Passer au contenu principal

Sécurisation de votre connexion

Sécuriser votre Unraid WebGUI avec le cryptage SSL protège les données sensibles—telles que les identifiants de connexion et les détails de configuration—contre l'interception ou la falsification sur votre réseau local ou Internet. Vous pouvez utiliser des certificats SSL génériques fournis par Let's Encrypt pour les scénarios locaux et d'accès à distance Unraid Connect.

The importance du SSL

SSL (Secure Sockets Layer) crypte tout le trafic entre votre navigateur et le serveur Unraid, empêchant l'écoute clandestine et les attaques de type man-in-the-middle. Sans SSL, toute personne ayant accès à votre réseau pourrait potentiellement intercepter des données sensibles ou détourner votre session. L'utilisation de SSL est fortement recommandée pour la gestion locale et distante de votre serveur Unraid.

Paramètres SSL

Plusieurs paramètres dans Unraid affectent comment SSL est configuré et utilisé. Comprendre ces paramètres vous aide à choisir le bon certificat et la méthode de connexion adaptée à vos besoins.

ParamètreDescription
Nom du serveurDéfini dans Paramètres → Identification. Par défaut, c'est tower.
TLD localDéfini dans Paramètres → Accès de gestion. Par défaut, c'est local.
Utiliser SSL/TLSRéglé dans Paramètres → Accès à la gestion. Contrôle si SSL est activé.
Port HTTPDéfini dans Paramètres → Accès de gestion. Par défaut, c'est 80.
Port HTTPSDéfini dans Paramètres → Accès de gestion. Par défaut, c'est 443.
CertificatType de certificat SSL utilisé (voir ci-dessous).
IP lanL'adresse IP LAN de votre serveur, formatée pour être utilisée dans les URL.
IP wanL'adresse IP publique de votre serveur, formatée pour être utilisée dans les URL.
HashIdentifiant unique de 40 caractères attribué au certificat de votre serveur.

Types de certificats SSL

TypeQuand l'utiliserAvantages/Inconvénients
Auto-signéPour un accès local seulement lorsque vous n'avez pas besoin d'un certificat de confiance.Facile à configurer, mais les navigateurs affichent des avertissements. Le trafic est chiffré une fois l'avertissement accepté.
Myunraid.netPour un accès sécurisé local et à distance, spécialement avec Unraid Connect ou si vous voulez un cert de confiance.Fiable par les navigateurs, aucune alerte. Permet un accès à distance sécurisé via Unraid Connect.
PersonnaliséPour les utilisateurs avancés qui souhaitent un certificat de domaine générique ou personnalisé (nécessite une configuration de %%DNS|résolution-de-dns%%).De confiance, flexible, mais nécessite une configuration supplémentaire.

Moyens d'accéder à votre WebGUI

Voici les principales façons d'accéder à votre Unraid WebGUI, selon votre configuration SSL :

HTTP uniquement (non chiffré)

Cliquer pour développer/réduire

Avec HTTP uniquement, le trafic entre votre navigateur et le serveur n'est pas chiffré.

  1. Allez dans Paramètres → Accès à la gestion.
  2. Réglez Utiliser SSL/TLS sur Non.
  3. Conservez TLD local comme local à moins d'avoir votre propre DNS.
  4. Accéder aux URL :
    • http://[nom du serveur].[TLD local] (ex. http://tower.local)
    • http://[adresse ip] (ex. http://192.168.100.1)
  5. Cliquez sur Appliquer.
avertissement

Toute personne sur votre réseau peut intercepter les données envoyées via HTTP. Utilisez HTTPS dès que possible.

HTTPS avec certificat auto-signé

Cliquer pour développer/réduire

Le trafic est chiffré, mais les navigateurs afficheront un avertissement car le certificat n'est pas signé par une autorité de confiance.

  1. Allez dans Paramètres → Accès à la gestion.
  2. Réglez Utiliser SSL/TLS sur Oui.
  3. Conservez TLD local comme local à moins d'avoir votre propre DNS.
  4. Accéder aux URL :
    • https://[nom du serveur].[TLD local] (ex. https://tower.local)
    • https://[adresse ip] (ex. https://192.168.100.1)
  5. Cliquez sur Appliquer.
important

Les navigateurs afficheront une erreur de certificat. Tout le trafic est toujours chiffré après acceptation de l'avertissement.

