Synology-Forum.nl
Overige software => DDNS / Quick Connect / EZ-Internet / Portforwarding => Topic gestart door: kevinmartin0 op 05 oktober 2014, 19:20:04
-
.
-
Lees je eerst eens in wat domeinnamen (http://nl.wikipedia.org/wiki/Domeinnaam) zijn. Want uit je bericht maak ik op dat je er al een hebt.
-
Dus je kan je DDNS van synology als domeinnaam gebruiken? I.e xxxxxx synology.me
-
Je schrijft het volgende "Nu heb ik geprobeerd om via StartSSL een SSL certificaat hiervoor te maken maar hier liep ik vast omdat er een domijnnaam moet worden ingevuld en dit heb ik niet. ik heb alleen een lokaal ip adres (10.0.0.36:5002) en een DDNS (kevinds214.synology.me)"
Je kunt een zelfondertekend certificaat maken van je synology.me ddns. Deze exporteren en inbrengen in je besturingssysteem en browser.
Dit doe je onder beveiliging bij configuratiescherm. Dit is gratis en kun je via https (5001) je nas benaderen via je synology.me ddns
-
Het enige wat belangrijk is bij zo'n self-signed certificaat is dat de url die in het certificaat staat, gelijk is aan dat waarmee je inlogt. Dus die "Synology" ddns naam voldoet.
Zo'n certificaat kun je op vele sites laten maken. Het kost zo'n site ook niets meer dan de website zelf. Het nadeel van 'startssl' is dat ze de levensduur op 1 jaar begrenzen, dus moet je dat elk jaar herhalen. Sommige andere sites laten een langere levensduur toe en zouden daarom mijn voorkeur hebben.
Via "OpenSSL' kun je zelf dat certificaat maken met het commando:
openssl req -nodes -newkey rsa:2048 -keyout server.key -x509 -days 365 -out server.crtDie gratis sites doen iets vergelijkbaars, daarom kan het ook gratis. OpenSSL staat standaard op de mac, maar niet op Windows.
-
Klopt wat je zegt maar het kan echt makkelijker in DSM zelf met je synology DDNS. Maak gewoon een certificaat aan in DSM en exporteer deze. Bij het maken staat deze al direct op je NAS en als je het certificaat exporteert dan kun je het CA.crt bestand installeren in je Windows besturingssysteem en browser
Zie bijlage waar je het ceretificaat kunt maken en exporteren.
-
@Jozef: Ik ben van de oude stempel die met DSM 3.2 begonnen is. Toen was er nog geen ddns van Synology en ook geen optie om certificaten te maken. En dan val je in oude patronen om iets te doen.
Maar omdat het op de mac 1 regel code is die het certificaat aanmaakt, gaat op dat OS het zelf maken nog iets sneller dan bij Synology inloggen. ;)
Ik zal eens voor de aardigheid eens kijken wat voor Certificaat Synology aanmaakt. Oftewel, welke velden zij alles gebruiken en of je daar de geldigheid, sleutelgrootte en SHA versie kunt instellen.
-
Ik heb vandaag eens een certificaat aangemaakt via de optie in DSM. Dat is inderdaad makkelijk en beter dan een self-signed certificaat via StartSSL omdat die van Synology 10 jaar geldig is. Via StartSSL moet je dat elk jaar herhalen. (Ze hopen natuurlijk dat je dan eens een langer geldige gaat kopen)
Een ding was me bij het Synology certificaat niet duidelijk. Na alles ingevuld te hebben krijg je dezelfde pagina nog eens, maar met nu een extra veld onderaan. Na dat ingevuld te hebben, kreeg ik een foutmelding in de trant van:
Server certificaa en gebruikerscertificaat moeten niet gelijk zijn.
'Moeten; kan echter als vrijblijvende optie opgevat worden en uiteindelijk kwam ik erachter dat ze echt "mogen niet gelijk zijn" bedoelen, want toen ik 1 karakter veranderde kon ik hem wel aanmaken. Verder zat er een spelfout in die foutmelding. (De 't' in certificaat ontbrak. Ik dacht hier een screenshot van gemaakt te hebben voor een bugmelding, maar blijkbaar is dat toch niet gebeurd.)
Na afloop van de aanmaak kreeg ik de melding dat de bewerking mislukt was. Echter, als ik het certificaat exporteerde was er wel een aangemaakt en die werkte ook.
Dus heb ik eerst mijn oude certificaat er weer op gezet en daarna weer een nieuwe aangemaakt via DSM. Ik wilde een screenshot met die spelfout, maar nu begon hij direct een certificaat te maken, ondanks dat beide paginas gelijk ingevuld waren. ::) Ook nu sloot hij, na het aanmaken, af met "bewerking mislukt', maar het certificaat was er wel.
