je peux utiliser l'un ou l'autre

C'est ce que je faisais avant d'y renoncer.

Le pb avec des nom de domaine tiers c'est d'avoir un certificat wildcard pour pouvoir l'utiliser sur des sous-domaine .

Si, si, c'est possible mais un certificat wildcard n'est pas le top en matière de sécurité parce que toutes les demandes d'accès sur l'URL de la racine, par exemple camera.synology.me, aboutissent, même s'il n'existe pas d'entrée de ce type sur le NAS. Chez OVH j'ai des CNAME pour les services réellement utilisés et une tentative d'accès sur camera.ndd.fr est rejetée parce que le DNS du navigateur ne trouve rien et affiche un message du genre "Adresse inexistante".

 

[zypos]

toutes les demandes d'accès sur l'URL de la racine, par exemple camera.synology.me, aboutissent, même s'il n'existe pas d'entrée de ce type sur le NAS.

Un peu du mal à comprendre , et tu es rediriger sur quoi ?

 

[CyberFR]

Un peu du mal à comprendre , et tu es rediriger sur quoi ?

Je ne sais pas puisque je n'ai plus de certificat wildcard.
Un tel certificat peut poser problème s'il est utilisé sur plusieurs sites par exemple. Mais bon, chez moi la sécurité c'est ceinture et bretelles

 

[jeu2]

Je pense que c'est soi un certificat Synology.me soit un certificat Let's Encrypt mais un certificat Synology.me ne peut pas être un certificat Let's Encrypt pour lequel tu choisis toi-même le nom de domaine après l'avoir acheté.

Je n'ai rien acheté du tout. C'est gratuit sur un Synology.

 

[jeu2]

un certificat wildcard n'est pas le top en matière de sécurité parce que toutes les demandes d'accès sur l'URL de la racine, par exemple camera.synology.me, aboutissent, même s'il n'existe pas d'entrée de ce type sur le NAS

Aboutissent à une erreur, normal!

 

[CyberFR]

Je parle bien d'un certificat Let's Encrypt obtenu via DSM avec le nom de domaine synology.me, et non pas d'un certificat auto signé qui n'a pas grand intérêt et que l'on peut supprimer très facilement, heureusement.

Je n'ai rien acheté du tout. C'est gratuit sur un Synology.

C'est donc un certificat Synology et non Let's Encrypt.

Aboutissent à une erreur, normal!

Pourrais-tu stp faire une copie d'écran de l'erreur. Il serait inintéressant de savoir quel type d'erreur est généré par le navigateur dans ce cas.

 

[jeu2]

C'est donc un certificat Synology et non Let's Encrypt.

Clairement, tu ne connais pas du tout DSM. Il y a plein de tutos pour te former. Tu y apprendras les bases, dont l'utilisation du certificat Let's Encrypt fourni gratuitement sur les NDD Synology.

 

[CyberFR]

Clairement, tu ne connais pas du tout DSM. Il y a plein de tutos pour te former. Tu y apprendras les bases, dont l'utilisation du certificat Let's Encrypt fourni gratuitement sur les NDD Synology.

Tu sais, j'ai utilisé un certificat Let's Encrypt et un certificat Synology.me, les deux en parallèle, et je vois bien les différences qui existent entre eux.

Les certificats Synology.me, même s'ils sont délivrés par Let's Encrypt ne fonctionnent pas de la même manière que les certificats Let's Encrypt natifs. Pour ces derniers il faut acheter un nom de domaine que tu choisis librement sous réserve qu'il ne soit pas déjà attribué et l'enregistrer chez un registar comme OVH ou Infomaniak. À la suite de quoi il faut, chez le registar toujours, gérer les enregistrements A, NS, et CNAME pour ne parler que d'eux. Il n'y a pas d'enregistrement wildcard par défaut sauf si tu choisis délibérément d'en créer un. Et tu n'as pas besoin d'ouvrir en permanence ton compte Synology sur le NAS pour utiliser ton nom de domaine.

 

[jeu2]

Tu fais de grosses confusions et tu affirmes à tort des inepties par manque d'informations et de connaissances sur le sujet.
Personne n'ira lire le centre de connaissance Synology et les tutos à ta place.
Bon courage ^^

 

[zypos]

l'utilisation du certificat Let's Encrypt fourni gratuitement sur les NDD Synology.

+1 ; C'est bien un certificat let'S Encrypt qui est fourni par synology . Ce certificat de type "DDNS" s'applique donc au nom de domaine et à tous les sous-domaine sans paramétrage particulier

j'ai utilisé un certificat Let's Encrypt et un certificat Synology.me, les deux en parallèle, et je vois bien les différences qui existent entre eux.

Je fais cela depuis plusieurs années , et je ne vois pas trop la différence : c'est juste une question de nuance . Pour un nom de domaine tiers le certificat sera sur le nom de domaine "racine " : toto.fr . Si tu veux utiliser des sous-domaine il faut soit les mentionner dans " autre nom de l'objet " dans la création du certificat : file. toto.fr ; camera.toto.fr . Mais tu es limité dans le nb de sous-domaine et cela t'oblige à intervenir sur le certificat pour rajouter un sous-domaine .
Autre solution déployer le Docker "acme" qui permet la création des certificats et le renouvellement pour les sous-domaine.

il faut, chez le registar toujours, gérer les enregistrements A, NS, et CNAME pour ne parler que d'eux. Il n'y a pas d'enregistrement wildcard par défaut

Certes , mais cela n'a rien avoir avec les certificats SSL . L'enregistrement chez le régistar dépend de tes conditions de connections :
A pour une IPv4 Fixe , AAAA pour l'IPv6 , MX pour les serveur mail , les enregistrements CAME servent pour la création des sous-domaine et prennent une forme générique *toto.fr type CAME ce qui permet de rajouter des sous-domaine au fils de l'eau . Sans enregistrement CAME tu ne pourra pas créer de sous-domaine .

Note : Si j 'indique un sous-domaine inexistant sur mon NAS , je tombe sur le serveur Web . Normal car le serveur web est sur le port 443 , actif chez moi avec une seul page web dénouer d'intérêt . Je suppose que si je désactive le serveur web je vais avoir un retour d'erreur de la part du navigateur

 

[zypos]

Petit retour d'expérience : j'ai arrêter Web Station et fait un partage de connexion 4G avec un PC + smartphone
Si je tape en URL le nom de domaine racine : Ce site est inaccessible : normal car web station est désactivé
Si je tape en URL un nom de sous-domaine existant : j'ai bien accès à la page : Normal car rediriger par le reverse Proxy
Si je tape en URL un nom de sous-domaine qui n'excite pas : site inaccessible
Ce qui me parait normal et en contradiction avec ce qui est dit ici

toutes les demandes d'accès sur l'URL de la racine, par exemple camera.synology.me, aboutissent, même s'il n'existe pas d'entrée de ce type sur le NAS.

Au passage : chez OVH je n'ai pas d'enregistrement de type A ni AAAA car je n'ai pas d'IP_publique Fixe . Dans mon cas il faut créer un DynHost .

 

[CyberFR]

Si je tape en URL un nom de sous-domaine qui n'excite pas : site inaccessible

Comme quoi il m'arrive de dire des bêtises ! Merci pour le retour d'expérience.

Au passage : chez OVH je n'ai pas d'enregistrement de type A ni AAAA car je n'ai pas d'IP_publique Fixe . Dans mon cas il faut créer un DynHost .

Quand j'ai déménagé il y a quelques années j'avais un DDNS à l'époque chez OVH. Et il donnait la nouvelle IP du NAS sans problème, c'était biens le seul enregistrement fiable.