Synology-Forum.nl
Firmware => Synology DSM 6.2 => Topic gestart door: arnor op 26 juni 2019, 17:58:27
-
Ik heb een certificaat voor een aantal subdomeinen waarvan er een aantal niet meer bestaan. Om de zaak overzichtelijk te houden zou ik deze willen verwijderen. Hoe doe ik dat?
-
Kan niet. Het certificaat bevat een checksum over de inhoud. Al verander je er maar één letter aan, dan wordt hij direct ongeldig.
-
Maar ..... verwijderen en een nieuw certificaat aanmaken lijkt ook niet te gaan.
Verzonden vanaf mijn iPhone met Tapatalk
-
Waar loop je tegen aan dan?
-
Dat is een ingewikkeld verhaal. Ik probeer het kort te houden.
Ik heb een Synology die o.a. is ingezet als mailserver en webserver. Door een aantal oorzaken heb ik besloten zowel de mailserver als de webserver af te bouwen. Van die gelegenheid heb ik gebruik gemaakt om naar een andere ISP over te stappen.
Een proces is gestart om de mail dus via de ISP te laten lopen. Dat is verder gelukt. Alle mail vanuit de eigen server ligt nu bij de ISP.. Mailserver is gestopt en verwijderd. De websites zijn grotendeels ook niet meer van belang en zijn inmiddels ook verwijderd. Het domein inclusief verwijzingen naar de websites zijn nog steeds opgenomen in een certificaat.
Sinds de overgang naar de nieuwe ISP blijkt het niet mogelijk gebruik te maken van Microsoft clientapps. Probeer ik verbinding te maken dan krijg ik constant als reactie dat gebruikersnaam of wachtwoord niet goed is. Bijzonder is dat dit geldt voor alle Microsoftapps (zowel op Windows, Android als IOS)! Gebruik ik als test een andere app (zowel op Windows, Android als IOS) dan krijg ik zonder problemen contact. Het lijkt er dus op dat er in de Microsoftapps iets extra's zit dat in de andere apps niet zit.
Bijzonder vind ik dat ik kennelijk de enige ben die nu deze problemen heeft. De ISP meldt dat ze deze klacht niet herkennen; Microsoft heeft inmiddels de tweede lijn ingeschakeld om te zien wat er aan de hand is.
Door deze bijzonderheid probeer ik ook maar wat uit te zoeken. Ik heb het gevoel dat op een of andere wijze de Synology hierin een rol speelt. De geachte kwam dus op dat de certificaten nu nog verwijzen naar mijn Synology terwijl daar niets meer loopt. Brengt dat misschien SSl-beveiliging in de war? Ik noem maar wat.
-
Certificaten verwijzen naar een "domein-naam", niet meer, niet minder.
Als je eerder je eigen internet WAN IP-adres hebt gebruikt voor dat domein, en nu datzelfde domein is gekoppeld aan de hosting bij een ISP, lijkt het me een kwestie om de "A-records" e.d. waar o.a. de IP-adressen zijn opgenomen van het domein om die aan te passen.
Die moeten nu verwijzen naar het IP-adres of de server van die ISP, waar je de website nu hebt ondergebracht.
-
Even voor de duidelijkheid; zoals geschreven zijn de websites opgeheven. De verwijzingen voor deze oorspronkelijke websites zijn dus nog wel onderdeel van het certificaat.
De IP-adressen van de A-records verwijzen allen naar de server van de ISP. Deze A-records zijn er eigenlijk alleen voor de email (smtp.domein, pop.domein en mail.domein, een spamfilter en een fallbackserver). Er is ook een TXT-record dat ook verwijst naar de IP van ISP. Er is dus geen enkel record dat verwijst naar mijn eigen server.
Ik begrijp inmiddels dat die adressen in het certificaat nu dus verwijzen naar niets en die op die manier geen kwaad kunnen veroorzaken.
Vreemd blijf ik het wel vinden dat een dergelijk certificaat niet kan worden opgeschoond.