Afgezien van de verwarrende foutmeldingen werkt deze optie in dsm goed en is voor de meeste mensen veel handiger dan een self-signed certificaat via een externe site laten genereren.
Alleen als je extra features in het certificaat wilt hebben, heeft zelf maken nog zin. b.v. als een een SHA-256 ondertekende wilt hebben en niet de SHA-1 zoals Synology doet (en 85% van alle websites)
-
.
-
…de volgende foutmelding : de informatie van basiscertificaat en servercertificaat moeten niet identiek zijn. Controleer dat de ingevoerde informatie correct is.
Dat is precies de foutmelding waar ik boven naar refereerde. Ik had bij beide in het veld 'afdeling' de tekst 'IT" geschreven. Toen ik de een in "ICT' veranderde was de foutmelding weg. En toen ik de foutmelding wilde reproduceren door nu alles bewust identiek te laten, bleef hij weg.
In elk geval was je eerste poging met de eerste certificaat-optie goed en ik vind die foutmelding ook verwarrend.
Die andere certificaat opties zijn er voor als je al ergens anders een geregistreerd certificaat hebt, dan kun je daar een nieuwe versie krijgen met nieuwe looptijd. Niet iets wat de gemiddelde gebruiker op dit forum wil.
-
.
-
Volgens mij heb je nu niet zelf een certificaat gemaakt. Hieronder de stappen hoe het moet lukken zonder foutmelding:
Klik in het configuratiescherm op de knop <beveiliging>
Klik op het tabblad Certificaat
Klik op Certificaat aanmaken.
Kies in het scherm wat verschijnt voor: een zelfondertekend certificaat aanmaken
Klik op volgende
Vul bij gemeenschappelijke naam het adres in van je synology account, dus xxxxxx.synology.me
Vul bij emailadres een emailadres in. Let op, deze is voor iedereen zichtbaar die inlogt op je NAS
Vul bij provincie, stad, organisatie en afdeling gegevens in die je wilt
Klik op volgende
Dit scherm is belangrijker.
Vul bij gemeenschappelijke naam het IP adres in waarop je NAS bereikbaar moet zijn. Dit vind je in configuratiescherm, externe toegang, DDNS
Vul bij Onderwerp alternatieve naam wederom de naam in van je synology.me adres.
Klik op volgende om het certificaat te maken en te installeren op de NAS.
Exporteer het certificaat, er wordt een archive.zip opgeslagen op je computer
Pak dit archive.zip uit
Hier zitten 4 bestanden in, te weten:CA.crt, CA.key, Server.crt en Server key.
Het CA.crt bestand moet je nu installeren op je computer.
Klik hier op met je rechtermuisknop en kies Certificaat installeren en volg de wizard
Open de certificaat manager onder windows (Windowstoets + R) en tik in : certmgr.msc en klik op OK
Onder het kopje tussenliggende certificeringsinstanties staat een mapje Certicaten
Klik hier op en kijk aan de rechterkant of je certificaat is geïnstalleerd.
Voor internet explorer ben je nu klaar.
Voor Google chrome ga je naar de instellingen en klik daar op geavanceerde instellingen.
Ga naar < HTTPS/SSL> en klik op certificaten beheren.
In het nieuwe venster klik je op vertrouwde basiscertificeringsinstanties.
Klik vervolgens op Importeren en importeer hier het CA.crt bestand.
Klik op sluiten, sluit de browser af en herstart je PC.
Start explorer of chrome en tik in : https://xxxxx.synology.me:5001
Je hebt nu een beveiligde verbinding met je nas.
Uiteraard HTTPS verbinding inschakelen in DSM.
Veel succes allemaal.
-
Dank voor deze zeer heldere uitleg...ga ik eens mee stoeien. .
-
.
-
Op elke computer benaderbaar zijn zonder waarschuwingen lukt alleen met gekochte certificaten. Veiliger is dat allerminst, maar veel mensen vinden dat handiger.
In dat geval wordt een root certificaat gebruikt die op de meeste computers reeds geïnstalleerd is. De uitgever van dat certificaat geeft een firma als StartSSL een intermediate certificaat. Vervolgens gaat StartSSL op basis van dat intermediate certificaat, user certificaten aan hun klanten verkopen. Daarbij is het heel belangrijk dat een firma als StartSSL, hun klanten goed controleren op legitimiteit. Als iemand dus met een aangepast kopietje paspoort bij StartSSL aanklopt heb je best kans dat ze er mee door komen en een certificaat krijgen op de naam van een ander url.
Als gebruiker merk je dat niet en vertrouwt zo'n verbinding met slotje. Dat het wel eens mis gaat blijkt wel uit de Diginotar affaire waarbij hun database gehacked was. En er zijn ook legio voorbeelden van intermediate firmas die zonder genoeg controle een certificaat verstrekken.
