Accueil » Maison connectée » Synology » Comment générer un certificat HTTPS gratuit pour Jeedom ou Home Assistant sur un NAS Synology et faire du reverse proxy
Synology

Comment générer un certificat HTTPS gratuit pour Jeedom ou Home Assistant sur un NAS Synology et faire du reverse proxy

guide-synology-reverse-proxy-ssl-domotique-jeedom

La sécurisation de Jeedom, c’est primordial. Au domo-lab, nous mettons un point d’honneur à vous accompagner dans la configuration de votre domotique DIY Jeedom et la sécurisation est un sujet déjà longuement traité dans nos colonnes. En effet, nous proposons depuis plusieurs années un guide pour sécuriser Jeedom avec un certificat SSL qui offre à votre domotique un accès HTTPS chiffré et sécurisé de bout en bout pour éviter à un pirate d’intercepter vos données domotiques.

Lire aussi

jeedom-domotique-certificat-certbot-letsencrypt-ssl-secure-raspberrypi

Comment sécuriser l’accès à Jeedom en HTTPS avec un certificat SSL gratuit

Voilà déjà la troisième version de notre célèbre guide pour sécuriser l’accès à Jeedom installé plus communément sur un Raspberry Pi, mais cette procédure fonctionne également parfaitement sur une VM, un PC ou tout autre support qui héberge Jeedom. Toujours…


Si cette première méthode est toujours d’actualité et fonctionne très bien, certains d’entre vous sont peut-être allergiques à la ligne de commande et/ou disposent d’un NAS synology à la maison. Nous allons alors vous expliquer comment utiliser le NAS Synology de façon simple et rapide pour générer un certificat SSL pour votre Jeedom.

Mieux encore, nous verrons également comment mettre en place un Reverse Proxy, un procédé d’aiguillage vers un sous domaine associé à vos différents serveurs domestiques. Une gestion performante et simplifiée par le Synology qui se chargera de rediriger vos flux vers la bonne destination. Couplé à une certification Let’s Encrypt, c’est une solution très performante.

Si la mise en oeuvre de façon autonome nécessite quelques connaissances en réseau et une certaine logique des flux, nous allons une fois encore nous simplifier la tâche et vous accompagner avec un guide pas à pas. Alors laissez-vous guider.

Les prérequis au reverse proxy

Comme expliqué plus haut, le reverse proxy permet de rediriger les requêtes sur le réseau effectués depuis l’extérieur. Il est alors nécessaire de posséder un nom de domaine qui pointe vers votre adresse IP publique.

Un nom de domaine chez OVH par exemple, de type domoblog.ovh. Une fois votre nom de domaine OVH acquis, assurez-vous de disposer des deux entrées DNS suivantes:

L’entrée A doit faire correspondre votre nom de domaine avec votre adresse IP publique. L’entrée CNAME ainsi configurée avec un sous domaine * redirigera toutes les adresses avec un sous domaines dedans vers votre IP publique. Ainsi, il sera possible de créer une adresse pour Jeedom au format jeedom.domoblog.ovh, mais aussi un serveur web avec une adresse au format web.domoblog.ovh, le NAS avec une adresse nas.domoblog.ovh… Vous l’aurez compris, vous pourrez alors créer autant de sous domaines que vous le souhaitez.

Le second prérequis consiste à ouvrir les ports 80 et 443 sur votre routeur. Il s’agit plus généralement de la partie redirection de port de votre box internet. Si vous possédez une freebox par exemple, il est nécessaire de créer 2 règles.

Ici, on redirige le flux qui arrive d’internet sur le port 443 (https) vers le port 5001 du Synology, qui est son port d’écoute HTTPS. Nous verrons plus tard, qu’une fois le Reverse proxy en place, cette seule porte permettra d’accéder à toutes les ressources du réseau de façon sécurisée.

