Synology-Forum.nl
Overige software => DDNS / Quick Connect / EZ-Internet / Portforwarding => Topic gestart door: Rubensky op 19 juli 2021, 16:52:45
-
Ik heb de volgende uitdaging ik probeer via mijn synology een Let's Encrypt certificaat aan te vragen.
Ik heb een domein dat geregistreerd staat bij mijn domein.
Ik klik bij certificaat op toevoegen dan op krijg een certificaat van Let's encrypt. Vervolgens voer ik mijn domein in en een mailadres.
Daarna krijg ik de volgende melding te zien:
(https://www.imgdumper.nl/uploads9/60f591816dc34/60f591816bfdc-2021-07-19_16_43_42-Window.png)
Aan mijn Firewall heb ik niets aangepast en een proxy gebruik ik niet.
Wie kent dit fenomeen en kan mij helpen?
-
Ik gebruik geen Let's Encrypt certificaat, maar weet wel dat om het geldig te maken poort 80 doorgestuurd moet zijn, en dat de Firewall die moet kunnen doorlaten. Lees eens wat informatie terug over Let's Encrypt in de Help.
-
Inderdaad. Wat betreft poort 80 dat heb ik geregeld. Ook geprobeerd met de firewall van de NAS uit.
-
Nadat ik ook poort 443 heb opengezet krijg ik steeds deze melding:
(https://www.imgdumper.nl/uploads9/60f5b644a6e06/60f5b644a4ff1-2021-07-19_19_27_55-Window.png)
-
Of ik krijg de melding de bewerking is mislukt meld u opnieuw aan en probeer het opnieuw.
Helaas krijg ik nu later op de avond. Zonder iets aan te passen de melding van de firewall weer terug.
-
Ik heb een domein dat geregistreerd staat bij mijn domein.
Maar wijst dat domein ook naar je nas?
-
D.M.V. een A record bedoel je?
Een A record heb ik inderdaad.
Vanmorgen is er weer een nieuwe foutmelding verschenen:
(https://www.imgdumper.nl/uploads9/60f69c68c74c4/60f69c68c531d-Certificaat.png)
-
Oké de vraag komt te vervallen, omdat ik het even laat voor wat het is.
Nog 1 vraag. Als ik een certificaat zou kopen. Zeg maar gewoon deze: https://www.sslcertificaten.nl/certificaten#DV_Default_5
Kan ik die dan toevoegen op meerdere nassen?
-
Ja.
Een domein staat feitelijk voor een internet WAN IP-adres. Dat blijft bij meerdere NAS'sen hetzelfde. Dus ook een certificaat voor een domein.
Je kunt mogelijk wel een "wildcard" SSL certificaat afnemen (kost echter een stuk meer), als je meerdere sub-domeinen zou gebruiken.
-
Het gaat hier wel om 2 nassen op verschillende locaties (even vergeten te melden). Dus met 2 verschillende adressen
-
In dat geval twee domeinen - en twee SSL certificaten.
Zelf heb ik een gewoon NL-domein op mijn WAN IP-adres met een SSL-certificaat, die ik zowel gebruik op mijn NAS,
als op mijn (Synology) router, waar nog een tweetal USB HD's aanhangen die van buitenaf op "File Station" achtige wijze te bereiken zijn.
-
Heb ik het goed gezien. Ga ik dan toch maar een regelen.
Nog 1 vraag dan als ik een Wildcard certificaat neem. Of een certificaat waar ik meerdere subdomeinen aan mag hangen. Dan kan ik het toch wel op 2 nassen doen met een verschillend WAN IP?
-
Oké de vraag komt te vervallen, omdat ik het even laat voor wat het is. Zeg maar gewoon deze: https://www.sslcertificaten.nl/certificaten#DV_Default_5
Houd er rekening mee dat een certificaat voor het inloggen met een browser, slechts 13 maand geldig mag zijn. (Dat is zo sinds ca 1 jaar). Je verwijst nu naar een certificaat voor 5 jaar. Die kun je niet gebruiken voor inloggen op een website. (ook iet voor DSM want dat is ook een website)
Op die site is het me niet duidelijk of je bij een 5 jaars versie, 5x 1 certificaat krijgt, of 1 certificaat die 5 jaar geldig is. (Eigenlijk onbruikbaar)
-
Klopt. Je moet inderdaad ieder jaar het certificaat vernieuwen. je neemt hem voor 1 jaar.
Zit ik goed wat betreft de wat betreft wildcard en meerdere WAN adressen? Of moet ik dan echt 2 domeinen hebben?
