Domein / subdomein

[Briolet]

Je moet wel bij certificaten instellen welke functie welk certificaat gebruikt.

[Briolet]

Verder kun je geen discussie voeren als je steeds je eigen berichten wist. Dan is er niet meer terug te lezen.
Ik stop er dan ook mee want ik weet nu niet meer wat wel of niet geprobeerd is.

[aliazzz]

Die berichten staan compleet los?
Volgens mij staat de situatie luid en duidelijk in de recente posting.

[Birdy]

Tabelletje;
RT2600ac WAN adres = nieuw certificaat, wel slotje op 443 (yay) via DDNS domeinnaam xxx.vpnplus.to
RT2600ac  LAN adres = nieuw certificaat, geen slotje
DS1515+ LAN adres = nieuw certificaat,  geen slotje (port 80 geforward vanuit RT2600ac ivm auto-update Let's Encrypt)
DS415+ LAN adres = nieuw certificaat,  geen slotje

Let op: zelf maak ik geen gebruik van certificaten, omdat ik het niet nodig heb.

Elke NAS en Router, hebben standaard HTTPS poort 5001.
Je moet er dus voor zorgen dat elke NAS en de Router een eigen HTTPS poort hebben en deze kan je zelf instellen op de betreffende NAS en Router.

Maar, ik vraag mij af, waarom je persé een slotje wilt zien als je de NASsen alleen op LAN gebruikt, het zijn immers lokale IP-Adressen uiteindelijk dus je dan al zeker dat het je eigen NASsen zijn.
Een Certificaat vind ik pas belangrijk, als je je NASsen van buitenaf wilt gebruiken, dan wil je immers zeker zijn dat het jouw NAS is.
Als je VPN gebruikt om een verbinding te maken WAN naar je LAN Netwerk, dan zit de beveiliging al opgesloten in je VPN Certificaat.
NOTE: Dit is mijn persoonlijke mening !

[Plerry]

NOTE: Dit is mijn persoonlijke mening !

@Birdy: En wat is je onpersoonlijke mening? 

[aliazzz]

Hoi,

Het volgende: "Je moet er dus voor zorgen dat elke NAS en de Router een eigen HTTPS poort hebben en deze kan je zelf instellen op de betreffende NAS en Router."

Uiteraard gebruik ik reeds de https poorten van de nassen en router. Tevens wordt het http verkeer ook automatisch omgeleid naar https.
Echter hoe krijg ik het voor elkaar dat ook de apparatuur lokaal groene slotjes in de browser te zien krijgen? Lostaand van wat het nut of noodzaak is hiervan.

Graag hoor ik over hoe dat geconfigureerd moet worden en wat ik daar al dan niet voor nodig heb.

[dvandonkelaar]

echter no way dat ik dan slotjes krijg via hun interne webadressen.

Zolang je het interne webadres (dit lees ik als IP-adres) gebruikt krijg je (volgens mij) geen groen slotje.

[Briolet]

Zolang je het interne webadres…

Op elk adres krijg je een groen slotje, mits het certificaat is aangemaakt voor dat adres. Dat is het hele doel van een certificaat: "Het certificeren dat je verbinding hebt met het beoogde certificaat".

Je kunt ook IP adressen opnemen in een certificaat, maar dan zul je met self-signed certificaten moeten gaan werken. De self-signed certificaten van Synology ondersteunen de opname van IP adressen tegenwoordig. Voor alleen intern gebruik geen enkel probleem. Externe verstrekkers van certificaten, zullen echter nooit interne adressen certificeren omdat ze dat zelf niet kunnen controleren.

[aliazzz]

Beste allen,

Duidelijk, wwarvoor dank!

Conclusie;
1) WAN IP adressen zijn te certificeren middels een (DDNS) domeinnaam met certificaat via een CA (zoals bijvoorbeeld Let's Encryot of andere partij).
2) LAN adressen zijn te certificeren middels een self signed certificaat (voor intern gebruik/ LAN gebruik) voorzien van static LAN IP adressen.

Mijn WAN IP met ddns domeinnaam (via Synology ddns) gebruikt methode 1.
Mijn static LAN IP adressen voor mijn Nassen zullen methode 2 gaan gebruiken.


Aliazzz

[Briolet]

En gebruik de goede browser. Iets als Chrome kan niet goed met certificaten omgaan. Ik heb het b.v. eens getest met mijn 3 browsers. In mijn  systeem staat een self-signed root certificaat. Ik heb vervolgens  een gebruiklers certificaat gemaakt met een IP nummer erin via een CSR en dat op de nas geïnstalleerd.

Safari doet het netjes nadat je een uitzondering bevestigd hebt:


Bij Firefox moet je ook een uitzondering bevestigen. Dan krijg je een uitroepteken in de balk met de melding dat de verbinding niet beveiligd is. Dit is een bug omdat hij zelfs beter beveiligd is dan met een extern certificaat. Je hebt dit certificaat tenslotte helemaal zelf gemaakt waardoor je zeker weet dat er geen 3e partij mee geknoeid heeft.



Chrome maakt er helemaal een potje van. Die claimt dat het root certificaat niet vertrouwd is. Het root certificaat staat juist als vertrouwd gemarkeerd in het systeem. Chrome werkt op de mac anders dan op windows. Op de mac beheerd Chrome zelf geen certificaten, maar gebruikt die uit het systeem van de mac.
Vroeger werkte Chrome goed, maar sinds hun geknoei met certificaten, waarbij vrijwel alles verboden wordt, kun je er niet meer mee werken op een thuisnetwerk.



Je kunt die waarschuwingen negeren, maar daarmee leer je jezelf de foute gewoonte aan om waarschuwingen te negeren. Vergelijk het met het uitschakelen van een alarm dat vaak een vals alarm genereert.

[aliazzz]

Proof : mijn WAN IP met ddns domeinnaam (via Synology ddns) gebruikt methode 1.
Screenshot via firefox 

[aliazzz]

Hoi allemaal,

Draai nu een paar weken met volle tevredenheid de gratis DDNS optie met een gratis Let's Encrypt certificaat.

Opmerkingen;

• Synology SRM ondersteund NIET de aanvraag voor een (DDNS) domeinnaam met certificaat via een CA (jammer!)
• Synology DSM ondersteund WEL deze aanvraag, mits je hiervoor de webserver in DSM installeert en een portforward rule aanmaakt in SRM. Dit is noodzakelijk om de CA te laten verifieren dat het domein en ip adres echt in handen zijn van dezelfde partij (een identitycheck).
• Het aangemaakte certificaat in DSM kan dan worden geexporteerd naar SRM. Vergeet ook niet het intermediate certificate van Let's Encrypt op te halen bij Let's Encryp en de ze ook te importeren in SRM. Alhoewel niet verplicht tijdens import, zal binnen VPN Plus hier dikwijls naar gevraagd worden. Bij afwezigheid van het intermediate certificaat zal de gewenste optie niet in te schakelen zijn. Dus voor sommige pakketopties weldegelijk verplicht!