HTTPS avec certificat Myunraid.net et URL de repli

Cliquer pour développer/réduire

Vous pouvez accéder à votre serveur de manière sécurisée via le WebGUI en utilisant un certificat Myunraid.net, et configurer une URL de secours au cas où votre résolution DNS est en panne. Tout le trafic sera chiffré, et le serveur est configuré pour revenir à une méthode secondaire lorsque DNS est indisponible.

  1. Allez dans Paramètres → Accès à la gestion.
  2. Conservez TLD local aux valeurs par défaut de local sauf si vous pouvez fournir votre propre résolution DNS (cela est utilisé pour le certificat de repli).
  3. Laissez Utiliser SSL/TLS réglé sur Non ou Oui.
  4. Appuyez sur Provision pour générer le certificat myunraid.net.

Vos URL principales lorsque Utiliser SSL/TLS est réglé sur Non :

  • http://[nom du serveur].[TLD local] (exemple : http://tower.local)
  • http://[adresse ip] (exemple : http://192.168.100.1)

Vos URL principales lorsque Utiliser SSL/TLS est réglé sur Oui (utilise un certificat auto-signé) :

  • https://[nom du serveur].[TLD local] (exemple : https://tower.local)
  • https://[adresse ip] (exemple : https://192.168.100.1)

Votre URL myunraid.net alternative :

  • https://[lan-ip].[hash].myunraid.net (exemple : https://192-168-100-1.a1b2c3d4e5.myunraid.net)
  • Cette URL est affichée dans le champ URLs d'accès local sur la page Accès à la gestion.
  • Si vous installez le plugin Unraid Connect, il apparaîtra également sur le tableau de bord Connect.
info

Le certificat myunraid.net est approuvé par les navigateurs et ne montre pas d'avertissements. L'URL utilise votre adresse IP LAN avec les points remplacés par des tirets, plus un hash unique de 40 caractères attribué à votre serveur.

Accès de secours

Si la résolution DNS devient indisponible (par exemple, votre connexion Internet est coupée), vous pouvez utiliser les URLs locales avec votre nom de serveur ou l'adresse IP comme méthodes d'accès de secours.

HTTPS avec certificat Myunraid.net et sans URL de secours

Cliquer pour développer/réduire

Cette méthode offre le niveau le plus élevé d'application SSL en exigeant que tous les accès au WebGUI utilisent le certificat Myunraid.net et l'URL. Elle est idéale pour les utilisateurs qui souhaitent une sécurité maximale et n'ont pas besoin d'accéder à leur serveur via l'IP locale ou le nom d'hôte si DNS est indisponible.

  1. Allez dans Paramètres → Accès à la gestion dans le WebGUI.

  2. Conservez TLD local sur local sauf si vous avez votre propre résolution de noms DNS (cela est utilisé pour le certificat de repli si vous exécutez ensuite la commande use_ssl).

  3. Cliquez sur Provision pour générer un certificat Myunraid.net.

  4. Si votre réseau n'a pas de problèmes de rebinding DNS, l'option Strict pour Utiliser SSL/TLS sera disponible.

  5. Réglez Utiliser SSL/TLS sur Strict (ou Auto dans les versions Unraid antérieures).

  6. Votre URL d'accès sera :
    https://[lan-ip].[hash].myunraid.net (ex : https://192-168-100-1.a1b2c3d4e5.myunraid.net)

    Si vous installez le plugin Unraid Connect, il apparaîtra également sur le tableau de bord Connect.

précaution

Si la résolution DNS devient indisponible (par exemple, votre connexion Internet tombe en panne), vous ne pourrez pas accéder au WebGUI en utilisant l'URL Myunraid.net.

