Certificat

Un certificat peut être utilisé pour sécuriser les services SSL du DiskStation, tels que web (tous les services HTTPS), messagerie ou FTP. Avoir un certificat permet aux utilisateurs de valider l'identité d'un serveur et de l'administrateur avant d'envoyer des informations confidentielles.

Dans Panneau de configuration > Sécurité > Certificat, vous pouvez effectuer les actions suivantes :

Vous procurer un certificat auprès de Let's Encrypt.
Créer un certificat auto-signé.
Créer des demandes de signature de certificats auprès d'autres autorités de certification (CA).
Signer des demandes de signature de certificat provenant d'autres demandeurs
Gérer des certificats sur votre DiskStation.

Remarque :

À partir de DSM 6.0, vous pouvez créer et importer plusieurs certificats sur votre DiskStation.
Si vous cliquez sur Configurer comme certificat par défaut, le certificat en cours de traitement est utilisé comme certificat par défaut. Le certificat original par défaut perd son statut de valeur par défaut.

Certificats de Let's Encrypt

Pour vous procurer un certificat auprès de Let's Encrypt :

Vous pouvez vous procurer automatiquement des certificats SSL/TLS gratuits et sécurisés auprès de Let's Encrypt, un organisme de certification libre et très fiable.

Cliquez sur Ajouter.
Sélectionnez Ajouter un nouveau certificat et cliquez sur Suivant.
Sélectionnez Procurez-vous un certificat auprès de Let's Encrypt.
Spécifiez les informations suivantes :
- Nom de domaine : Saisissez le domaine que vous avez enregistré à partir du fournisseur de domaine.
- E-mail : Saisissez l'adresse e-mail utilisée pour l'enregistrement des certificats.
- Nom alternatif du sujet : Pour autoriser un certificat à couvrir plusieurs domaines, saisissez ici les autres noms de domaine.
Cliquez sur Appliquer pour enregistrer les paramètres. Après confirmation, le certificat est instantanément importer sur votre DiskStation.

Remarque :

Vous ne pouvez enregistrer des certificats de Let's Encrypt qu'avec un nombre limité de comptes de messagerie. Si vous dépassez la limite, utilisez un compte de messagerie précédemment enregistré pour obtenir davantage de certificats
Vous ne pouvez enregistrer qu'un nombre limité de certificats par domaine provenant de Let's Encrypt. Si vous dépassez la limite, saisissez le nom de domaine actuel comme Nom alternatif du sujet (SAN) et utilisez un autre nom de domaine pour la demande de certificat.
Let's Encrypt procédera à une validation des domaines avant d'émettre les certificats de vos domaines. Vérifiez que le port 80 de votre DiskStation et du routeur est ouvert pour la validation de domaine depuis Internet. Toutes les autres communications avec Let's Encrypt passent par HTTPS et préservent la sécurité de votre DiskStation.
Les certificats émis par Let's Encrypt sont valides 90 jours. DSM renouvelle automatiquement les certificats avant qu'ils n'expirent si la validation du domaine s'est effectuée avec succès. Vérifiez que le port 80 de votre DiskStation et du routeur est ouvert pour le renouvellement des certificats.

Certificats auto-signés

Un certificat auto-signé est un certificat créé et signé par la même entité dont il certifie l'identité (dans ce cas, le DiskStation). Les certificats auto-signés sont signés avec la clé privée générée par le DiskStation. Parce que les certificats auto-signés ne sont pas émis par des autorités de certification tierces, ils offrent moins d'assurance sur l'identité du serveur et ne sont généralement utilisés que pour sécuriser les canaux entre le serveur et un groupe d'utilisateurs connus.

Pour créer des certificats auto-signés :

Cliquez sur Ajouter.
Sélectionnez Ajouter un nouveau certificat et cliquez sur Suivant.
Sélectionnez Créer un certificat auto-signé.
Suivez les instructions de l'assistant d'installation.

Demandes de signature de certificat (CSR)

Outre les certificats provenant de Let's Encrypt et les certificat auto-signés, vous pouvez également demander des certificats provenant d'autres autorité de certification commerciales ou tierces. Pour vous procurer un certificat, vous pouvez être amené à effectuer les deux actions suivantes :

Créer une demande de signature de certificat (CSR) : Un corps de texte crypté généré par le DiskStation contenant des informations qui sont incluses dans votre certificat comme votre nom de domaine, nom de l'organisation, emplacement général et adresse email.
Fournir vos identifiants personnels ou ceux de l'organisation, et prouver que vous êtes le propriétaire du nom de domaine qui a été saisi dans le champ nom commun de la demande de signature de certificat.

