SSL

[BCMascha]

Hallo allemaal,

Ik heb sinds kort een Synology DS215j en deze wil ik gebruiken als (voornamelijk) Cloud Station en voor meer. Nu wil ik graag dat ik met een beveiligde verbinding kan verbinden met mijn DS, ook van buitenaf. Ik heb al een beetje zitten Google'en, maar ik snap er nog niet echt heel veel van. Vandaar dit topic.

Wat moet ik nu precies doen om gewoon een beveiligde verbinding te krijgen? Allereerst koop ik misschien een domeinnaam bij versio.nl. Daarna dacht ik zelf om een SSL certificaat te kopen (Ook bij versio.nl, ~€10,-) en deze te installeren op mijn NAS, maar voordat ik dat kan kopen moet ik een CSR opgeven. Als ik deze probeer te maken in mijn NAS (Configuratiescherm>Beveiliging>Certificaat) wordt er ook om een Gemeenschappelijke naam, E-mail, Organisatie en Afdeling gevraagd. Uiteraard heb ik deze niet, maar moet dit dan wel geldig zijn? Of kan ik gewoon wat invullen, en een *@outlook.com e-mail account? Niet dat het later fout gaat ofzo?

Ook las ik dingen over dat je het zelf kan aanmaken en dat dat gewoon gratis is. Is dit dan wel veilig en beveiligd?

Een mooie uitleg zou heel erg mooi zijn.

Alvast bedankt!

[Briolet]

De nas heeft standaard al een certificaat aan boord. Alleen is die niet getekend door een algemeen bekende authoriteit. Als jij bij het eerste contact aangeeft dat je het certificaat accepteert, dan werkt die net zo goed, qua versleuteling, als een gekocht certificaat.
Nog iets beter is om op de certificaat pagina in de nas, een eigen certificaat te maken. Dan weet je zeker dat alleen jij de private key kent.

Voor eigen gebruik is dat goed genoeg. Pas als je regelmatig vreemden op je nas laat, is het voor hen vervelend om steeds die certificaat vraag te krijgen en kun je overwegen er een te kopen.

[Babylonia]

Ter oriëntatie hoe de zaken worden afgehandeld bij een "zelf ondertekend certificaat".
(Het cetificaat wat je middels de software van Synology kunt inzetten en van eigen gegevens kunt voorzien).
Het betreft een eenmalige handeling die men moet uitvoeren, als men de NAS voor de eerste keer op een vast IP-adres (of domein) benadert.

(privé gegevens / domeinnamen of IP-adressen zijn afgeschermd)


De situatie indien je  Firefox  als internet browser gebruikt:

"Deze verbinding is niet beveiligd"
Klap onderaan het pijltje naar beneden bij:   "Ik begrijp de risico's"



Klik dan op de knop:   "Uitzonderingen toevoegen"



         ......en sla het zelfondertekend certificaat op




De situatie indien je  Microsoft Internet Explorer  als internet browser gebruikt:




Situatie bij de webbrowser  Opera:  Klik op "Toch Doorgaan"




Situatie bij de webbrowser  Chrome:



Vanuit die melding kom je niet meer verder met Chrome. Daarmee is deze webbrowser de enige browser, waarbij het niet mogelijk is verder een beveiligde verbinding op te zetten met een zelfondertekend certificaat.


Wil je die eenmalige meldingen voorkomen, kun je inderdaad een eenvoudig certificaat bij een instantie aanschaffen, nadat je eerst een werkend domein voor je WAN IP-adres hebt geregistreerd.
Daar is onlangs nog een uitvoerig draadje over geweest. Er is zelfs een instantie waar je een eenvoudig certificaat gratis kunt aanvragen, maar is alleen mogelijk als je reeds een mail-server op de NAS hebt draaien, werkend onder het geregistreerde domein.

Zie volgende reactie < HIER >, en de vervolgreacties op aangekochte certificaten wat in dat geval vlotter resultaat oplevert.

