Let's Encrypt : utiliser le Subject Alternative Name pour le domaine interne

Le problème

Vous ne possédez pas le nom de domaine mynas.local Il est donc évident que Let's Encrypt ne signera pas un certificat indiquant que vous êtes propriétaire de ce domaine. S'ils signaient de tels certificats, les navigateurs cesseraient très vite de faire confiance à Let's Encrypt.

Ce que vous devez faire, c'est utiliser votre propre nom de domaine pour accéder au NAS, quel que soit l'endroit d'où vous y accédez. Ce n'est pas seulement à cause du certificat, c'est aussi parce que c'est plus pratique si vous avez des appareils mobiles qui doivent accéder au NAS à la fois de l'intérieur de votre LAN et de l'extérieur.

Il semble que vous ayez un NAT sur votre réseau qui vous empêche de faire pointer votre nom de domaine vers l'IP de votre NAS. Si vous n'utilisiez pas de NAT, cela fonctionnerait tout simplement.

La solution

La solution idéale est d'utiliser un réseau sans NAT. Vous pouvez toujours avoir un pare-feu bloquant les connexions de l'extérieur à tout sauf au port HTTPS du NAS, si vous le souhaitez.

Il est peu probable que votre fournisseur d'accès vous donne suffisamment d'adresses IPv4 pour une telle configuration. Si vous voulez procéder de cette manière, vous devez donc le faire avec IPv6.

Vous pouvez configurer votre réseau local de manière à ce que l'IPv4 soit NATé par votre passerelle et que l'IPv6 soit acheminé sans NAT. Pour le nom que vous avez choisi pour votre NAS, vous pouvez alors créer un enregistrement A pointant vers votre NAT et un enregistrement AAAA pointant vers le NAS.

Les clients de votre LAN auront alors un chemin IPv6 directement vers le NAS et devraient préférer utiliser l'enregistrement AAAA. L'utilisation de l'adresse IPv4 impliquerait une NAT en épingle à cheveux, mais elle ne serait utilisée que comme solution de secours en cas d'échec de la connexion IPv6. Étant donné que le client et le NAS sont à un seul saut l'un de l'autre, sans routeur entre eux, il devrait être rare que la connectivité IPv6 échoue.

Les clients extérieurs à votre réseau local utiliseront IPv4 ou IPv6 en fonction du réseau auquel ils sont connectés. S'ils se trouvent sur un réseau uniquement IPv4, ils devront passer par la redirection de port sur votre NAT, que vous devez laisser configurée comme elle l'est actuellement.

Une solution de contournement

Si votre FAI ne prend pas encore en charge IPv6, il n'y a pas de solution propre à votre problème. Cependant, il existe toujours des solutions de contournement possibles.

Vous pouvez configurer votre propre serveur DNS sur la passerelle NAT. Ce serveur DNS devra se considérer comme faisant autorité pour votre domaine et être récursif pour tout le reste. Ce serveur DNS devra distribuer des adresses locales lorsqu'on lui demandera votre domaine.

Les clients du réseau local recevront une adresse IP locale et se connecteront directement au NAS. Les clients en dehors de votre réseau local n'utiliseront pas le serveur DNS de votre passerelle NAT, mais recevront des réponses du serveur faisant réellement autorité et pointant vers votre adresse IP externe.

C'est impossible parce que vous ne possédez pas mynas.local ce domaine sur l'internet (c'est-à-dire la propriété).

Suite à la réponse de kasperd, voici un exemple de la solution de contournement.

J'ai utilisé le DNS pour résoudre ce problème dans mon réseau domestique. J'utilise un pi-hole pour fournir mon service DNS sur un RaspberryPi. Dans le tableau de bord, choisissez 'Local DNS Records' et mettez le fichier mynas.synology.me comme le nom d'hôte avec son adresse IP.

J'utilise l'agent 'Synology Active backup for business' pour protéger mes PC locaux. Lorsque le certificat change, les sauvegardes s'arrêtent car l'agent doit créer une exception pour le nouveau certificat. Cela devrait permettre à mes sauvegardes de continuer à fonctionner, même lorsque le certificat change.

Let's Encrypt (ou toute autre autorité de certification publique, en fait) ne vous donnera pas de certificat pour un domaine à moins que vous ne puissiez prouver que vous en êtes le propriétaire légitime ; c'est là tout le problème. raison d'être des certificats : prouver aux clients qu'ils se connectent réellement aux serveurs qu'ils recherchent ; si n'importe qui pouvait obtenir des certificats de confiance pour n'importe quel domaine, ils seraient complètement inutiles.

Comme d'autres l'ont dit, une solution consiste à utiliser un domaine que vous possédez réellement ; vous obtenez un certificat pour celui-ci, l'installez sur le NAS et faites pointer votre DNS interne vers celui-ci, de sorte que lorsque votre navigateur tente de se connecter à "nas.mondomaine.com", il se dirige vers l'adresse IP interne du NAS (et y trouve un certificat valide).

Une autre solution consiste à mettre en place une autorité de certification interne, à s'assurer que votre navigateur lui fait confiance et à l'utiliser pour créer le certificat de votre NAS ; cela vous permettrait de créer des certificats pour les éléments suivants tout (mais bien sûr, vous êtes le seul à leur faire confiance). Cela nécessiterait cependant un serveur sur lequel faire tourner l'autorité de certification (c'est un rôle intégré dans les serveurs Windows, il existe sûrement des solutions similaires pour Linux).

Toutefois, à mon avis, la solution la plus simple consiste à créer un certificat auto-signé, à l'installer sur votre NAS et à dire à votre navigateur de lui faire confiance ; le navigateur cessera ainsi de se plaindre. La façon de procéder dépend du navigateur et du système d'exploitation que vous utilisez.