Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: barbet op 17 juni 2022, 02:46:00
-
Hi,
Als ik een nieuw certificaat aanvraag voor mijn NAS via dsm 7.1 dan krijg ik een nieuw certificaat, maar de root certificaat daarvan blijft hetzelfde, en die is verlopen! Ik heb een service die mijn nas aanroept is die is er strict op dat elk certificaat in de chain geldig is (en dus faalt die service).
Hoe kan ik een certificaat aanvragen met een nieuw geldig root certificaat? Het verlopen root certificaat is de DST Root CA X3. Ik heb terminal toegang en ben bekend in linux, maar wil niet teveel zelf klooien. Het zou gewoon via de interface moeten kunnen toch?
Grtz,
Bart
-
De "DST Root CA X3" is een certificaat dat Let's Encrypt als root gebruikte en al ergens september vorig jaar vervallen is. Kort daarvoor is Let's Encrypt op een eigen root certificaat "ISRG Root X1" overgestapt. Link (https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/)
Ik vind het een vreemd probleem dat iets nog steeds dat oude root certificaat gaat gebruiken. Weet je wel zeker dat het gebruikers certificaat vernieuwd wordt?
-
Inderdaad is het root certificaat verlopen. Bij vernieuwen en zelfs bij het aanmaken van een compleet nieuw certificaat blijft dsm gebruik maken van de verlopen certificaat. Zie bijlages.
-
Zou verlopen of niet gebruikte certificaten gewoon verwijderen.
Zie DSM Help betreffende alles over certificaten. (https://kb.synology.com/nl-nl/DSM/help/DSM/AdminCenter/connection_certificate?version=7).
-
Helpt niet, nieuwe certificaten blijven die verlopen certificaat in chain gebruiken. Lijkt erop dat meer mensen er tegenaan lopen: het oude certificaat is cross-signing het nieuwe root certificaat en blijft in de chain:
https://knowledge.broadcom.com/external/article/225163/lets-encrypt-issued-certificates-dst-r.html#:~:text=DST%20Root%20CA%20X3%20Expiration,constructed%20with%20the%20expired%20cert.
(https://api-broadcom-ca.wolkenservicedesk.com/es/attachments/get_attachment_content?uniqueFileId=869856927320)
-
Zou verlopen of niet gebruikte certificaten gewoon verwijderen.
…
Dat is het probleem niet. Als er een nieuw gebruikerscertificaat gemaakt wordt, zou er helemaal niet meer met deze oude root ondertekend mogen worden. (Dit ondertekenen gebeurd bij Let's Encrypt en niet op de nas)
Het lijkt me dat er een verouderde Let's Encrypt api aangeroepen wordt, die nog met dit oude certificaat ondertekent. Allen gebruikt Synology al sinds DSM 6.2, inmiddels de nieuwere protocollen die de nieuwe root gebruiken. Het lijkt me een bug in DSM 7.1 als ze nog ergens zo'n oude api gebruiken.
-
Mogelijke bug? Dan zou ik een Ticket inleggen.
-
Ik heb een service die mijn nas aanroept is die is er strict op dat elk certificaat in de chain geldig is (en dus faalt die service).
Heb je wel al de public key van de nieuw "ISRG Root X1" root op dat device staan? Lang niet alle devices krijgen meer updates. Op mijn Android 7 telefoon moest ik die root ook zelf toevoegen omdat Samsung recente telefoons niet meer ondersteunt (Alleen nieuwe)
-
@Briolet Dit was de oplossing! Dank je. Inderdaad in Os X waar die service draait stond nog het oude CA root certificate. Oplossing was simpel: verwijderen en nieuwe van de website downloaden. Issue is verholpen.