Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: MacFreak op 09 januari 2017, 14:51:43
-
Hi,
Ik probeer een eigen certificaat aan te maken via DSM (Configuratiescherm -> Beveiliging -> Certificaat -> Toevoegen -> 'Een nieuw certificaat toevoegen' -> 'Krijg een certificaat van Let's Encrypt' -> 'mijndomein.nl' + 'mijnmailadres@hotmail.com' -> Toepassen).
Dan krijg ik de volgende foutmelding: "De bewerking is mislukt. Meld u opnieuw aan bij DSM en probeer het opnieuw."
Dit heb ik natuurlijk in meerdere browsers geprobeerd, maar dat help niets... :S
Heeft iemand hier misschien ervaring mee?
Alvast bedankt, groeten Tom
-
weet je zeker dat poort 80 (en 443) openstaan op je verbinding?
En komt mijndomain.nl wel uit op je NAS?
-
Ik had mijndomein.nl al naar mijn Ziggo publieke ip adres verwezen.
En ik moest alleen dus nog port-forwarding op mijn Ziggo horizon mediabox aanzetten (dit voor tcp/80 en tcp/443 en de alternatieve http en https poorten gedaan); toen lukte het wel.
Ander vraagje; is dit certificaat alleen voor externe verbindingen; deze 'koppelt' eigenlijk alleen mijndomein.nl aan het apparaat, toch?
M.a.w. door middel van het certificaat 'weet' de client dat mijn Synology is, wie hij zegt dat hij is....
#verwarrendallemaal
-
Een certificaat maakt een website "betrouwbaar".
Het koppelt niet een IP adres aan een apparaat.
Daar is DDNS voor bedacht.
-
Een kleine correctie op bovenstaande. Een certificaat maakt niet de website betrouwbaar, maar de verbinding met de website. Ook op een criminele website kun je gewoon een certificaat zetten. ;)
-
Dat bedoel ik eigenlijk, ik zeg het verkeerd ;)
-
Zelfs een kleine correctie/aanvulling daarop...igv een proxy (is eigenlijk ook een man in the middle) praat je ook niet rechtstreeks met de server, maar met een proxy; vandaar dat ook https diep in de packets geïnspecteerd kan worden (is het principe van een 4th gen firewall; deze moet ook op malware kunnen checken). De verbinding zelf is op zich wel betrouwbaar, als diegene is wie je denkt dat hij is.
Bedankt allemaal voor de snelle hulp en ophelderingen :) (jullie (dit forum) reageren echt sneller dan de meeste andere fora die ik eerder gebruikt heb).
Groetjes, Tom
-
Ander vraagje; is dit certificaat alleen voor externe verbindingen; deze 'koppelt' eigenlijk alleen mijndomein.nl aan het apparaat, toch?
Ja, alleen voor de externe verbinding omdat Let's Encrypt, via poort 80, elke url in het certificaat controleert. Je kunt dus geen IP adressen of interne domeinnamen in het certificaat opnemen. Iets wat met een self signed certificaat wel kan.
Alleen jammer dat je geen wildcards kunt gebruiken. Ik heb vandaag weer de bestaande certificaten kunnen weggooien en een nieuwe moeten aanmaken omdat ik ook "chat.mijndomein.nl" moest toevoegen. (Voor de beta van de Synology chat-applicatie)
-
https diep in de packets geïnspecteerd kan worden
Alleen als je het certificaat van de proxy accepteert...dat is een keuze, vertrouw je die partij... het breekt de hele bedoeling van HTTPS!
De verbinding zelf is op zich wel betrouwbaar
Is op zichzelf dus niet waar...MITM is dus Not Done!
MITM gebeurt vaker dan je denkt, weleens de algemene voorwaarden gelezen als je aanmelden moet op een hotspot of certificaat melding krijgt?
-
MOD: Niet onnodig citeren.
Nou, dat is dus wel precies de manier dat een product als FirePOWER van Cisco (ongetwijfeld zullen dat er veel meer zijn) jouw verkeer onderschept en zich voordoet als jou... Natuurlijk moet jij het certificaat van de FirePOWER geaccepteerd hebben, maar er is een tweede/aparte secure verbinding tussen de server die jij probeert te benaderen en de Cisco FP; de Cisco FP is in dit geval de man in the middle en is doodnormaal in de IPS wereld :)
[attach=1]
In privé situaties gaat dit natuurlijk niet op, maar zakelijk zeer zeker wel. Er is dan zelfs geen muisklik van jou voor nodig om een cert te accepteren, gewoon via een group policy of inlogscript.
(3 weken terug nog een training over gehad)
-
Als je het interessant vindt...:
[attach=1]
[attach=2]
Groetjes, Tom
-
Hoe men het went of keert, het breekt het SSL principe. Gebruikers zijn zich niet bewust van mogelijke gevolgen.
en is doodnormaal in de IPS wereld
Bedrijfsmatig prima wat mij betreft, als de werknemers daarvan op de hoogte gesteld worden.
-
Hmmm...denk het niet ;)
Zal ook wel in een aanvulling van de arbeidsvoorwaarden aangegeven zijn.
-
In elk geval kun je dan zelf het certificaat niet controleren. Als je verbinding met je bank maakt en controleert het certificaat, zoals de bank eist, dan zie je plots een certificaat dat niet van je bank is.
Je weet dan dat er een MIT gaande is, dat zou mij geen goed gevoel geven.
Als systeembeheerder zal het wel een goed gevoel zijn om ook het SSL verkeer te kunnen controleren. ;)
-
Daar zit wel iets in, maar vandaar dat dit soort apparaten ook van reputaties in verschillende gradaties op het internet uitgaat. Verkeer van en naar een bank site, zal vrijwel altijd encrypted doorgelaten worden, daar vind je het certificaat dan ook gewoon van op de PC. Tenzij deze bank een wat slechtere reputatie heeft.
Hier de site met reputaties van Cisco: http://www.senderbase.org/