Daarom heb ik er een hekel aan dat browsers de self-signed certificaten als onveilig bestempelen en de andere als veilig, terwijl het juist andersom is. Bij een self-signed certificaat krijgt de gebruiker een waarschuwing als een certificaat voor het eerst gebruikt wordt en wordt hij het dus gedwongen het certificaat te controleren. Bij de certificaten op basis van een intermediate, wordt zelden het slotje bekeken en is het veel makkelijker om met vervalste certificaten te werken.
-
ah oke ik snap het,
super bedankt voor de hulp iedereen ik geloof dat ik nu alles naar wens heb geconfigueerd :)
-
Het is logisch dat je dit per apparaat moet instellen aangezien dat het apparaat is waarmee je inlogt op de nas.
De client en de server moeten overeenkomen. Juist als je het zelf maakt is de controle groter en beter dan dat er standaard al iets op de clients zou zitten wat je op de nas zou moeten installeren. Ik doe het het liefst zelf en vertrouwd zodat ik zeker weet wat de bron is.
-
Super handleiding Jozef!
Zonder had ik het zelf gesigneerde certificaat niet kunnen maken.
Mag ik vragen wat ik over het hoofd zie wanneer ik mijn nas (214play) van buiten benader en dan een groen slotje te zien krijg. En wanneer ik binnen mijn eigen netwerk de nas benader alsnog een onveilig certificaat als melding krijg.
Ik heb de http op doorsturen naar https staan.
En binnen de diverse divices (smartphone htc, iPad en windows 8.1) het certificaat geïnstalleerd zoals hierboven eerder door Jozef werd omschreven.
Ik hoop dat mijn vraagstelling duidelijk genoeg is.
Vriendelijke groet,
Jerengina (uit het zuiden van NL..)
Sent from my System Product Name using Tapatalk
-
Inmiddels ben ik er achter waar mijn schoen wringt.
Wanneer ik de NAS extern benader (na installatie ca.crt) ondervind ik geen probleem.
Zodra ik intern mijn NAS benader via het IP-adres, krijg ik de foutmelding, ondanks installatie van het ca.crt. Benader ik de NAS intern via xxx.synology.me krijg ik geen foutmelding.
Kan iemand mij op weg helpen zodat de foutmelding middels het benaderen van de NAS intern ook zonder problemen verloopt?
Sent from my System Product Name using Tapatalk
-
Heb je in DSM aanstaan dat http naar HTTPS omgezet moet worden?
Als je intern gewoon inlogt met je ipadres en poort 5000 dan krijg je deze melding niet.
Aangezien je het certificaat hebt aangemaakt met je synology.me adres (dat staat dus als url in je certificaat) is het logisch dat als je via een andere url (je eigen lan ipadres in dit geval) een onbeveiligde melding krijgt.
-
Merci!
Het interne NAS adres met :5000 aanspreken werkt prima. "Probleem" opgelost.
Sent from my System Product Name using Tapatalk
-
Volgens mij heb je nu niet zelf een certificaat gemaakt. Hieronder de stappen hoe het moet lukken zonder foutmelding:
Klik in het configuratiescherm op de knop <beveiliging>
Klik op het tabblad Certificaat
Klik op Certificaat aanmaken.
Kies in het scherm wat verschijnt voor: een zelfondertekend certificaat aanmaken
Klik op volgende
Vul bij gemeenschappelijke naam het adres in van je synology account, dus xxxxxx.synology.me
Vul bij emailadres een emailadres in. Let op, deze is voor iedereen zichtbaar die inlogt op je NAS
Vul bij provincie, stad, organisatie en afdeling gegevens in die je wilt
Klik op volgende
Dit scherm is belangrijker.
Vul bij gemeenschappelijke naam het IP adres in waarop je NAS bereikbaar moet zijn. Dit vind je in configuratiescherm, externe toegang, DDNS
Vul bij Onderwerp alternatieve naam wederom de naam in van je synology.me adres.
Klik op volgende om het certificaat te maken en te installeren op de NAS.
Exporteer het certificaat, er wordt een archive.zip opgeslagen op je computer
Pak dit archive.zip uit
Hier zitten 4 bestanden in, te weten:CA.crt, CA.key, Server.crt en Server key.
Het CA.crt bestand moet je nu installeren op je computer.
Klik hier op met je rechtermuisknop en kies Certificaat installeren en volg de wizard
Open de certificaat manager onder windows (Windowstoets + R) en tik in : certmgr.msc en klik op OK
Onder het kopje tussenliggende certificeringsinstanties staat een mapje Certicaten
Klik hier op en kijk aan de rechterkant of je certificaat is geïnstalleerd.
