Let's encrypt auto renewal ?

[redneck eyeball]

Let's encrypt, handig, goed en gratis.
Maar wel beperkt houdbaar.

Wat ik nergens kan vinden is hoe je op de Synology het certificaat automatisch kan vernieuwen.
Net een mailtje gekregen van letsencrypt :

Your certificate (or certificates) for the names listed below will expire in 19 days (on 23 Apr 16 17:20 +0000). Please make sure to renew your certificate before then, or visitors to your website will encounter errors.

Op zich wel vreemd, want de Synology geeft aan dat het pas op 23 juni zou verlopen.

Weet iemand hoe dit precies zit met de automatische hernieuwing ?
In de beta had ik dat al aangemaakt, dat is toen wel degelijk verlopen en niet automatisch vernieuwd geweest.
Dan maar weggegooid en opnieuw aangemaakt, maar deze keer wil ik wel voorkomen dat het zou verlopen.

[Birdy]

Lees deze eens en is poort 80 wel forwarded ? Dan zal het certificaat auto vernieuwd worden.

[Briolet]

Tja, wat zou hier aan de hand zijn? Lees het "Let's Encrypt" topic dat hier staat eerst eens door. Daar staat het antwoord op je vraag.

[redneck eyeball]

Poort 80 had ik opengezet om het certificaat te kunnen maken, stond nadien opnieuw dicht.
Ik heb ook allerhande landen uitgezet in de firewall, ook de US. Ook opengezet om aan te maken, maar nadien weer dicht.
Valt die renewal nergens te forceren ? Zodat ik kan zien dat die nu wel of niet goed loopt.

[marcofranssen]

Ik heb dus hetzelfde probleem. 1 van de certificaten refresht niet. Ik wil het ook handmatig kunnen triggeren. Liefst via ssh met een script.
http://www.synology-forum.nl/dsm-6-0/letsencrypt-ssltls/msg196149/#msg196149

[pvkan]

Die renewal gaat toch niet altijd goed.
Poortje 80 open en Webservice geinstalleerd, maar certificaat toch verlopen.
Gelukkig heb ik hem wel handmatig weer opnieuw aan kunnen maken.

Peter

[Briolet]

Op mijn backup nas is hij inmiddels ook verlopen. Deze nas is niet geforward vanaf het internet. Dat had ik alleen tijdelijk bij installatie gedaan.

Zo'n 2 maand geleden is hij wel automatisch geupdate. Maar nu is hij inderdaad verlopen.



Maar dit was alleen een test voor deze nas die alleen intern gebruikt wordt. Het self-signed certificaat werkt hier voor intern gebruik, net zo goed en is voorlopig nog wel bruikbaar.

[wasdanou]

Ik was ook al een poosje aan het zoeken naar een goede oplossing om het certificaat automatisch te laten updaten. En ik denk die wel gevonden te hebben.

Port Forwarding is de makkelijkste oplossing, welke ik heb gebruikt om het certificaat initieel te installeren. Daarna heb ik dit maar weer snel uitgezet omdat het een groot beveiligingsrisico voor je Webservice op de Synology NAS inhoudt.

Verschillende Forums hebben het over het gebruik van scripts. Maar dat vond ik al teveel moeite.

Ik denk de oplossing te hebben gevonden met Port Triggering. Dit kan enkel als je router dit ondersteund. Het houdt in dat een port geopend wordt wanneer een interne applicatie, in dit geval een service op de NAS een verzoek doet richting het internet en er antwoord terug wordt gegeven/verwacht.

Ik heb volgende configuratie.

1. Ziggo modem die in een PassThrough mode is gezet. Dit kan met een belletje naar ziggo support binnen 10 minuten zijn geregeld. Je levert wel Je Wifi in op de router en je kan nog slechts 1 lan port gebruiken.

2. Achter de Ziggo modem staat een Asus RT-AC3200.

Op de Asus modem heb ik Port Triggering aangezet op port 80 en Incoming port 80 Protocol TCP.

Toen ik op de NAS ging kijken was het certificaat al geupdate. problem solved.

Enigste vraag die ik hierbij blijf houden, is of ik deze port triggering instelling kan laten staan. Ik heb nog nergens een discussie gevonden die port triggering afkeurde of kon aangeven waarom dit minder veilig zou zijn.

[Briolet]

Voor port triggering hoeft de Ziggo router niet in bridge gezet worden omdat die ook port triggering ondersteunt.

Wel een interessante optie, want port triggering is ook nodig als je soms forwards van dezefde poort naar verschillende apparaten wilt hebben. Ik heb b.v. twee nassen, maar die autorenewal werkt alleen vanaf de nas waar ik naar forward. Met port triggering zal hij op beide nassen werken, mits je port 80 niet vast forward.

[wopper]

Je kan ook port 80 alleen openzetten via de synology firewall voor

Outbound1.letsencrypt.net
Outboubd2.letsencrypt.net

Dan is het secure en toch met auto renewal. Totdat ze ooit de verificatie servers van ip wisselen maar dat zien we dan wel.

Dat van port trigger zie ik het nut niet van, wat is dat veilger dan port 80 openzetten via portforwarding?


Verzonden vanaf mijn iPhone met Tapatalk

[pvkan]

Interessante optie.
Dus dan zet je 80 op de router open naar de NAS(forward) maar in de NAS sluit je hem weer af behalve voor:
Outbound1.letsencrypt.net
Outboubd2.letsencrypt.net

Begrijp ik je zo goed?
Werkt dat?

Peter

[wasdanou]

Uiteraard is de beschreven configuratie (Ziggo in PassThrough) niet noodzakelijk. Ik had hier al eerder voor gekozen, omdat ik toch al niet tevreden was over de Wifi kwaliteit van de Ziggo Router, en een probleem had met de standaard Ziggo configuratie in combinatie met de AP-mode van mijn Asus Router. Hoe dan ook, als je Port -Trigger op je standaard Router kan instellen zal het ook werken.
Persoonlijk vindt ik het veel prettiger om mijn "instellingen vanuit de Asus te regelen.

Port Forwarden blijft vindt ik een heikel punt, omdat je wel kan aangeven dat een port enkel naar je NAS wordt doorgegeven, maar dat houdt wel in dat de port vanuit het internet open staat. Je loopt dus een beveiligingsrisico op je NAS als je hier niet afdoende bescherming hebt draaien. Ik bemerk dit bv omdat ik ook een mailserver heb draaien waarbij port forwarding wordt gebruikt op de ASUS en waarbij dagelijks wel wordt geprobeerd om aan te melden uit "onbekende" bronnen.

Port forwarding was een optie geweest als ik de exacte ip-range had gehad van de let's encrypt servers. Dan had ik er nog enigszins van uit kunnen gaan er een vertrouwde verbinding werd gemaakt.

Het geeft eenieder een keuze om portforwarden volgens "Wopper" of Port Trigger in te stellen.

[pvkan]

Ook ik heb mijn Ziggo modem in 'bridge modus' staan waardoor deze slechts als modem fungeert.
(Passthrough is meer een routertechniek die gebruikt gebruikt voor VPN verbindingen)

Ik maak liever gebruik van mijn eigen router (Linksys WRT1900ACS).
Ik ga van de week toch eens kijken naar de optie van Wopper.
Mijn certificaat moet binnenkort weer verlengd worden, dus dan kan ik mooi even kijken of dit werkt.
Op een of andere manier heb ik hier een beter gevoel bij.

Peter