Auteur Topic: certificaat van een externe partij te verlengen  (gelezen 766 keer)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 481
  • -Ontvangen: 1023
  • Berichten: 5.928
Re: certificaat van een externe partij te verlengen
« Reactie #15 Gepost op: 17 augustus 2021, 12:05:17 »
Het nut van die bundle (nr 3 in jouw voorbeeld) is mij nog niet duidelijk, mede omdat het invullen daarvan optioneel is.

In het verleden heb ik het ook op moeten zoeken. Heeft mogelijk te maken met bepaalde services die je op je NAS hebt draaien.
(e-mail server ??).  De uitleg ervan is al wat langer geleden, dus weet het zo ook niet meer uit mijn hoofd.
Ik zet het er gewoon standaard bij.  Merk geen problemen.
(Misschien met de extra certificaten ook in een OpenVPN configuratiebestand, heb je nog een extra controle match erbij??)

DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN)   RT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 159
  • -Ontvangen: 2337
  • Berichten: 15.017
Re: certificaat van een externe partij te verlengen
« Reactie #16 Gepost op: 17 augustus 2021, 12:32:23 »
Citaat
heb ik geen CSR gestuurd maar via hun website aangegeven dat ik een private.key wil ontvangen

Dat is vreemd. Een serieuze uitgever van certificaten zal nooit een private key versturen. Dat houdt nml in dat jij nooit zeker weet of zij geen kopie van de private key achter houden en dus altijd in jouw ssl verkeer kunnen kijken.

De goede methode is om zelf een private key te maken en dan een CSR file te maken op basis van die private key. Dat gebeurt beide als je binnen DSM een CSR aanmaakt. De CSR stuur je op en de private key houdt je achter. Die CSR ondertekent de ssl uitgever met hun root certificaat en voegt er de gewenste domeinnamen aan toe. Vervolgens stuurt hij dit als public key (Het certificaat) naar jou terug.

Vervolgens installeer je de eerder aangemaakte private key, samen met het ontvangen certificaat op de nas.

De hele omweg via een CSR file is er juist voor ontwikkeld om te zorgen dat de private key zelf nooit door anderen gezien kan worden. Dus ook niet door de uitgever van het certificaat.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Leonard1052

  • Bedankjes
  • -Gegeven: 29
  • -Ontvangen: 0
  • Berichten: 139
Re: certificaat van een externe partij te verlengen
« Reactie #17 Gepost op: 17 augustus 2021, 12:51:32 »
Citaat
Dat is vreemd. Een serieuze uitgever van certificaten zal nooit een private key versturen.

Ja en toch is het me via deze weg gelukt. Toen ik erachter kwam dat ik die private key (uit onwetendheid weggegooid) niet meer had gaven ze wel aan dat het proces van voren af aan moest omdat zij die key ook niet meer hadden. Of dat ook daadwerkelijk zo is weet ik natuurlijk niet.
Volgend jaar, wanneer ik het certificaat weer moet verlengen zal ik voor de optie van CSR kiezen, lijkt me idd veiliger.
Synology DS210J op DSM 5.2-5967 Update 9 en Synology DS214play op DSM 6.2.4-25556
Synology DS218J op DSM 7.0-41890

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 481
  • -Ontvangen: 1023
  • Berichten: 5.928
Re: certificaat van een externe partij te verlengen
« Reactie #18 Gepost op: 17 augustus 2021, 13:13:17 »
Dat is vreemd. Een serieuze uitgever van certificaten zal nooit een private key versturen.

