Auteur Topic: Sectigo wildcard certificaat op nas en android gsm /tablet issues dsm7.1.1  (gelezen 405 keer)

Offline Niels37

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 4
  • Berichten: 44
Beste,

Op de nas heb ik een CSR gegenereerd en deze ARCHIVE.ZIP bevat 2 bestanden:
server.csr  ( public key)
server.key (private key)

Vervolgens de CSR gekopieerd in de aanvraag van mijn wildcard certificaat. Daarna mijn wildcard certificaat van sectigo gedownload MIJNDOMEINNAAM.ZIP welke 3 bestanden bevat:
*Sectigo_RSA_Domain_Validation_Secure_Server_CA.CRT
*USERTrust_RSA_Certification_Authority.CRT
*wildcard_mijndomeinnaam.CER

Terug naar de synology om daar mijn wildcard certificaat te importeren; Ik Kies voor een nieuw certificaat toevoegen
waarbij ik eigenlijk dus een certificaat aanmaak  dmv  de persoonlijke sleutel ( server.key), wildcard_mijndomeinnaam.CER en een zogenaamde tussencertificaat in te voegen.

tussencertificaat ? Volgens mij moet ik dan een zogenaamde CAbundel maken van de  Sectigo_RSA_Domain_Validation_Secure_Server_CA.CRT
*USERTrust_RSA_Certification_Authority.CRT
deze bestanden openen in kladblok en dmv kopieer en plak onderelkaar, bestandopslaan als cabundel.CRT

Doe ik dit nu goed of niet ? Afijn er staat in iedergeval een nieuw certificaat in de synology.

NU komt het allerlastigste, dit ivm met mijn ds apps op android gsm/tablet, welke vervolgens beginnen te piepen dat het certificaat niet afkomstig is van geautoriseerde organisatie. Als ik kijk naar het certificaat dsfile op mijn gsm, dan is het een synology certificaat wat blijkbaar niet ok is.

Het schijnt dat ik dus het nas certificaat moet importeren op mijn gsm.

als volgt ben ik te werk gegaan :
Certificaat op de nas geexporteerd, wederom eem archive.zip bestaande uit 5 bestanden
*Cert.pem
*Chain.pem
*privkey.pem
*root.pem
*short-chain.pem

Ik heb gekozen om op mijn android gsm de CHAIN.pem te installeren.

DSFILE doet t vervolgens prima zonder te piepen over certificaat.

Wat ik wil weten is : Heb ik dit goed gedaan? Moet ik dit op elk apparaat installeren , elke x weer als het certificaat vernieuwd wordt ?

Wie kan mij helpen in de juiste richting?  Ik wil nl wel graag dat de verbindingen naar mijn nas veilig zijn.

gr Niels

  • Mijn Synology: DS212+II
  • HDD's: 2 x wd30

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 589
  • -Ontvangen: 1146
  • Berichten: 6.538
Re: Sectigo wildcard certificaat op nas en android gsm /tablet issues dsm7.1.1
« Reactie #1 Gepost op: 21 oktober 2022, 16:39:30 »
Op een NAS kun je meerdere certificaten toevoegen en specifiek koppelen aan een bepaalde applicatie.

Bij gebruik van een Sectigo wildcard certificaat - gaat het feitelijk om de benadering van je NAS
op het domein waar je dat certificaat voor hebt aangevraagd.

Je hebt de mogelijkheid om 3 bestanden toe te voegen m.b.t. een certificaat.
Dus niet in een editor onder elkaar plakken tot één bestand, maar gewoon 3 bestanden apart inladen.
1. key
2. certificaat m.b.t. domein
3. een algemeen "bundel" certificaat

En in de NAS het juiste certificaat koppelen aan de services die je wilt inzetten.

Bij exporteren (bijv. m.b.t. OpenVPN) worden die certificaten zelf al automatisch bij elkaar geplakt t.b.v. een configuratiebestand,
om met wat aanpassingen vervolgens te importeren in een OpenVPN Client app.
DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600axRT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.0
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 163
  • -Ontvangen: 2437
  • Berichten: 15.518
Re: Sectigo wildcard certificaat op nas en android gsm /tablet issues dsm7.1.1
« Reactie #2 Gepost op: 21 oktober 2022, 17:01:06 »
Citaat
dan is het een synology certificaat wat blijkbaar niet ok is.

Dat is ook niet ok als je een ander certificaat wilt gebruiken. Op de nas moet je nog instellen welke dienst, welk certificaat gaat gebruiken.  Het gemakkelijkst is waarschijnlijk om dat nieuwe certificaat als default in te stellen. (Als je tenminste eerst verifieert dat het certificaat goed geïnstalleerd is)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Niels37

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 4
  • Berichten: 44
Re: Sectigo wildcard certificaat op nas en android gsm /tablet issues dsm7.1.1
« Reactie #3 Gepost op: 21 oktober 2022, 17:30:53 »
certificaat heb ik volgens sslcheck wel goed geinstalleerd.

Wat ik niet snap is dat dsfile piepte om verkeerd certificaat , totdat ik de chain.pem installeerde op android gsm , daarna geen issues meer gehad.
Ik weet alleen niet of ik alle 4 de files had moeten importeren op mn gsm?

maw het werkt nu wel , maar weet niet of t ook goed is zo op mijn gsm.
Hoe kom ik daar achter. Ik zie momenteel alleen maar een bos zeg maar ipv de bomen die erin staan ;-)
  • Mijn Synology: DS212+II
  • HDD's: 2 x wd30

Offline Niels37

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 4
  • Berichten: 44
Re: Sectigo wildcard certificaat op nas en android gsm /tablet issues dsm7.1.1
« Reactie #4 Gepost op: 21 oktober 2022, 17:32:48 »
Hi

mijn certificaat staat als standaard en de meeste ( dus niet alles ) staat in de configuratie vdh certificaat qua diensten op mijn certificaat. Wellicht beter om alles erop te zetten ?
  • Mijn Synology: DS212+II
  • HDD's: 2 x wd30

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 163
  • -Ontvangen: 2437
  • Berichten: 15.518
Re: Sectigo wildcard certificaat op nas en android gsm /tablet issues dsm7.1.1
« Reactie #5 Gepost op: 22 oktober 2022, 13:58:23 »
Op zich zou het niet nodig zijn om een certificaat op je telefoon te installeren. Dat is namelijk juist de reden dat je een certificaat koopt.

Als je gaat installeren, kun je net zo goed het self-signed certificaat van Synology gebruiken en dat ook op de telefoon installeren.

Maar misschien het je nog een heel oude telefoon die niet alle actuele root-certificaten bevat.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)