Pour une meilleure compréhension, voici un schéma de fonctionnement des flux :

A ce stade, nous avons les prérequis nécessaires pour joindre le NAS synology depuis l’extérieur. Notez toutefois que comme dans le cas de notre guide pour déployer un certificat SSL sur le Raspberry pi, il est également nécessaire d’ouvrir le port 80 le temps de générer les certificats.

La mise en oeuvre du Reverse proxy sur le NAS Synology

Commencez par ouvrir le panneau de configuration de DSM et vous rendre dans :

Une fois dans le portail des applications, cliquez sur l’onglet Proxy inversé et créer pour créer une nouvelle règle.

Configurez alors la règle comme ci-dessous, en prenant soin de modifier le nom d’hôte par celui que vous avez défini pour votre Jeedom et l’Ip de destination de votre Jeedom. Pour le reste, les protocoles et ports ne changent pas.

Il sera alors nécessaire de créer autant de règle que de système que vous voulez joindre depuis l’extérieur. Vous n’aurez alors qu’à changer le sous domaine jeedom.domoblog.ovh par celui de la ressource (ex: web.domoblog.ovh…).

A ce stade, vous avez déjà accès à votre Jeedom depuis l’extérieur, mais bien évidement le navigateur vous retourne une page d’erreur comme quoi la connexion n’est pas sécurisée.

C’est tout à fait normal, puisque nous n’avons pas encore effectué le paramétrage de la partie certificat SSL. Voyons alors à présent comment corriger ce message et sécuriser l’accès à l’aide d’un certificat.

La génération du Certificat SSL pour Jeedom, et le reste !

Pour ce faire, retournez dans le panneau de configuration de DSM et rendez-vous dans Sécurité.

Une fois dans l’onglet certificat, il faut cliquer sur Ajouter pour démarrer l’assistant de création.

Ici, nous choisissons d’Ajouter un nouveau certificat.

A présent, on fait le choix d’un certificat délivré par Let’s Encrypt

Il ne reste plus qu’à renseigner le nom de domaine, votre mail et dans autre nom de l’objet, vous y déclarez tous vos noms de domaine cibles, séparés par un point virgule. C’est à dire l’adresse complète vers les équipements à joindre depuis l’extérieur. Ceux pour lesquels nous avons créé des règles dans le reverse proxy.

Le fait d’indiquer toutes les cibles séparés d’un point virgule ici vous permet de n’avoir qu’un seul et unique certificat pour tous. Pratique et rapide pour en effectuer le renouvellement par la suite.

Une fois validé et après quelques secondes d’attente, votre certificat apparaît, tout est prêt.

Essayez à nouveau de joindre votre Jeedom en https, vous verrez que vous n’aurez plus d’erreur et constaterez bien le petit cadenas à gauche de votre URL.

Le reverse proxy et certificat SSL pour Home Assistant

Nous avons vu ces dernières semaines plusieurs guides autour du système domotique Home Assistant. Si vous désirez également gérer le certificat SSL de votre serveur domotique HA, c’est tout à fait possible. Il y a toutefois une petite subtilité à connaître.

En effet, si vous appliquez la procédure à la lettre jusqu’ici, vous pointerez correctement sur votre Home Assistant également sous couvert d’un certificat SSL en bon et du forme. Toutefois, vous remarquerez vite un blocage au moment du login. Que ce soit depuis un navigateur ou l’application mobile, même si vous entrez les bons identifiants, la mire va boucler, redemandant les identifiants à nouveaux paramètres dans la partie reverse proxy qui concerne Home Assistant.

1 Rendez-vous alors dans l’onglet En-tête personnalisé et ajoutez les deux lignes suivantes :

2 Testez à nouveau l’accès à votre domotique Home Assistant depuis un accès extérieur à chez vous (en 4G par exemple). Et magie, ça fonctionne parfaitement !

Le mot de la fin

Pour des raisons de simplicité de compréhension, je prends volontairement l’exemple de ressource qui se trouve sur le réseau local. Pour l’exemple, le reverse proxy redirige les flux vers une autre machine du réseau local. Mais cela fonctionne également de la même manière si vous avec votre Jeedom ou Home Assistant (ou un autre serveur) virtualité au sein même du NAS Synology. C’est d’ailleurs le cas pour mon installation. Mon Jeedom tourne sur une VM de Synology Virtual machine.