Voor internet explorer ben je nu klaar.
Voor Google chrome ga je naar de instellingen en klik daar op geavanceerde instellingen.
Ga naar < HTTPS/SSL> en klik op certificaten beheren.
In het nieuwe venster klik je op vertrouwde basiscertificeringsinstanties.
Klik vervolgens op Importeren en importeer hier het CA.crt bestand.
Klik op sluiten, sluit de browser af en herstart je PC.
Start explorer of chrome en tik in : https://xxxxx.synology.me:5001
Je hebt nu een beveiligde verbinding met je nas.
Uiteraard HTTPS verbinding inschakelen in DSM.
Veel succes allemaal.
Ik hoop dat Jozef mij nog kan helpen met een paar vragen tzv deze overigens heel heldere uitleg.
1. je zegt in stap 10 "Vul bij gemeenschappelijke naam het IP adres in waarop je NAS bereikbaar moet zijn." Is dit het IP adres van de NAS zelf? Vervolgens merk je op "Dit vind je in configuratiescherm, externe toegang, DDNS". Ik zie slechts een leeg veld?
2. Om de procedure te vervolgen heb ik het IP adres van de NAS ingevuld. Ik ben gekomen tot de 'archive.zip'. Daarin zaten niet de .crt bestandjes, maar .pem bestandjes. Klikken op de rechtermuisknop bracht me niet verder: ik kon niet de optie kiezen om het certificaat te installeren.
Als meer informatie nodig is, verneem ik dat gaarne en zal zo goed als mogelijk verdere toelichting geven.
-
De handleiding van Jozef is uit 2014; de handelingen zijn ietwat anders.
Ik zie een nieuw certificaat op mijn DS met als naam het publieke IP adres ( geen idee of dit zo moet ), maar dit IP adres heb ik opgegeven, dus niet het private. Even opgezocht in mijn router.
Ik krijg ook een viertal .pem bestanden, en dan....weet ik het niet meer. De files heten cert.pem, privkey.pem, syno-ca-cert.pem en syno-ca-privkey.pem
Alvorens ik vanalles verknal, hoop ik dat iemand met meer verstand van deze materie ons kan leiden naar de oplossing :-)
Nog ff gegoogled: .pem bestanden zijn certificaten, net zoals .crt files. Maar waar nu welk certificaat installeren/importeren ?
Heet van de naald: Encrypten via Lets Encrypt service ( video op 18 maart toegevoegd door Synology zelf. ) Wellicht ook een mogelijkheid
....maar ook dit lukt niet :'( :'(
-
Ik loop tegen precies hetzelfde probleem en heb dezelfde certificaat bestanden gekregen. Maar hoe nu verder is mij niet duidelijk en helaas wordt hier geen antwoord opgegeven.
Ik ben er naar mijn gevoel bijna maar struikel over de laatste hindernis. Zou iemand mij hiermee alsnog kunnen helpen hoe en welke bestanden dan waar moet installeren om het geheel werkend te krijgen.
Ik ben er nu al heel lang mee bezig om het voor elkaar te krijgen. En zou het fijn vinden om het werkend te krijgen. Verder is de handleiding erg duidelijk, dank daar in ieder geval voor.
Alvast bedankt voor de moeite.
-
Het verhaal van Jozef is niet correct.
Als je een certificaat hebt gemaakt, dan staat daar het domein in waarmee je de NAS gaat benaderen, b.v. pietjepuk.synology.me.
Vanaf hier: "Exporteer het certificaat, er wordt een archive.zip opgeslagen op je computer" t/m hier: "Klik op sluiten, sluit de browser af en herstart je PC." is niet nodig.
Vervolgens geeft je in de browser op: pietjepuk.synology.me:5001
Als dit lukt, dan kun je nog een stap verder, eerst maar eens kijken of dit werkt.
-
Dank je wel. Ik ga alles even opnieuw doen en sla het aangeven stuk over en dan laat ik hier weten of het wel of niet gelukt is.
Hopelijk het eerste en alvast bedankt.
-
Ik heb alles meerdere malen geprobeerd en krijg telkens wanneer ik naar de NAS wil met https://xxxx.synology.me:5001 de melding dat de pagina onbenaderbaar is met in details de onderstaande foutmelding.
There was a temporary DNS error. Try refreshing the page.
Error Code: INET_E_RESOURCE_NOT_FOUND
Ik heb nu even geen idee wat er fout gaat. Hebben jullie nog een idee of tips.
Ik heb het gedeelte wat ik moest overslaan ook niet gedaan. Maar dus met geen enkel resultaat tot dus ver.
Ik zie ook nergens enige certificaat staan in de certificaat menu settings, klopt dat?
Ik hoor graag van jullie wordt er radeloos van zo.