certificaat van een externe partij te verlengen

[Babylonia]

Het nut van die bundle (nr 3 in jouw voorbeeld) is mij nog niet duidelijk, mede omdat het invullen daarvan optioneel is.

In het verleden heb ik het ook op moeten zoeken. Heeft mogelijk te maken met bepaalde services die je op je NAS hebt draaien.
(e-mail server ??).  De uitleg ervan is al wat langer geleden, dus weet het zo ook niet meer uit mijn hoofd.
Ik zet het er gewoon standaard bij.  Merk geen problemen.
(Misschien met de extra certificaten ook in een OpenVPN configuratiebestand, heb je nog een extra controle match erbij??)

[Briolet]

heb ik geen CSR gestuurd maar via hun website aangegeven dat ik een private.key wil ontvangen

Dat is vreemd. Een serieuze uitgever van certificaten zal nooit een private key versturen. Dat houdt nml in dat jij nooit zeker weet of zij geen kopie van de private key achter houden en dus altijd in jouw ssl verkeer kunnen kijken.

De goede methode is om zelf een private key te maken en dan een CSR file te maken op basis van die private key. Dat gebeurt beide als je binnen DSM een CSR aanmaakt. De CSR stuur je op en de private key houdt je achter. Die CSR ondertekent de ssl uitgever met hun root certificaat en voegt er de gewenste domeinnamen aan toe. Vervolgens stuurt hij dit als public key (Het certificaat) naar jou terug.

Vervolgens installeer je de eerder aangemaakte private key, samen met het ontvangen certificaat op de nas.

De hele omweg via een CSR file is er juist voor ontwikkeld om te zorgen dat de private key zelf nooit door anderen gezien kan worden. Dus ook niet door de uitgever van het certificaat.

[Leonard1052]

Dat is vreemd. Een serieuze uitgever van certificaten zal nooit een private key versturen.

Ja en toch is het me via deze weg gelukt. Toen ik erachter kwam dat ik die private key (uit onwetendheid weggegooid) niet meer had gaven ze wel aan dat het proces van voren af aan moest omdat zij die key ook niet meer hadden. Of dat ook daadwerkelijk zo is weet ik natuurlijk niet.
Volgend jaar, wanneer ik het certificaat weer moet verlengen zal ik voor de optie van CSR kiezen, lijkt me idd veiliger.

[Babylonia]

Dat is vreemd. Een serieuze uitgever van certificaten zal nooit een private key versturen.

Bij mijn serviceprovider  -als tussenpartij-  (die het vervolgens ook bij een uitgever aanvraagt),
wordt ook een private key toegestuurd (en is terug te vinden in mijn account).

[Briolet]

Dan is dat een foute uitgever. Punt

Soms sturen gebruikers wel eens een private key mee op bij de aanvraag. Een goede uitgever, vraagt dan om de CSR opnieuw te doen met een nieuwe private key. (Dergelijke goede praktijken zijn op dit forum ook wel gemeld)

En het klopt i.d.d dat er uitgevers zijn die zelf een private key aanmaken voor het gemak van de klant. Maar als gebruiker weet je dan nooit of ze dit niet delen met statelijke veiligheidsdiensten (al dan niet gedwongen) zodat deze diensten al je ssl verkeer kunnen ontsleutelen. Dit soort uitgevers kun je qua veiligheidsniveau niet serieus nemen.

Edit: Het zelf aanmmaken van een private key is geen rocket science. Op de nas (en elke pc) staat gewoon het commando "openssl" (of een equivalent), dat dit voor je doet:

Code: [Selecteer]

openssl genrsa -out private.key 2048
DSM doet dat ongemerkt voor je als je nieuwe certificaten maakt.

[Babylonia]

Dan is dat een foute uitgever. Punt

Het zal best.  Ik ga er toch niet achteraan om dat te veranderen of aan te passen.
Zou ik een volledige weektaak kunnen vullen om bij allerlei organisaties wat niet klopt aan te sturen op aanpassingen.

Overigens zit die private key bijv. NIET in mijn OpenVPN configuratiebestand.
Dat is een afwijkende sleutel.  Gerelateerd aan een 2048 bit autorisatiesleutel.
(Naast nog eens in mijn geval een tweetal certificaten).

Code: [Selecteer]

<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
xxxxxxxxxxx
-----END OpenVPN Static key V1-----
</tls-auth>

[Briolet]

…Zou ik een volledige weektaak kunnen vullen om bij allerlei organisaties wat niet klopt aan te sturen op aanpassingen.

Dat klopt, maar bij een bedrijf waarbij de core-bussines het uitgeven van certificaten is, zou ik wat meer zorgvuldigheid verwachten. Ik snap wel dat ze zo veel minder probleem-vragen van klanten krijgen, waarbij het aanmaken van een private key en een CSR maken niet direct vlot. (Niet overal loopt dit zo simpel via een GUI als bij DSM).

Dan moeten ze de klanten maar iets vaker helpen en dus iets meer berekenen voor hun certificaten, want het hele ssl gebeuren berust er juist op dat de private key geheim blijft voor de buitenwereld.