Bij mijn serviceprovider  -als tussenpartij-  (die het vervolgens ook bij een uitgever aanvraagt),
wordt ook een private key toegestuurd (en is terug te vinden in mijn account).
DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN)   RT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 159
  • -Ontvangen: 2337
  • Berichten: 15.017
Re: certificaat van een externe partij te verlengen
« Reactie #19 Gepost op: 17 augustus 2021, 13:33:47 »
Dan is dat een foute uitgever. Punt

Soms sturen gebruikers wel eens een private key mee op bij de aanvraag. Een goede uitgever, vraagt dan om de CSR opnieuw te doen met een nieuwe private key. (Dergelijke goede praktijken zijn op dit forum ook wel gemeld)

En het klopt i.d.d dat er uitgevers zijn die zelf een private key aanmaken voor het gemak van de klant. Maar als gebruiker weet je dan nooit of ze dit niet delen met statelijke veiligheidsdiensten (al dan niet gedwongen) zodat deze diensten al je ssl verkeer kunnen ontsleutelen. Dit soort uitgevers kun je qua veiligheidsniveau niet serieus nemen.

Edit: Het zelf aanmmaken van een private key is geen rocket science. Op de nas (en elke pc) staat gewoon het commando "openssl" (of een equivalent), dat dit voor je doet:

openssl genrsa -out private.key 2048
DSM doet dat ongemerkt voor je als je nieuwe certificaten maakt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 481
  • -Ontvangen: 1023
  • Berichten: 5.928
Re: certificaat van een externe partij te verlengen
« Reactie #20 Gepost op: 17 augustus 2021, 14:57:38 »
Dan is dat een foute uitgever. Punt

Het zal best.  Ik ga er toch niet achteraan om dat te veranderen of aan te passen.
Zou ik een volledige weektaak kunnen vullen om bij allerlei organisaties wat niet klopt aan te sturen op aanpassingen.

Overigens zit die private key bijv. NIET in mijn OpenVPN configuratiebestand.
Dat is een afwijkende sleutel.  Gerelateerd aan een 2048 bit autorisatiesleutel.
(Naast nog eens in mijn geval een tweetal certificaten).

<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
xxxxxxxxxxx
-----END OpenVPN Static key V1-----
</tls-auth>
DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN)   RT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 159
  • -Ontvangen: 2337
  • Berichten: 15.017
Re: certificaat van een externe partij te verlengen
« Reactie #21 Gepost op: 17 augustus 2021, 15:21:43 »
…Zou ik een volledige weektaak kunnen vullen om bij allerlei organisaties wat niet klopt aan te sturen op aanpassingen.

Dat klopt, maar bij een bedrijf waarbij de core-bussines het uitgeven van certificaten is, zou ik wat meer zorgvuldigheid verwachten. Ik snap wel dat ze zo veel minder probleem-vragen van klanten krijgen, waarbij het aanmaken van een private key en een CSR maken niet direct vlot. (Niet overal loopt dit zo simpel via een GUI als bij DSM).

Dan moeten ze de klanten maar iets vaker helpen en dus iets meer berekenen voor hun certificaten, want het hele ssl gebeuren berust er juist op dat de private key geheim blijft voor de buitenwereld.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)


 

Hoe SSL certificaat verwijderen!!

Gestart door antonov314Board Web Station

Reacties: 4
Gelezen: 5229
Laatste bericht 03 maart 2014, 22:40:06
door antonov314
SSL Certificaat aanvragen

Gestart door Luuk2017Board Synology DSM algemeen

Reacties: 7
Gelezen: 1220
Laatste bericht 25 juli 2017, 18:49:16
door Briolet
Sickrage + SSL Certificaat van derde

Gestart door JAJBBoard SickRage

Reacties: 2
Gelezen: 2038
Laatste bericht 09 december 2015, 16:15:19
door Birdy
certificaat aanmaken?

Gestart door stapperBoard Synology DSM 7.0

Reacties: 1
Gelezen: 185
Laatste bericht 15 augustus 2021, 10:41:44
door stapper
Krijg certificaat niet aan de praat

Gestart door rvldjBoard Synology DSM algemeen

Reacties: 4
Gelezen: 368
Laatste bericht 20 december 2019, 16:20:19
door Birdy