Pour retrouver l'accès :

  • Utilisez Telnet, SSH ou un clavier/écran local pour vous connecter.
  • Exécutez use_ssl no pour passer à HTTP (http://[nom du serveur].[TLD local] ou http://[adresse ip]).
  • Exécutez use_ssl yes pour passer à HTTPS en utilisant un certificat auto-signé (https://[servername].[localTLD] ou https://[ipaddress]). Voir HTTPS avec un certificat auto-signé ci-dessus pour plus de détails.
  • Une fois que la DNS est rétablie, réglez Utiliser SSL/TLS à Strict pour une sécurité totale.

Redirections

Lorsque vous accédez à http://[nom du serveur].[TLD local], le comportement de redirection dépend de votre réglage Utiliser SSL/TLS :

  • Strict : Vous serez redirigé vers https://[lan-ip].[hash].myunraid.net.

    note

    Cela peut rendre l'accès local difficile si la DNS est indisponible. Voir la mise en garde sous HTTPS avec certificat Myunraid.net et sans URL de secours.

  • Oui: Vous serez redirigé vers https://[servername].[localTLD]. Cela fonctionnera même si votre connexion Internet est interrompue.

  • Non : L'URL HTTP se chargera directement, sans redirection ni cryptage.

astuce

Les redirections ne fonctionnent qu'à partir des URL HTTP, pas les URL HTTPS.

Certificats personnalisés

Les certificats personnalisés vous permettent de sécuriser votre Unraid WebGUI avec votre propre certificat SSL, tel qu'un émis par une autorité de certificat commerciale ou un certificat wildcard pour votre domaine.

Un certificat personnalisé est tout certificat SSL que vous fournissez et gérez vous-même, plutôt qu'un généré par Unraid ou Let's Encrypt. Ceci est utile si vous souhaitez utiliser votre propre nom de domaine, un certificat générique, ou intégrer avec l'infrastructure PKI de votre organisation.

:::info[When en utilisant un certificat personnalisé, vous êtes responsable de...

  • Obtenir le certificat auprès d'une autorité de certificat (CA) de confiance
  • Gérer les enregistrements DNS pour votre domaine choisi
  • Télécharger et renouveler le certificat si nécessaire
  • S'assurer que le certificat correspond au nom de domaine de votre serveur (dans les champs Subject ou Subject Alternative Name)

:::

Si votre certificat est invalide ou ne correspond pas à l'URL du serveur, Unraid le supprimera et reviendra à un certificat par défaut.

HTTPS avec certificat personnalisé (avec accès distant Unraid Connect en option)

Accès via HTTPS avec certificat personnalisé - Cliquez pour dérouler/replier
  1. Allez dans Paramètres → Accès à la gestion.
  2. Réglez Utiliser SSL/TLS sur Oui.
  3. Configurez TLD local avec le nom de domaine utilisé dans le Subject de votre certificat.
  4. Accédez à votre serveur à https://[servername].[localTLD] (par exemple, https://tower.mydomain.com). Vous devez gérer le DNS pour cette URL.
  5. Téléchargez votre certificat vers /boot/config/ssl/certs/[nom du serveur]_unraid_bundle.pem.
  6. Le certificat doit être valide pour [nom du serveur].[TLD local] ou en tant que wildcard *.[TLD local] (où [TLD local] correspond exactement à ce que vous avez entré dans le champ TLD local).
    • Le domaine doit apparaître dans les champs Subject ou Subject Alternative Name (Unraid 6.10.3+ supporte les SAN).
    • Si le certificat ne correspond pas, Unraid le supprimera.
  7. Activez en option l'accès distant Unraid Connect pour une gestion à distance sécurisée, approuvée par les navigateurs.
astuce

Pour les certificats wildcard, assurez-vous que le champ Nom Alternatif du Sujet ou Sujet du certificat contient *.[localTLD][localTLD] est la valeur exacte que vous avez entré dans le champ TLD Local dans Accès de gestion.

Dépannage SSL et configuration avancée

Cette section couvre les problèmes courants liés au SSL et les options de configuration avancée qui s'appliquent lors de l'utilisation de certificats myunraid.net, que vous ayez installé Unraid Connect ou non.

