Sécurisation des flux avec Emby

[Piregwan 0]

Bonjour à la communauté Emby !

Je viens d'installer un serveur Emby pour tester (je connais bien Kodi, et un peu Plex)

Premier soucis qui saute aux yeux : les flux (vers Internet) passent en HTTP et ne sont pas sécurisés. Dans Paramètres > Réseau, j'ai paramétré un port pour le HTTPS comme sur la capture jointe.

Est-ce que tout est okay si les clients extérieurs (navigateurs web, applications diverses que je n'ai pas encore testées) se connectent sur mon IP avec ce port (32600) ?

Merci de me rassurer avant que je poursuive plus avant les tests.

 

 

[Randdrick 24]

2 hours ago, Piregwan said:

Est-ce que tout est okay si les clients extérieurs (navigateurs web, applications diverses que je n'ai pas encore testées) se connectent sur mon IP avec ce port (32600) ?

Bonsoir @Piregwan
Alors, ce n'est pas parce que tu changes un numéro de port que tu sécurises tes flux. Au mieux, comme il ne s'agit pas là de ports commun, ton serveur Emby sera moins exposé sur le net (à condition que ce dernier soit en effet accessible depuis internet).
De deux choses, l'une : 

- soit tes communication se font en http, ce qui impliquent qu'elle ne seront pas cryptées
- soit elles se font en https, donc elles seront dans ce cas là bien cryptées, mais cela impose la mise en place d'un certificat pour assurer leur cryptage.

Le port quant à lui, n'a rien à voir là dedans. Il indique juste par quel chemin passeront tes communications.

[Piregwan 0]

10 minutes ago, Randdrick said:

- soit elles se font en https, donc elles seront dans ce cas là bien cryptées, mais cela impose la mise en place d'un certificat pour assurer leur cryptage.
 

Ca n'a pas l'air simple la mise en place du certificat Let's Encrypt

[Randdrick 24]

4 hours ago, Piregwan said:

Ca n'a pas l'air simple la mise en place du certificat Let's Encrypt

Ce n'est pas simple, en effet, de mettre en place un système de certification (que cela soit Let's Encrypt ou autre) car cela suppose d'avoir de solides bases en informatique (Compréhension des réseaux en général, et plus particulièrement,  leur sécurisation avec la mise en service de certificats, d'une autorité de certification qu'elle soit auto-signée ou non, de savoir ce que c'est un DNS (Domain Name Service) et comment cela fonctionne, etc.
La question que tu dois te poser est de savoir si tu as vraiment besoin d'encrypter tes communications ou non. Si tu utilises ton serveur Emby que pour toi, alors aucun intérêt car rien ne va sortir sur internet.
Si tu veux mettre a disposition ton serveur Emby pour de la famille, cela peut avoir un intérêt (parce les communications vont passer à travers le web et qu'elles seront non cryptées). Pour autant, reste qu'une vidéo n'est pas une information sensible en tant que telle et l'encrypter n'a donc que peu d'intérêt. Maintenant, tu peux vouloir autoriser uniquement des membres de ta famille à se connecter sur ton serveur. Pour cela tu peux le faire facilement avec ta box. En définissant qu'elles sont les adresses Ip externes qui pourront accéder à ton serveur.
Bref tout cela pour te dire qu'avant de te lancer dans la mise en place d'une autorité de certification, poses toi la question de ce dont tu as vraiment besoin de faire.

Edition du post :
Si tu veux créer un certificat privé auto-signé pour windows 10 (ou 11) et exporter sa clef pour la stocker (ce qui est demandé par Emby pour sécuriser les communications) voici la procédure que dois suivre (et un peu adapter) :

https://docs.microsoft.com/fr-fr/azure/virtual-wan/certificates-point-to-site

Edited February 16, 2022 by Randdrick

[Tandhruil 21]

Salut, il y a un tuto en anglais ici, mais je rejoins @Randdrick ce n'est pas simple.

En résumé, il te faut un domaine associé à ton accès internet (par exemple chez noIP)

Il faut rerouter les flux associés à ton serveurs Emby (dans ton exemple 32600) vers celui-ci depuis ta box (ton serveur doit disposer d'une adresse IP Fixe).

Demander un certificat Let's encrypt associé au domaine déclaré (noIP)

Générer un certificat pfx à partir des fichier Let's ecrypt à renseigner dans Emby

renouveler régulièrement le domaine et le certificat

Personnellement j'utilise Emby sur un Synology et les renouvellement de certificats sont simplifiés, il y a un service dédié.

En revanche il me semble si tu te connectes avec Emby connect, l'authentification est chiffrée même si ton serveur ne l'est pas. Il suffit d'associer un utilisateur Emby au compte Emby Connect