La sécurisation de Jeedom, c’est primordial. Au domo-lab, nous mettons un point d’honneur à vous accompagner dans la configuration de votre domotique DIY Jeedom et la sécurisation est un sujet déjà longuement traité dans nos colonnes. En effet, nous proposons depuis plusieurs années un guide pour sécuriser Jeedom avec un certificat SSL qui offre à votre domotique un accès HTTPS chiffré et sécurisé de bout en bout pour éviter à un pirate d’intercepter vos données domotiques.
Lire aussi
Comment sécuriser l’accès à Jeedom en HTTPS avec un certificat SSL gratuit
Voilà déjà la troisième version de notre célèbre guide pour sécuriser l’accès à Jeedom installé plus communément sur un Raspberry Pi, mais cette procédure fonctionne également parfaitement sur une VM, un PC ou tout autre support qui héberge Jeedom. Toujours…
Si cette première méthode est toujours d’actualité et fonctionne très bien, certains d’entre vous sont peut-être allergiques à la ligne de commande et/ou disposent d’un NAS synology à la maison. Nous allons alors vous expliquer comment utiliser le NAS Synology de façon simple et rapide pour générer un certificat SSL pour votre Jeedom.
Mieux encore, nous verrons également comment mettre en place un Reverse Proxy, un procédé d’aiguillage vers un sous domaine associé à vos différents serveurs domestiques. Une gestion performante et simplifiée par le Synology qui se chargera de rediriger vos flux vers la bonne destination. Couplé à une certification Let’s Encrypt, c’est une solution très performante.
Si la mise en oeuvre de façon autonome nécessite quelques connaissances en réseau et une certaine logique des flux, nous allons une fois encore nous simplifier la tâche et vous accompagner avec un guide pas à pas. Alors laissez-vous guider.
Les prérequis au reverse proxy
Comme expliqué plus haut, le reverse proxy permet de rediriger les requêtes sur le réseau effectués depuis l’extérieur. Il est alors nécessaire de posséder un nom de domaine qui pointe vers votre adresse IP publique.
Un nom de domaine chez OVH par exemple, de type domoblog.ovh. Une fois votre nom de domaine OVH acquis, assurez-vous de disposer des deux entrées DNS suivantes:
L’entrée A doit faire correspondre votre nom de domaine avec votre adresse IP publique. L’entrée CNAME ainsi configurée avec un sous domaine * redirigera toutes les adresses avec un sous domaines dedans vers votre IP publique. Ainsi, il sera possible de créer une adresse pour Jeedom au format jeedom.domoblog.ovh, mais aussi un serveur web avec une adresse au format web.domoblog.ovh, le NAS avec une adresse nas.domoblog.ovh… Vous l’aurez compris, vous pourrez alors créer autant de sous domaines que vous le souhaitez.
Le second prérequis consiste à ouvrir les ports 80 et 443 sur votre routeur. Il s’agit plus généralement de la partie redirection de port de votre box internet. Si vous possédez une freebox par exemple, il est nécessaire de créer 2 règles.
Ici, on redirige le flux qui arrive d’internet sur le port 443 (https) vers le port 5001 du Synology, qui est son port d’écoute HTTPS. Nous verrons plus tard, qu’une fois le Reverse proxy en place, cette seule porte permettra d’accéder à toutes les ressources du réseau de façon sécurisée.
Pour une meilleure compréhension, voici un schéma de fonctionnement des flux :
A ce stade, nous avons les prérequis nécessaires pour joindre le NAS synology depuis l’extérieur. Notez toutefois que comme dans le cas de notre guide pour déployer un certificat SSL sur le Raspberry pi, il est également nécessaire d’ouvrir le port 80 le temps de générer les certificats.
La mise en oeuvre du Reverse proxy sur le NAS Synology
Commencez par ouvrir le panneau de configuration de DSM et vous rendre dans :
Une fois dans le portail des applications, cliquez sur l’onglet Proxy inversé et créer pour créer une nouvelle règle.
Configurez alors la règle comme ci-dessous, en prenant soin de modifier le nom d’hôte par celui que vous avez défini pour votre Jeedom et l’Ip de destination de votre Jeedom. Pour le reste, les protocoles et ports ne changent pas.
Il sera alors nécessaire de créer autant de règle que de système que vous voulez joindre depuis l’extérieur. Vous n’aurez alors qu’à changer le sous domaine jeedom.domoblog.ovh par celui de la ressource (ex: web.domoblog.ovh…).
A ce stade, vous avez déjà accès à votre Jeedom depuis l’extérieur, mais bien évidement le navigateur vous retourne une page d’erreur comme quoi la connexion n’est pas sécurisée.