Protection contre le rebinding DNS

La protection contre le rebondissement DNS est une fonctionnalité de sécurité sur de nombreux routeurs qui empêche les entrées DNS publiques de se résoudre vers des adresses IP locales. Cela aide à protéger votre réseau de certaines attaques, mais peut causer des problèmes lors de l'utilisation de certificats SSL pour un accès local au WebGUI Unraid.

Si vous rencontrez une erreur de rebinding DNS lors de la provision d'un certificat SSL (par exemple, après avoir cliqué sur le bouton Provisionner), envisagez les étapes suivantes :

  • Cliquez sur OK dans le message d'erreur, attendez 2 à 5 minutes et réessayez.
  • Si l'erreur persiste, vérifiez les paramètres de votre routeur pour des options liées à « protection contre le rebinding DNS » ou des termes similaires.
  • Autoriser le rebinding DNS pour le domaine myunraid.net.
  • Gardez à l'esprit que les changements DNS peuvent prendre du temps à se propager, donc vous pourriez voir l'erreur à nouveau après avoir effectué des mises à jour.

Les étapes exactes peuvent varier selon le modèle et le firmware de votre routeur.

Accéder à votre serveur lorsque le DNS est en panne

Lorsque SSL est activé avec un certificat myunraid.net, vous accédez généralement à votre serveur Unraid en utilisant un nom de domaine pleinement qualifié (FQDN), tel que :

https://ip.yourpersonalhash.myunraid.net

Ou, si vous utilisez un port HTTPS personnalisé :

https://ip.yourpersonalhash.myunraid.net:<https_port>

Cela garantit que vous utilisez un certificat SSL valide pour un accès sécurisé. Cependant, si votre connexion Internet tombe en panne et que votre navigateur n'a pas mis en cache l'entrée DNS, vous pourriez perdre l'accès au WebGUI.

Si vous perdez l'accès DNS ou Internet :

  • Si l'option Utiliser SSL/TLS est définie sur Oui, essayez d'accéder à votre serveur à :

    https://[servername].[localTLD]

    Ou avec un port personnalisé :

    https://servername.[localTLD]:<https_port>

  • Si cela ne fonctionne pas, ou si Utiliser SSL/TLS est défini sur Strict :

    1. Utilisez telnet, SSH, ou un clavier/moniteur connecté directement pour vous connecter à votre serveur.
    2. Exécutez la commande : 
      use_ssl no
    3. Vous pouvez maintenant accéder à l'interface WebGUI à : 
      http://<ip_address>
      Ou, si vous utilisez un port personnalisé : 
      http://<server_ip>:<http_port>
      (Note : cela utilise HTTP, pas HTTPS.)

Une fois l'accès Internet restauré, allez à Paramètres → Accès à la gestion et réglez Utiliser SSL/TLS sur Strict pour réactiver le SSL local.

Désactivation de SSL pour l'accès local

Vous devriez désactiver SSL pour l'accès local si vous préférez une connexion HTTP simple sur votre réseau domestique de confiance ou si vous rencontrez des problèmes permanents avec la fourniture de certificats SSL, le rebinding DNS ou la compatibilité du navigateur.

Pour désactiver SSL pour l'accès local :

  1. Allez à Paramètres → Accès à la gestion dans l'interface WebGUI.
  2. Réglez Utiliser SSL/TLS sur Non.
  3. Cliquez sur Appliquer.

Ce changement désactivera également la fonction d'accès à distance, car SSL est nécessaire pour les connexions à distance sécurisées.

précaution

Désactiver SSL signifie que votre WebGUI sera accessible via HTTP non chiffré. Cela expose vos identifiants de connexion et vos données de session à toute personne de votre réseau local et n'est pas recommandé à moins que vous soyez sûr que votre réseau est sécurisé et que vous n'ayez pas besoin d'un accès à distance. Pour une meilleure sécurité, maintenez SSL activé chaque fois que possible.

note

La gestion SSL est une fonctionnalité centrale d'Unraid et ne dépend pas du module complémentaire Unraid Connect. Vous pouvez désactiver SSL sans affecter les autres fonctionnalités d'Unraid.