-
Vreemd blijf ik het wel vinden dat een dergelijk certificaat niet kan worden opgeschoond.
Je snapt kennelijk de bedoeling niet van een certificaat?
Het wordt expliciet aan een domein (of sub-domeinen) toegekend.
Dat is zoals eerder aangehaald een checksum gerelateerd aan de inhoud (het domein / sub-domein).
Al verander je er maar één letter aan, dan wordt hij direct ongeldig.
Er valt dus niets aan te veranderen. Als dat wel zou kunnen heeft de uitgifte van certificaten geen enkele zin.
Met de verhuizing en aantal zaken die niet meer van kracht zijn, zo laten wat het is,
of anders kwestie van een "nieuw" certificaat aanvragen.
-
Je kunt proberen een Lets Encrypt certificaat aan te maken en die als default in te stellen. Dan kun je wellicht oude certificaat verwijderen.
-
Babylonia: Ik denk wel degelijk te snappen wat een certificaat is. Alleen blijkt dat één en ander anders werkt dan ik had gedacht of gehoopt. Zo zou ik mij een systeem kunnen bedenken waarin een bestaand certificaat kan worden aangepast (bijvoorbeeld zoals in mijn geval een aantal subdomeinen verwijderen) dat dan wel meteen tot gevolg zou hebben dat automatisch een nieuw certificaat wordt verstrekt voor de niet aangepaste zaken waarmee automatisch het oude certificaat vervalt.
Waar ik nu vastloop is dat er één certificaat is (inderdaad, ik heb kennelijk in het verleden zitten rommelen) waarin een aantal Synologyzaken staan (Drive, WebDAV, ftp e.d.) ALSMEDE de subdomeinen die kunnen verdwijnen. Ik wil nu alleen die Synology-zaken behouden. Hoe pak ik dat dan aan. Nieuw certificaat en dan? Ik vermoed dat ik met Configureren kan aangeven voor welke zaken welk certificaat moet worden gebruikt. Als ik daarna het nieuwe certificaat als standaard aanmerk en daarna het oude certificaat verwijder komen die subdomeinen toch weer terug in het nieuwe certificaat. Wat doe ik fout?
-
…Zo zou ik mij een systeem kunnen bedenken waarin een bestaand certificaat kan worden aangepast (bijvoorbeeld zoals in mijn geval een aantal subdomeinen verwijderen) …
Zoals in de eerste reactie aangegeven kun je een certificaat niet aanpassen. Het hele doel van een certificaat is dat het iets garandeert en dat moet je het niet mogelijk maken dat je er ook maar iets aan veranderd.
Wil je een ander certificaat, dan maak je een nieuw certificaat. De oude gooi je daarna weg.
-
Waar ik nu vastloop is dat er één certificaat is (inderdaad, ik heb kennelijk in het verleden zitten rommelen) waarin een aantal Synologyzaken staan (Drive, WebDAV, ftp e.d.) ALSMEDE de subdomeinen die kunnen verdwijnen.
Ik wil nu alleen die Synology-zaken behouden.
Dus je wilt "en" een certificaat op je thuis internet aansluiting met het daarop geldende domein,
"en" een certificaat bij je ISP waar je andere zaken zijn gestald.
Twee verschillende IP-adrressen, neem dan twee verschillende domeinen.
Overigens zit bij de hosting van een website / mail-server bij een provider daar tegenwoordig automatisch ook een SSL-certicaat bij.
(Tenminste bij de provider waar ik al jaren gebruik van maak wel).
-
Ik denk vaak duidelijk te zijn maar dan blijkt dat toch weer niet over te komen en leidt dat weer tot verdere misverstanden.
Oorspronkelijk was bij de NAS een standaard Synology-certificaat geleverd. Dat certificaat bestaat niet meer. De Synologyzaken (tbv bijvoorbeeld Drive) zitten nu verweven met domeinzaken in één certificaat (dat ook het enige certificaat op mijn NAS is). De domeinzaken kunnen geheel verdwijnen. Ik wil dus eigenlijk (een nieuw) Synologycertificaat terug en daarna het bestaande certificaat verwijderen.
