Synology-Forum.nl
Synology Router => Synology Router => Topic gestart door: Birdy op 04 november 2017, 20:35:41
-
Ik heb een "Self-signed certificate" gemaakt, met en zonder wildcard, getest echter, het wil maar niet werken dus, ik ben hier dus de weg even kwijt.
Nu ziet het er zo uit, met wildcard:
[attachimg=1]
Ik ga dus naar m'n Router: [attachimg=2]
Is dus onveilig.
Had ook een "Self-signed certificate" gemaakt zonder wildcard en het adres was dan: https://<DDNS-NAAM>.synology.me:8001/webman/index.cgi
Was ook onveilig.
Ik kan alleen maar klikken op "Doorgaan naar <DDNS-NAAM>.synology.me (onveilig)"
Geldt dus ook als ik een Wildcard cert. heb)
Maar dan krijg ik natuurlijk:
"Doorgaan naar pietje.<DDNS-NAAM>.synology.me (onveilig).
Hoe krijg ik dit nu wel werkend ?
Overigens, getest met Chrome en IE.
Achtergrond:
Zelf heb ik nooit Certificaten gebruikt op 1 van m'n NASsen, omdat deze alleen benaderd worden lokaal of met een OpenVPN (draaide ook op een niet Synology Router).
Nu is het zover, dat ik wel een certificaat wil hebben, voor m'n Router, die ik dan met VPN Plus > SSL VPN of WebVPN wil werken en ik dacht, even een certificaat maken en gebruiken.
Het is nog in Test fase om te zien of ik wel SSL- of WebVPN wil gaan gebruiken en als dat zo is, dan wel met een Certificaat. ;D
-
Probeer je dit van extern? Als je de NAS lokaal benaderd dan matcht de lokale URL niet met het adres dat in het certificaat staat.
Overigens beschouwen veel moderne browsers self-signed certificaten ook als onveilig.
Meestal kun je in de browser ook wel opvragen waarom hij een certificaat als onveilig beschouwd.
-
Sorry, vergeten te vermelden, het is zowel op LAN als WAN.
Meestal kun je in de browser ook wel opvragen waarom hij een certificaat als onveilig beschouwd.
Wat ik kan opvragen (voorbeeld = Chrome):
[attachimg=1]
[attachimg=2]
-
De ERR_CERT_AUTHORITY_INVALID zegt het al. Je certificaat is niet door een gecertificeerde instantie aangemaakt en wordt door de browser als onveilig beschouwd.
Is ook wel logisch natuurlijk. Zou niet goed zijn als jij een geldig certificaat aan kon maken voor het synology.me domein.
-
Dus, het "Self-signed certificate" gemaakt op de Router wordt niet als echt gezien, dat is nu duidelijk.
Ik heb begrepen, dat een Let's Encrypt Certificaat wel als echt wordt gezien echter, SRM kent geen Let's Encrypt, vreemd, of niet ?
-
Ik ken de router niet, die zal dat nog niet ondersteunen.
Maar (wat ik al in mijn vorige bericht heb aangevuld), jij zult geen geldig certificaat kunnen aanmaken voor synology.me. Ook niet met LetsEncrypt.Dat kan alleen de eigenaar van het domein, dus Synology.
Je zult dus eerst een eigen domeinnaam moeten registreren voor jezelf en daar een passend certificaat voor kopen.
Overigens kost een 3 jaar geldig domeincertificaat tegenwoordig ongeveer 20 euro. Vandaar dat ik niet eens de moeite neem om met al die “gratis” certificaat diensten te werken.
-
Bij self signed moet je zelf het root certificaat in je browser importeren. Bij Let's encrypt gebruik je een root die Chrome er al in gezet heeft.
En waarschijnlijk zit er waarschijnlijk nog een inconsistentie in hoe Synology de certificaten maakt. Ik heb er ooit een bugmelding voor gemaakt, maar er nooit een serieus antwoord op gekregen.
Een certificaat heeft twee velden voor domeinnamen. Helemaal in het begin staat er altijd één. Bij een multidomein certificaat staat de domeinen ook nog in het SAN veld. Echter, de eerste naam moet daar dan herhaald worden omdat browsers dan niet meer neer dat eerste veld behoren te kijken.
Bij de aanmaak van een Let's Encrypt certificaat, hoef je daar als gebruiker niet aan te denken, maar bij een self-signed certificaat moet je de eerste domeinnaam bij het aanmaken herhalen in het "alternate' veld, anders mist hij in je certificaat.