-
In de kleine lettertjes bij hen vond ik:
Het aanvragen van SSL certificaten met een looptijd langer dan 1 jaar is niet meer mogelijk. Vanaf 1 april 2015 stond het CABforum een maximale geldigheidsduur van 39 maanden toe. Het CABforum (Certification Authority Browser Forum) stelt standaarden en richtlijnen op die de veiligheid van SSL certificaten bewaken. Bedreigingen voor de veiligheid, zoals het gebruik van interne domeinen en verouderde encryptiemethoden, worden aan banden gelegd. Het CABforum stelt dat bij certificaten met een lange looptijd de kans op misbruik en verouderde technieken groter is. Per 1 maart 2018 is dit beperkt naar 27 maanden, en per 1 september 2020 naar 13 maanden.
Maar wel heel slordig dat ze hun website dan al jaren niet updaten en nog steeds een button hebben voor het aanvragen voor 5 jaar.
Maar goed, Bij Let's Encrypt heb je er geen omkijken meer naar. Zo'n gekocht certificaat moet je alk jaar weer opnieuw installeren.
Als een certificaat meerdere (sub.)domeinen bevat en deze wijzen naar verschillende locaties, dan kun je het certificaat op alle localaties gebruiken waar het certificaat naar verwijst. Maar eigenlijk spreekt dat voor zichzelf.
-
Ja, maar zo'n Let's excrypt ding krijg ik echt met geen mogelijkheid voor elkaar.
-
Maar wel heel slordig dat ze hun website dan al jaren niet updaten en nog steeds een button hebben voor het aanvragen voor 5 jaar.
Maar het zou ook kunnen dat je wel korting hebt op meerdere jaren een certificaat, en dat het elk jaar automatisch wordt vernieuwd,
voor het bedrag wat je vooraf voor een aantal jaar hebt verrekend?
-
Ja, maar zo'n Let's excrypt ding krijg ik echt met geen mogelijkheid voor elkaar.
Wat ik niet snap. Het is een behoorlijk simpele methode. Zorgen dat poort 80 open staat en dat alle domeinnamen in het certificaat naar de nas wijzen.
-
Ik heb er het volgende voor gedaan:
In mijn DNS tabel van mijn domein (geregistreerd bij mijn domein) heb ik een A record aangemaakt naar mijn WAN IP adres.
In mijn router staat poort 80 TCP open voor mijn NAS.
Ook al geprobeerd met de firewall van mijn NAS uit. En geprobeerd met poort 80 in de firewall toegevoegd.
geen reserve Proxy in gebruik.
Iedere keer dezelfde fout.
-
Open ook poort 443 (SSL) naar je nas toe... Anders heeft een SSL certificaat geen zin voor HTTPS.
Voor een gratis certificaat van Let's Encrypt altijd poort 80 en 443 open zetten naar je nas, en in firewall OOK de USA toestaan deze te benaderen. Dan moet het in wezen werken.
-
Oké wat heb ik gedaan.
Firewall op de NAS aan laten staan. Verenigde Staten toegestaan.
Poorten 80,443 toegevoegd en toegestaan.
A record op mijn domein gecontroleerd (stond er nog)
Poort 80, 443 in de router staan open.
Toch krijg ik de foutmelding. Over controleer IP adres, proxy en firewall...
-
Poorten op zetten is wat anders dan forwarden..... check dat eens?
-
Heb ze geforward.
Krijg nu de melding dat het maxium aantal aanvragen is bereikt. Dit terwijl ik nog nooit met de aanvragen bezig ben geweest. Alleen deze week. En nog nooit een certificaat heb ontvangen.
-
Aanvragen is wat anders dan toewijzen. Probeer eens met een ander mail adres?
-
Toch wel een actuele dsm versie? Ik dacht dat minimaal 6.2 nodig was. (Minimum staat ergens in de releasenotes)
Oké wat heb ik gedaan.Firewall op de NAS aan laten staan. Verenigde Staten toegestaan.
Als je met landenrestrikties werkt, denk dan aan de volgorde. Ik zie regelmatig dat men dit maar random door elkaar gooit.
Verder wil Let's Encrypt niet garanderen dat ze altijd vanuit hetzelfde IP valideren. Formeel moet je dit dus wereldwijd toestaan.
-
Ik gebruik DSM 7.0
Als ik mailadres postmaster@mijndomein.com gebruik krijg ik de melding dat het maximum is bereikt. Gebruik ik een ander mailadres (ook van dat domein) dan geeft hij weer de foutmelding IP proxy Firewall...