C’est tout à fait normal, puisque nous n’avons pas encore effectué le paramétrage de la partie certificat SSL. Voyons alors à présent comment corriger ce message et sécuriser l’accès à l’aide d’un certificat.
La génération du Certificat SSL pour Jeedom, et le reste !
Pour ce faire, retournez dans le panneau de configuration de DSM et rendez-vous dans Sécurité.
Une fois dans l’onglet certificat, il faut cliquer sur Ajouter pour démarrer l’assistant de création.
Ici, nous choisissons d’Ajouter un nouveau certificat.
A présent, on fait le choix d’un certificat délivré par Let’s Encrypt
Il ne reste plus qu’à renseigner le nom de domaine, votre mail et dans autre nom de l’objet, vous y déclarez tous vos noms de domaine cibles, séparés par un point virgule. C’est à dire l’adresse complète vers les équipements à joindre depuis l’extérieur. Ceux pour lesquels nous avons créé des règles dans le reverse proxy.
Le fait d’indiquer toutes les cibles séparés d’un point virgule ici vous permet de n’avoir qu’un seul et unique certificat pour tous. Pratique et rapide pour en effectuer le renouvellement par la suite.
Une fois validé et après quelques secondes d’attente, votre certificat apparaît, tout est prêt.
Essayez à nouveau de joindre votre Jeedom en https, vous verrez que vous n’aurez plus d’erreur et constaterez bien le petit cadenas à gauche de votre URL.
Le reverse proxy et certificat SSL pour Home Assistant
Nous avons vu ces dernières semaines plusieurs guides autour du système domotique Home Assistant. Si vous désirez également gérer le certificat SSL de votre serveur domotique HA, c’est tout à fait possible. Il y a toutefois une petite subtilité à connaître.
En effet, si vous appliquez la procédure à la lettre jusqu’ici, vous pointerez correctement sur votre Home Assistant également sous couvert d’un certificat SSL en bon et du forme. Toutefois, vous remarquerez vite un blocage au moment du login. Que ce soit depuis un navigateur ou l’application mobile, même si vous entrez les bons identifiants, la mire va boucler, redemandant les identifiants à nouveaux paramètres dans la partie reverse proxy qui concerne Home Assistant.
1 Rendez-vous alors dans l’onglet En-tête personnalisé et ajoutez les deux lignes suivantes :
2 Testez à nouveau l’accès à votre domotique Home Assistant depuis un accès extérieur à chez vous (en 4G par exemple). Et magie, ça fonctionne parfaitement !
Le mot de la fin
Pour des raisons de simplicité de compréhension, je prends volontairement l’exemple de ressource qui se trouve sur le réseau local. Pour l’exemple, le reverse proxy redirige les flux vers une autre machine du réseau local. Mais cela fonctionne également de la même manière si vous avec votre Jeedom ou Home Assistant (ou un autre serveur) virtualité au sein même du NAS Synology. C’est d’ailleurs le cas pour mon installation. Mon Jeedom tourne sur une VM de Synology Virtual machine.
Lire aussi
Installer Jeedom sur un NAS Synology avec Virtual Machine et debian 11. La domotique fiable et sécurisée avec la virtualisation
Nous avons déjà vu de multiples façons de déployer la domotique Jeedom dans la maison. Du Raspberry Pi au PC en passant par la virtualisation sous VMWare avec un petit serveur ESXi maison. Aujourd’hui, attardons-nous à un autre support, le…
Bonjour,
Je possède un certificat SSL pour mon domaine friloux.fr hébergé chez OVH. Comment utiliser ce certificat sur mon NAS personnel Synology ? Merci.
bonjour,
il n’est pas possible d’utiliser un certificat auto hebergé, il est propre à votre hebergeur.
Bonjour Aurélien,
J’ai exactement la même configuration :
– nom de domaine “mondomaine.ch”
– Sous domaine “jeedom.mondomaine.ch”
– Synology avec reverse proxy
– Certificat à jours (domaine et sous domaine)
(tout comme tu as fait)
ça fonctionne bien, j’accède à mon jeedom en HTTPS. Mais j’ai remarqué une chose, avec télégram.
Je reçois les notifications, mais je ne peux rien lui demander “ASK” il ne me répond pas (meme pas “je ne comprend pas”). Du coup j’ai voulu chercher la raison… j’ai désactivé mon reverse proxy et j’ai réactivé le DNS jeedom market.
Et hop ça refonctionne, télégram me répond à nouveau !….
Sais-tu de quoi ça peu venir ? est-ce que ça fonctionne chez toi ?
merci
Bonne journée
Est-il possible d’utiliser un nom de domaine comme le synology.me qui est déjà intégré au N’as Synology pour se connecter à Homeassistant depuis l’extérieur ?