Hoe regel ik dit?
-
Gewoon de gebruiksaanwijzing volgen:
Een zelfondertekend certificaat aanmaken.
https://www.synology.com/nl-nl/knowledgebase/DSM/help/DSM/AdminCenter/connection_certificate
-
Ik heb de handleiding over het self signed certificaat gelezen en toegepast (in de beschreven 4 stappen).
Na het maken van het nieuwe certificaat staan er dus 2 vermeld. Ik heb het nieuwe certificaat Standaard gemaakt en het oude certificaat verwijderd. Als ik daarna het nieuwe certificaat bekijk via Configuratie is de inhoud hetzelfde als oorspronkelijk; nog steeds staan de verwijzingen naar de websites vermeld.
Ik heb het gevoel (hoewel de handleiding daar niets over zegt) dat ik nog iets met die Configuratie moet doen voordat ik het oude certificaat verwijder. Maar wat precies is me niet duidelijk. Overigens lees ik onderaan de handleiding dat bij verwijdering van een niet-standaard-certificaat de overeenkomstige diensten worden overgenomen (precies wat ik constateer).
Waar ga ik de fout in.
-
Daar kan ik je niet verder in helpen.
Zelf gebruik ik geen standaard certificaten, maar juist een SSL certificaat op domein.
(Ik heb een NL-domein op mijn WAN IP-adres internet aansluiting).
Ik vermoed dat je in de root van de NAS verwijzingen wel zou kunnen verwijderen?
Hoe dat te doen, zijn er lieden op het forum die daar meer kaas van hebben gegeten dan ik.
-
Die verwijzingen naar de oude websites vul je dan echt zelf in. Als je volgens de handleiding een self signed certificaat maakt, komt er echt niet meer in te staan dan je zelf in de invulvelden invult. Het zou een blamage zijn als synology er zelf dingen aan toevoegt.
Denk er wel aan dat je het hoofddomein ook bij alternate domeinen invult. Hier is Synology zeer inconsistent omdat het bij Let's Encrypt juist niet hoeft.
-
Ben ik nu echt zo onduidelijk? Of snap ik het toch echt niet, waarvoor dan mijn uitdrukkelijke excuses!
Ik schreef eerder enkele berichten terug dat ik terug wil naar het oorspronkelijke Synology-certificaat. Volgens mij stond daar geen domein in genoemd. Dat had ik toen ook nog niet. Nu heb ik wel een domein maar mijn Synology moet daar helemaal niets meer mee doen. De Synology is een losstaand geheel dat wel van buitenaf bereikbaar moet zijn voor bijvoorbeeld Drive en Filestation maar niet via het domein; dat gaat namelijk uitstekend met het synology.me-account.
Samengevat wil mijn Synology (wat de certificaten betreft) terug naar de situatie van oorspronkelijke levering. Of het self signed certificaat daar dan de oplossing voor is weet ik niet. Ik hoor dat graag.
-
dat ik terug wil naar het oorspronkelijke Synology-certificaat. Volgens mij stond daar geen domein in genoemd
Elk certificaat heeft een domein. Standaard is het een self-signed certificaat waar synology hun eigen domein in zet. Als je een nieuw self-signed certificaat maakt kun je daar ook het synology domein in zetten. (bij gebrek aan een andere naam als je die niet hebt). Dan heb je gewoon weer de oorspronkelijke situatie.
-
Ik geef het op.
Voorover mij bekend bestaat een domein uit een reeks karakters, een punt, en weer een aantal karakters. In het formulier voor het self signed certificaat wordt nergens om een domain of domain gevraagd. Op de voorbeeldregels wordt bijvoorbeeld ergens de naam Synology SA vermeld Ik heb zowel op plekken waarvan ik denk dat daar een domeinnaam moet komen Synology en in een latere poging een andere naam Synology.com aangegeven. Tevens meteen aangegeven dat het een standaardcertificaat moet worden.