Pour créer des demandes de signature de certificat :

Cliquez sur CSR.
Sélectionnez Créer une demande de signature de certificat (CSR).
Suivez les instructions de l'assistant d'installation pour créer et télécharger la demande de signature de certificat.
Envoyez la CSR et les informations nécessaires à l'autorité de certification pour confirmation.

Lorsque vous recevez le certificat demandé émis par l'autorité de certification, vous pouvez l'importer avec votre clé privée.

Remarque :

Une clé privée doit également être générée en même temps que la demande de signature de certificat. Les autorités de certification n'ont pas besoin de cette clé privée. Veuillez conserver la clé privée de votre DiskStation en sécurité et hors d'atteinte.

Pour signer des demandes de signature de certificat :

Les utilisateurs et d'autres périphériques peuvent envoyer des demandes de signature de certificats afin de tenir un accès certifié à votre DiskStation. Vous pouvez signer leurs demandes à l'aide du certificat racine du DiskStation, et envoyer les certificats générés aux demandeurs.

Cliquez sur CSR.
Cliquez sur Identifier une demande de signature de certificat (CSR).
Transférez la demande de signature de certificat et entrez l'information appropriée.
Cliquez sur Suivant et le système signe la demande de certificat et crée un certificat correspondant.

Gestion des certificats

Pour importer des certificats :

Vous pouvez importer un certificat précédemment exporté ou un certificat provenant d'une autorité de certification commerciale ou tierce, avec une clé privée, pour que votre DiskStation soit considéré comme fiable par d'autres périphériques.

Cliquez sur Ajouter.
Sélectionnez Ajouter un nouveau certificat et cliquez sur Importer le certificat.
Suivez les instructions de l'assistant pour finaliser l'importation du certificat.

Remarque :

Les certificats intermédiaires sont optionnels pour les certificats émis par certaines autorités de certification.
Les certificats doivent être de format X.509 PEM.
Les clés privées doivent être au format RSA et ne peuvent pas être protégées par des phrases d'authentification.

Pour exporter des certificats :

Il est possible de télécharger des certificats existants à des fins de gestion ou d'archivage, et il est également possible de les importer sur les périphériques d'autres utilisateurs afin de développer une confiance entre votre DiskStation et leurs périphériques. Le fichier exporté contient le certificat, la clé privée et le certificat racine auto-signé du DiskStation.

Sélectionnez le certificat souhaité.
Cliquez sur Exporter le certificat.

Pour renouveler des certificats :

Lorsque votre certificat est sur le point d'expirer, il peut être renouvelé à l'aide de cette option.

Cliquez sur CSR.
Sélectionnez Renouveler le certificat et cliquez sur Suivant.
Téléchargez la clé privée générée et la demande de signature de certificat.
Envoyez la CSR à l'autorité de certification souhaitez pour obtenir un certificat renouvelé.

Pour remplacer des certificats :

Si vous ne souhaitez pas utiliser des certificats existants, vous pouvez les remplacer par d'autre certificat.

Cliquez sur Ajouter.
Sélectionnez Remplacer un certificat existant et le certificat indésirable à partir du menu déroulant.
Suivez les instructions de l'assistant pour finaliser le remplacement du certificat.

Pour modifier des certificats :

Vous pouvez modifier la description d'un certificat ou définir un autre certificat comme certificat par défaut.

Sélectionnez le certificat souhaité.
Cliquez sur Modifier, et vous pouvez effectuer l'une des actions suivantes :
- Changer la description du certificat et cliquer sur OK.
- Sélectionner Configurer comme certificat par défaut pour lui affecter le statut par défaut et cliquer sur Appliquer.

Pour configurer des certificats :

Vous pouvez modifier un certificat pour un service sur un autre certificat pour répondre à vos besoins.

Cliquez sur Configurer pour afficher tous les services et les certificats correspondants.
Cliquez sur le certificat actuel du service ciblé.
Sélectionnez le certificat approprié à partir du menu déroulant.
Cliquez sur OK.

Remarque :

Le certificat Défaut système s'applique à la connexion qui ne se trouve pas dans la liste des services.

Pour supprimer des certificats :

Sélectionnez le certificat indésirable.
Cliquez sur Supprimer pour finaliser la suppression du certificat.

Remarque :

Le certificat par défaut ne peut pas être supprimé.
Si vous supprimez un certificat qui n'est pas le certificat par défaut, le certificat par défaut se charge des services correspondants. Soyez vigilant quant au fait que le certificat par défaut pourrait ne pas être entièrement compatible avec ces services.