Succes,  Babylonia@

[Briolet]

Nog een aantekening bij de opmerking van @Babylonia  over Chrome. Je kunt daar wel goed een self-signed certificaat gebruiken, mits je inlogt met de naam die in het certificaat staat. Dan krijg je gewoon een groen slotje.

Bij de andere browsers kun je ook toestemming geven het certificaat voor een andere inlognaam te gebruiken, dat laat Chrome niet meer toe. Ondanks het kruis door het slotje, is de verbinding bij Chrome wel beveiligd. Het kruis geeft alleen aan dat het certificaat niet gecontroleerd kan worden. Uit didactisch oogpunt is het echter fout om op deze manier verbonden te blijven.

[BCMascha]

Bedankt voor de vlugge reacties allemaal!

Ik heb inderdaad al eerder gezien dat het bij Chrome erg irritant is om constant een melding te krijgen. Ik kon met Chrome wel op "Doorgaan" drukken. Chrome is overigens mijn standaard browser. Aan de andere browser heb ik een hekel. (Vraag me niet waarom, ik weet het gewoon niet lol.) Ik ga andere mensen ook op mijn DS215j laten, dus heb ik maar gewoon een SSL bij versio.nl gekocht voor €14,- (Dat is incl. BTW en geld overmaak-kosten (@iDeal))

Uitleg voor de mensen die niet weten hoe het werkt (met versio.nl) (Omdat ik ook een uur hiermee heb lopen rommelen en er helemaal niets van snapte + niet op Google gemakkelijk kon vinden):
Ik heb zelf een domeinnaam gekocht bij versio.nl en gekoppeld aan mijn IP-adres. (DNS aanzetten in versio.nl Klantenpaneel en alle IP-adressen (Behalve 127.0.0.1) veranderen naar je eigen IP-adres) Ik weet niet of het kan zonder een eigen domeinnaam, die SSL.

Allereerst moet je een CSR aanvraag doen in je NAS bij Configuratiescherm>Beveiliging>Certificaat>Certificaat aanmaken>"Een CSR (Certificate Signing Request) aanmaken".

Hier krijg je een aantal invul-gegevens. In te vullen zijn:
• Lengte persoonlijke sleutel: 2048
• Gemeenschappelijke naam: www.jedomein.* (Met www. er voor!)
• E-mail: <Mag alles zijn, als het maar een e-mail is waar jij bij kan (Hier wordt je SSL naartoe gestuurd)>
• Land: [NL] Nederland
• Staat/Provincie: Je provincie
• Stad: Maakt niet uit, eventueel je naam
• Organisatie: Maakt niet uit
• Afdeling: Maakt niet uit

Dit op basis van wat de klantenservice mij vertelde. Nu kun je op Verder drukken en vervolgens op Downloaden. Je krijgt nu een .zip-bestand waarin server.csr en server.key instaan. Bewaar deze goed. Nu kun je bij versio.nl een SSL kopen. Op een gegeven moment krijg je de vraag om een CSR-code. Open server.csr met een teksteditor en kopieer en plak de tekst op versio.nl. Nu kun je de instructies van versio.nl volgen.

Zodra je hiermee klaar bent, kun je het ontvangen .zip-bestand openen en zal je 3 bestanden zien: CA_Inter.cer, CA_Root.cer en www_jedomein_*.cer. Nu kun je in de NAS bij Configuratiescherm>Beveiliging>Certificaat>Certificaat importeren je certificaten uploaden.
• Persoonlijke sleutel: server.key
• Certificaat: www_jedomein.*.cer
• Intermediair certificaat: CA_Inter.cer

Klik op Ok en nu kun je bij Netwerk>DSM-instellingen en Webservices HTTPS aanzetten en ben je klaar. Opmerking: Je lokale IP-adres (192.168.*.*) van je NAS zal nu als onveilig worden gezien, omdat je HTTPS alleen gekoppeld staat aan je opgegeven domeinnaam.

Zo is het mij gelukt.

[Birdy]

Bedankt voor het delen