Er ontstaat dan een nieuw certificaat. Als je op het pijltje achter de certificaten klikt staat bij beide certificaten de verwijZingen naar het nieuwe certificaat. De verwijzingen betreffen op dat moment dus ook nog steeds de oude subdomeinen. Ik heb geklikt op Configureren de juiste splitsing opgegeven naar de 2 certificaten. Het oude certificaat geeft dan de verwijzingen door naar de oude subdomeinen. Het nieuwe certificaat bevat dan alleen de services naar, zoals ze steeds noem de' synologyzaken (zoals drive webdav ftps enz.) Precies zoals ik wil.Er staat ds in het nieuwe certificaat geen verwijzing naar een subdomein. En dan .... je klikt op het oude certificaat ...... je klikt op verwijderen ...... de webserver wordt opnieuw gestart .... er staat 1 certificaat. En dan .... ja hoor, daar staan ze weer, de oude subdomeinen in het nieuwe certificaat.
Dit is nog maar een beperkt verslag van wat ik heb geprobeerd.
Het laatste wat ik heb gedaan is een ticket indienen bij Synology.
Ten slotte wil ik iedereen bedanken in hun pogingen mij terzijde te staan.
-
Doe je het wel goed? Ik heb het aanmaken van een self-signed certificaat hier (https://www.synology-forum.nl/algemeen/maak-je-eigen-multie-domein-ssl-certificaat/msg188244/#msg188244) ook eens uitgelegd.
Feitelijk maak je twee certificaten. In het eerste invulpagina maak je een root certificaat aan. (daar staat geen URL in). Op de tweede pagina maak je het gebruikers certificaat aan. Daar staat wel een URL in.
-
Het ingediende ticket heeft de oplossing gebracht.
In mijn vraag en toelichtingen heb ik het steeds gehad over websites die niet meer bestaan danwel niet meer actief waren. Ik bedoelde hiermee dat in ieder geval via mijn domein bij de ISP geen DNS-records voor websites bestaan. De gegevens stonden nog steeds wel op de NAS. En wat de eigenlijke oorzaak bleek is dat ook de Virtual Hosts nog bestonden op de NAS. Na verwijdering van de Virtual Hosts was het probleem bij mij opgelost. De websites staan nog steeds op de NAS geparkeerd.
Voor de volledigheid; Synology meldde dat naast Virtual Hosts ook de instellingen van een proxy-server naar een domein de oorzaak zouden kunnen zijn geweest. Ik heb echter geen proxy server.
-
Maar ik snap nog steeds niet het verband tussen subdomeinen in een certificaat en virtual hosts. Ik draai ook veel virtual hosts, maar heb nog nooit meegemaakt dat er (sub)domeinnamen in een certificaat komen die ik niet zelf ingevuld heb.
-
Ik denk, maar ik kan dat niet echt beoordelen, dat je gelijk hebt. Als je het niet erg vindt ga ik dat niet aan Synology uitleggen. Ik had het al moeilijk genoeg met mijn vraag aan jullie en vooral de reacties daarop. Synology-support was moeilijk te vertellen wat ik nu eigenlijk wilde en waarom. Hoewel ik de indruk heb wel degelijk te begrijpen wat een certificaat inhoudt weet ik te weinig van alle ins en outs. Na veel heen en weer geschrijf kwam dan vanmorgen een voor mij acceptabele oplossing.
Mijn vraag ontstond overigens uit een probleem dat ik kreeg door mijn beslissing mailserver op mijn NAS te beëindigen en mijn mail volledig bij een ISP neer te leggen. Ook bij mailserver speelt dat ik in de praktijk tegen zaken aanliep waarvan ik dacht: "waarom doe ik dit eigenlijk". Ik heb wel veel ervaring opgedaan met de verwerking van mail en achtergronden daarvan. Ook mede dankzij dit geweldige forum.
Het probleem met de ISP speelt deels nog steeds, maar ik weet nu zeker dat dat niets met Synology heeft te maken. Microsoft is druk bezig hierin.