Lire aussi

guide-jeedom-vm-synology

Installer Jeedom sur un NAS Synology avec Virtual Machine et debian 11. La domotique fiable et sécurisée avec la virtualisation

Nous avons déjà vu de multiples façons de déployer la domotique Jeedom dans la maison. Du Raspberry Pi au PC en passant par la virtualisation sous VMWare avec un petit serveur ESXi maison. Aujourd’hui, attardons-nous à un autre support, le…

Domo-blog a fait le choix de ne pas polluer votre lecture avec de la publicité. Vous trouverez cependant des liens affiliés vers les produits recommandés dans le contenu. Cela ne perturbe en rien votre experience de lecture et permet de financer le blog.
Vous pouvez également soutenir le blog en m'offrant un café sur Ko-Fi.


discord

Restez connecté aux nouveautés domotiques, inscrivez-vous à notre newsletter

A propos de cet auteur

Aurélien Brunet

Chef de projet informatique, anciennement informaticien spécialisé dans l'IT industrielle, le réseau et les bases de données. Un peu geek à mes heures perdues, je me suis mis à la domotique en 2012 pour sécuriser mon domicile.
Depuis, je teste, j’installe, je code, j’améliore mon installation et surtout, je partage avec vous mon expertise via ce blog et mon podcast Domotique Chronique pour améliorer votre quotidien dans la maison connectée !

4 Comments

Cliquez ici pour poster un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

  • Bonjour Aurélien,

    J’ai exactement la même configuration :

    – nom de domaine “mondomaine.ch”
    – Sous domaine “jeedom.mondomaine.ch”
    – Synology avec reverse proxy
    – Certificat à jours (domaine et sous domaine)

    (tout comme tu as fait)

    ça fonctionne bien, j’accède à mon jeedom en HTTPS. Mais j’ai remarqué une chose, avec télégram.
    Je reçois les notifications, mais je ne peux rien lui demander “ASK” il ne me répond pas (meme pas “je ne comprend pas”). Du coup j’ai voulu chercher la raison… j’ai désactivé mon reverse proxy et j’ai réactivé le DNS jeedom market.
    Et hop ça refonctionne, télégram me répond à nouveau !….

    Sais-tu de quoi ça peu venir ? est-ce que ça fonctionne chez toi ?

    merci
    Bonne journée

  • Est-il possible d’utiliser un nom de domaine comme le synology.me qui est déjà intégré au N’as Synology pour se connecter à Homeassistant depuis l’extérieur ?

construction et domotique
promos domotique
Choix box domotique
promos domotique

Lire aussi

Les prérequis au reverse proxy

Comme expliqué plus haut, le reverse proxy permet de rediriger les requêtes sur le réseau effectués depuis l’extérieur. Il est

La mise en oeuvre du Reverse proxy sur le NAS Synology

Commencez par ouvrir le panneau de configuration de DSM et vous rendre dans :

La génération du Certificat SSL pour Jeedom, et le reste !

Pour ce faire, retournez dans le panneau de configuration de DSM et rendez-vous dans Sécurité.

Le reverse proxy et certificat SSL pour Home Assistant

Nous avons vu ces dernières semaines plusieurs guides autour du système domotique Home Assistant. Si vous désirez également gérer le

Le mot de la fin

Pour des raisons de simplicité de compréhension, je prends volontairement l’exemple de ressource qui se trouve sur le réseau local.

Lire aussi

  • Lire aussi
  • Les prérequis au reverse proxy
  • La mise en oeuvre du Reverse proxy sur le NAS Synology
  • La génération du Certificat SSL pour Jeedom, et le reste !
  • Le reverse proxy et certificat SSL pour Home Assistant
  • Le mot de la fin
  • Lire aussi