Maak je eigen multi-domein SSL certificaat

[Tim__]

Volgens synology support moet je poort 80 open laten staan voor de auto renew van het certificaat. Ik heb mijn firewall van de NAS zei ingesteld dat enkel BE & US zijn toegelaten op poort 80... Ik ben benieuwd of de renew zal lukken binnen een paar weken.

Bedankt voor je uitgebreide info trouwens Briolet.

[Briolet]

Veel websites draaien onder een www subdomein. Als je dan alleen een certificaat voor die www.mijndomein.nl koopt, zal iemand die met https://mijndomein.nl probeert in te loggen alsnog een certificaat fout krijgen.

En dat is niet theoretisch, want ik ben dat in de praktijk vaker tegengekomen. Een firma geeft alleen een url door zonder www in zijn publicaties. Hij verwacht dan dat mensen dat intikken en dan ge-redirect worden naar het www subdomein met certificaat. Als je dan uit veiligheidsredenen direct https intikt met de opgegeven url, loop je tegen die certificaat error aan.

Een wildcard subdomein toevoegen aan je certificaat lost dit op. Of alle subdomeinen specificeren.

NB ik liep nog tegen een bugje aan in het Synology certificaat maken. Dat heb ik als edit aan mijn vorige bericht toegevoegd, om alle relevante info op 1 pagina te hebben.

[DerSjos]

Update: Via Synology maak je sinds DSM 6.0 ook multidomein certificaten aan.

In DSM 6.0 zit de optie om Multi-domein certificaten te maken via Let's Encrypt. Deze zijn gesigneerd door Let's Encrypt dus geven geen browser waarschuwingen.

Als je om wat voor reden dan ook geen certificaat van Let's Encrypt wilt maken, kun je een self-signed certificaat via Synology maken. Er worden dan twee certificaten gemaakt. Het root certificaat en het gebruikers certificaat. Het root certificaat moet je vervolgens in je systeem of browser opslaan om geen foutmeldingen te krijgen.

Persoonlijk vind ik de paginas van Synology een beetje verwarrend, daarom geef ik ze hier nog eens weer. Het zijn twee paginas die bijna gelijk zijn. De eerste pagina is voor de root certificaat (De Certificaat Authority), de tweede voor het gebruikers certificaat. De twee velden met de rode pijl moeten verschillend zijn. Bij de eerste laat je de naam op 'CA' eindigen voor herkenbaarheid.

De certificaten hebben beiden een geldigheid van 10 jaar met een SHA256 handtekeningalgoritme.  (kun je niet zelf instellen in de GUI)

(Link naar bijlage)

(Link naar bijlage)

Dit certificaat heeft nu alle kenmerken uit mijn eerste post. Dus vervalt eigenlijk de noodzaak om hier zelf mee aan de slag te gaan.

Edit: ik zie dat er een bug in het certificaat zit. Als je nml alternatieve namen bevat, wordt het eerdere veld met je domeinnaam niet meer gebruikt. Bij de Let's Encrypt certificaten wordt die domeinnaam automatisch aan de ingevulde alternatieve namen toegevoegd. Bij het Synology certificaat gebeurt dit niet. Dus daar moet je de domeinnaam ook nog eens toevoegen bij de alternatieve namen.
Jammer genoeg laat Synology niet toe om een '*' teken in de naam te gebruiken. Dus een wildcard subdomein aanmaken kan niet via deze methode.

Briolet, ik zou graag willen vernemen wat de vervolgstappen zijn nadat het gebruikscertificaat is aangemaakt en de knop 'toepassen' is geklikt. Zou je dit met een step by step uitleg kunnen toelichten svp?

[ramonvanbiljouw]

Wat een top post. Dank Briolet en de andere bijdragers!

[Briolet]

Ik kwam er vandaag achter dat je nu ook een eigen IP adres in het certificaat kunt krijgen via de GUI van Synology voor een self-signed certificaat.  Dus ook daarvoor hoef niet niet meer met OpenSSL unixcode uit dit topic aan de gang.

Ik heb net een self-signed certificaat gemaakt en mijn synology ddns naam en het IP van mijn nas bij alternatieve naam ingetikt. Dit wordt nu netjes in het certificaat verwerkt.



Ik heb geen idee hoe lang dit al mogelijk is, maar de vorige keer dat ik dit probeerde kreeg ik een foutmelding.

[Briolet]

Even een update omdat Synology de geldigheid van de aangemaakte certificaten verlaagd heeft naar 1 jaar, wat een slechte zaak is.

Browsers accepteren sinds eind vorig jaar geen gebruikerscertificaten meer die langer dan 13 maand geleden uitgegeven zijn. Ook al is de ingestelde geldigheid langer. Die 13 maand is gekozen zodat je de certificaten elk jaar kunt updaten en dan nog een speelruimte van 1 maand hebt. Synology is hier roomser dan de paus en maakt er direct 12 maand van. Dat betekent dat je ze elk jaar een paar dagen eerder moet vernieuwen.

Ik merk nog een probleem omdat ze ook de rootcertificaten een geldigheid geven van 12 maand. (Was 10 jaar) Dat betekent dat je ook de root elk jaar moet vervangen, wat onhandig is.

Zelf heb ik de rootcertificaten op elke PC geïnstalleerd. Als ik dan via een CSR een nieuw certificaat aanmaak en met mijn root onderteken, is dat certificaat direct op elke PC geldig. Dat werkt zelfs als ik IP adressen in het certificaat zet. Maar nu de root ook slechts 1 jaar geldig is, moet je die ook elk jaar op alle PC's installeren.

Ik denk dat je nu toch weer terug moet naar de start van dit draadje en je handmatig een root certificaat moet maken via OpenSSL. Geef het een geldigheid van 10 jaar, importeer het in de nas en gebruik deze dan voor het ondertekenen.