Vooral deze inconsistentie is vervelend. Tenzij Synology dit verbeterd heeft sinds mijn testen.
-
… jij zult geen geldig certificaat kunnen aanmaken voor synology.me. Ook niet met LetsEncrypt.Dat kan alleen de eigenaar van het domein, dus Synology.
Met self-signed kan dat wel, want daar is geen controle op.
Let's Encrypt kan dat niet, maar wel op je volledige ddns naam. Dus "birdy.synology.me" kan wel als dat de naam is. (En ook www.birdy.synology.me en cam.birdy.synology.me) Ik heb mijn ddns naam ook in het certificaat van Let's Encrypt staan.
Let's encrypt gaat volgend jaar wel een nieuwe api introduceren die wildcards gaat toestaan. Maar die api eist volgens mij ook dan je dan controle hebt op de het DNS record omdat je daar dan iets in moet zetten.
De huidige api blijft werken, maar wildcards zul je nooit kunnen gebruiken bij synolog.me
-
Bij self signed moet je zelf het root certificaat in je browser importeren.
Ook dat heb ik gedaan, helpt niet.
Daarbij, is dat natuurlijk heel vervelend als je op verschillende PC's bezig bent.
Wat ik zou willen, is dat ik een certificaat heb/krijg die ik gewoon overal, zonder importeren, kan gebruiken dus, overal is het dan voor mij veilig, dus eigenlijk wat dit Forum ook heeft waarbij niemand een certificaat hoeft te importeren.
Wat ik dus nu (waarschijnlijk) begrijp:
- "Self-signed certificate" geen optie voor mij.
- "Let's Encrypt"is een optie echter, kan niet op de Router zelf gemaakt worden.
- Een geldig certificaat maken (CSR) echter, kan dit ook met m'n DDNS als domein ? Of een domeinnaam registreren ?
-
Overigens, dit zijn de opties in de Router:
[attachimg=1]
-
Chrome werkt op de mac iets anders dan bij windows. Op de Mac beheert Chrome de certificaten niet zelf. Als ik bij Chome kies om certificaten te beheren, dan opent hij het Sleutelhanger programma van de mac. (Vergelijkbaar met de credential manager bij windows). Ik heb daar mijn root certificaat in staan voor mijn 2e nas (Voor Let's Encrypt kan ik maar 1 poort 80 forwarden naar de hoofdnas)
Dit is het self-signed certificaat op mijn 2e nas:
[attachimg=1]
-
Dat is zeker anders..... (:
Terugkomende op mijn laatste bericht, betreffende die laatste optie, dit is wat de Help aangeeft:
[attachimg=1]
Dus, wat ik begrijp, het bestaande Router certificaat (in eerder bericht) exporteren en deze naar CSR sturen om die officieel te maken en weer te importeren op de Router ?
-
Ik heb dat nog nooit gedaan maar volgens mij gebruik je de laatste optie nadat je eerst geldig certificaat op je nas hebt staan. Als je die optie gebruikt vraagt hij nml waar het certificaat staat. Ik denk dat dit dan weer afgeleide certificaten zijn van het certificaat op je nas. Je koopt er 1 en de rest hang je daar weer onder. (Dus niet wat jij nu zoekt.)
Als die router geen Let;s Encrypt heeft, zou ik er inderdaad een kopen. Maar dan ook het geld uitgeven voor een domeinnaam. Kost jaarlijks iets van 10 euro voor een nl domein. Let er bij een gekocht certificaat dan wel op welke domeinnamen er in komen. Bij voorkeur een wildcard, maar dat kost vast meer.
-
Oef....dus, optie 2 is dan de enige die overblijft ? (binnen de opties van de Router dan).
Is dit een betaalde Service ?
Of, anders gezegd, wat zou voor mij de beste optie kunnen zijn.
EDIT (23:23): Ik in Reactie #12 dat deze vraag is beantwoord (later toegevoegd dan kennelijk ;) ).
Ik zie overigens, dat @Babylonia het zo gedaan heeft:
Re: Letsencrypt cert on Synology router
Postby Babylonia » Sat Jun 17, 2017 4:34 pm
I am using an official commercial SSL certificate (Comodo). The same certificate for SRM as DSM.
An SSL certificate is connected to a domain name, a domain name to WAN IP address.
As I have only one internet WAN IP address, it fits to every device behind it.
