Si vous êtes ici c’est que vous aviez mis en place une authentification radius sur votre Synology et subitement le 30 septembre 2021 celle ci n’est plus fonctionnelle. La source du problème est largement médiatisé, c’est vers Let’s encrypt qu’il faut se tourner et certains périphérique Android.
Pour résoudre ce soucis, je propose une solution temporaire en attendant une solution plus perenne.
L’idée sera d’importer sur votre périphérique Android le certif ISRG Root X1.
Diagnostique
Afin de valider que c’est bien le même problème, rendez vous sur votre serveur Radius (mon nas Synology ou votre routeur Synology), et vérifiez vos log, ci dessous le cas de figure que vous devriez avoir :
Type | Date & Time | Event |
---|---|---|
2021-10-02 09:56:45 | Auth | (7552) Login incorrect (eap_ttls: TLS Alert read:fatal:certificate expired): [p.nom] (from client RouteurSoc port 0 cli XX-XX-XX-XX) |
2021-10-02 09:56:45 | ERROR | (7552) eap_ttls: ERROR: Failed in __FUNCTION__ (SSL_read) |
2021-10-02 09:56:45 | ERROR | (7552) eap_ttls: ERROR: TLS_accept: Failed in error |
2021-10-02 09:56:45 | ERROR | (7552) eap_ttls: ERROR: TLS Alert read:fatal:certificate expired |
Vérifications
Vérifiez le certificat qu’utilise votre périphérique Android sur votre Synology :
NAS : Panneau de configuration => Sécurité => Certificat
Vérifiez le champs « Emis par : » R3 <= pour moi
Correction
1 – Récupérez le certificat adéquate
1.a isrgrootx1.pem
Récupérez le certificat chez Let’s Encrypt Depuis la section Active => Root Certificates Fichier isrgrootx1.pem |
1.b lets-encrypt-r3.pem
Récupérez le certificat chez Let’s Encrypt Depuis la section Active => Let’s Encrypt R3 Fichier lets-encrypt-r3.pem |
2 – Transformez votre certificat pour Android
Depuis une machine sous Linux transformez votre fichier pem en crt à l’aide d’openssl
2.a
openssl x509 -outform der -in isrgrootx1.pem -out isrgrootx1.pem
2.b
openssl x509 -outform der -in lets-encrypt-r3.pem -out lets-encrypt-r3.crt
3 – Ajouter le certificat sur votre périphérique Android
3.a isrgrootx1.pem
3.a.a Ajout du certificat sur Android
Depuis Android : Paramètres => Sécurité => Paramètres Avancés => Chiffrement et identifiants => Installer depuis la carte SD
Saisir lets-encrypt-r3.crt dans la zone de recherche
Sélectionnez le certificats lets-encrypt-r3.crt
Sur la fenêtre « Attribuer un nom au certificat »
Nom du certificat : Let’s Encrypt ISRG Root X1
Utilisation du certificat : Wifi
3.a.b Affecter le certificat au reseau WiFi adéquate
Depuis Android : Paramètres => Réseau et Internet => WiFi => Modifiez les parametres de votre reseau Wi-Fi
Certificat CA : Let’s Encrypt ISRG Root X1
Redemarrez votre téléphone (:-/)
3.b lets-encrypt-r3.crt
Depuis Android : Paramètres => Sécurité => Paramètres Avancés => Chiffrement et identifiants => Installer depuis la carte SD
Saisir lets-encrypt-r3.crt dans la zone de recherche
Sélectionnez le certificats lets-encrypt-r3.crt
Sur la fenêtre « Attribuer un nom au certificat »
Nom du certificat : Let’s Encrypt R3
Utilisation du certificat : Wifi
Affectez le nouveau certificat
Validez et retentez de vous connecter a votre Wifi.
Correction 05-10-2021
Prenez le certificat isrgrootx1.pem en plus du lets-encrypt-r3.crt (vérifier si utile)
Faite les sections :
1 / 2.a / 3.a d’abord, si necessaire : 2.b et 3.b
Conclusion
Pour moi cela a fonctionné.
Si vous avez des soucis, n’hésitez pas à l’indiquer dans les commentaires.
Merci pour ces explications détaillées ! Cela a résolu mon problème avec l’authentification Radius sur mon Synology. Pour info, j’ai dû suivre toutes les étapes jusqu’à 3.b pour que cela fonctionne.
Est-ce que la solution que vous avez proposée est définitive ou faudra-t-il répéter ces étapes à chaque fois que le certificat expire ?