Bron (https://forum.synology.com/enu/viewtopic.php?t=129738#p489180).
Daar wordt ook gevraagd om Let's Encrypt op de Routers (natuurlijk).
-
Hmmm, Birdy, je moet ook zelf eerst (goed) zoeken op het Forum als met vragen zit (doe ik ook wel altijd maar, dan voor anderen) :lol:
https://www.synology-forum.nl/synology-router/lets-encrypt-ssl-certificaat-srm/
Dat is misschien iets voor morgen............... ;D
-
Hm....toch morgen ook maar eens een Ticket inleggen, met de vraag: Wanneer is Let's Encrypt beschikbaar voor SRM) ;)
Dat zou iedere Synology Router bezitter moeten doen, hoe meer Tickets hoe beter.
-
Ik heb eens gekeken hoe een Certificate Signing Request werkt door hem eens uit te voeren.
Ik heb alles ingevuld op "birdy.synology.me", Je kunt hier maar één url opgeven, waarna de nas een "archive.zip" bestand aanmaakt. In die zip zitten dan twee bestanden. De een is de private key, die je nooit uit handen mag geven. De andere is een "server.csr" file. Deze file heeft de organisatie nodig die het certificaat ondertekent met hun root certificaat. #
Nu ben ik op de stoel van de ondertekenaar gaan zitten en heb hem zelf ondertekent met mijn self-signed root certificaat, die op mijn nas staat. (Via die onderste optie waar je eerder naar verwees) De nas vraagt 3 dingen. Het pad naar het "server.csr" bestand. De geldigheidsduur en de url's die in het "alternatieve naam" veld moeten komen. De ondertekenaar van het certificaat voegt blijkbaar de gevraagde extra domeinnamen toe.
Vervolgens krijg je een certificaat die er zo uit ziet:
[attachimg=1]
Hij is ondertekend door mijn root certificaat. Bij elke gebruiker dat dit root certificaat in zijn browser (of PC) installeert, zullen die "birdy" domeinnamen werken. Als dit ondertekenen door een extern bedrijf gebeurd, zal dit met een root zijn die al in je browser of PC staat.
De eerder gegenereerde private.key en het ontvangen certificaat importeer je vervolgens in de nas.
# Hier gaat het bij mensen vaker mis doordat ze de hele zip opsturen naar de uitgever van een certificaat en niet alleen de "csr" file.
-
Ik heb toch maar eens een Ticket ingelegd, met de vraag wanneer Let's Encrypt beschibaar komt in SRM, antwoord:
Thank you for contacting Synology support.
Unfortunately there is no announced plan to support Let's Encrypt in SRM at the moment. I apologize for your inconvenience.
However, I have passed this message to our developers and product management group. They will have more research on such feature. Thank you for bringing this issue to our attention.
If you need to suggest more features, you could also submit the following form to let the PM team know your ideas:
https://www.synology.com/en-us/form/inquiry/feedback
Thank you.
Best Regards,
Andrew Chen
If you need to suggest more features, you could also submit the following form to let the PM team know your ideas
Ga ik ook maar eens doen.
Waarom ? Omdat:
1 - Ik vind dat deze optie JUIST op een Synology Router hoort te zijn.
2 - Let's Encrypt super handig is.
3 - Het gratis is (Ja, ik ben een gewone Nederlander.
4 - Het Certificaat op tijd automatisch vernieuwd wordt.
5 - Mijn NASsen niet altijd aanstaan en dus de mogelijkheid bestaat dat het Let's Encrypt Certificaat niet op tijd vernieuwd wordt.
6 - Ik niet wil hannesen, indien het Certificaat op een NAS is gemaakt, met het importeren van het Certificaat in SRM.
Als er meer Leden zijn die dit ook vinden, ga dan naar https://www.synology.com/en-us/form/inquiry/feedback en doe ook een request, hoe meer requests, hoe beter. ;)
-
Punt 1 ben ik het helemaal mee eens. De router is dan wel niet het ideale apparaat waar je een webserver op draait, maar via reverse proxys kun je inkomende verbindingen naar allerlei andere apparaten op je netwerk doorsturen.
Je kunt b.v. een externe inlog via poort 443 op https://cam1.mijndomein.nl doorsturen naar poort 80 van een IP camera op je LAN. Je kunt op die manier een camera via https benaderen terwijl de camera zelf misschien helemaal geen https ondersteunt.
Bij zo'n indirecte benadering via een reverse proxy staat het certificaat op de router.