Auteur Topic: Maak je eigen multi-domein SSL certificaat  (gelezen 27506 keer)

Offline Tim__

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 353
  • -Ontvangen: 81
  • Berichten: 975
Re: Maak je eigen multi-domein SSL certificaat
« Reactie #15 Gepost op: 03 april 2016, 17:33:55 »
Volgens synology support moet je poort 80 open laten staan voor de auto renew van het certificaat. Ik heb mijn firewall van de NAS zei ingesteld dat enkel BE & US zijn toegelaten op poort 80... Ik ben benieuwd of de renew zal lukken binnen een paar weken.

Bedankt voor je uitgebreide info trouwens Briolet.
  • Mijn Synology: 1517+
  • HDD's: 4 x 4TB WD RED
  • Extra's: 215j & 218+

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Maak je eigen multi-domein SSL certificaat
« Reactie #16 Gepost op: 03 april 2016, 17:52:29 »
Veel websites draaien onder een www subdomein. Als je dan alleen een certificaat voor die www.mijndomein.nl koopt, zal iemand die met https://mijndomein.nl probeert in te loggen alsnog een certificaat fout krijgen.

En dat is niet theoretisch, want ik ben dat in de praktijk vaker tegengekomen. Een firma geeft alleen een url door zonder www in zijn publicaties. Hij verwacht dan dat mensen dat intikken en dan ge-redirect worden naar het www subdomein met certificaat. Als je dan uit veiligheidsredenen direct https intikt met de opgegeven url, loop je tegen die certificaat error aan.

Een wildcard subdomein toevoegen aan je certificaat lost dit op. Of alle subdomeinen specificeren.

NB ik liep nog tegen een bugje aan in het Synology certificaat maken. Dat heb ik als edit aan mijn vorige bericht toegevoegd, om alle relevante info op 1 pagina te hebben.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline DerSjos

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 2
Re: Maak je eigen multi-domein SSL certificaat
« Reactie #17 Gepost op: 01 februari 2018, 22:52:51 »
Update: Via Synology maak je sinds DSM 6.0 ook multidomein certificaten aan.

In DSM 6.0 zit de optie om Multi-domein certificaten te maken via Let's Encrypt. Deze zijn gesigneerd door Let's Encrypt dus geven geen browser waarschuwingen.

Als je om wat voor reden dan ook geen certificaat van Let's Encrypt wilt maken, kun je een self-signed certificaat via Synology maken. Er worden dan twee certificaten gemaakt. Het root certificaat en het gebruikers certificaat. Het root certificaat moet je vervolgens in je systeem of browser opslaan om geen foutmeldingen te krijgen.

Persoonlijk vind ik de paginas van Synology een beetje verwarrend, daarom geef ik ze hier nog eens weer. Het zijn twee paginas die bijna gelijk zijn. De eerste pagina is voor de root certificaat (De Certificaat Authority), de tweede voor het gebruikers certificaat. De twee velden met de rode pijl moeten verschillend zijn. Bij de eerste laat je de naam op 'CA' eindigen voor herkenbaarheid.

De certificaten hebben beiden een geldigheid van 10 jaar met een SHA256 handtekeningalgoritme.  (kun je niet zelf instellen in de GUI)

(Link naar bijlage)

(Link naar bijlage)

Dit certificaat heeft nu alle kenmerken uit mijn eerste post. Dus vervalt eigenlijk de noodzaak om hier zelf mee aan de slag te gaan.

Edit: ik zie dat er een bug in het certificaat zit. Als je nml alternatieve namen bevat, wordt het eerdere veld met je domeinnaam niet meer gebruikt. Bij de Let's Encrypt certificaten wordt die domeinnaam automatisch aan de ingevulde alternatieve namen toegevoegd. Bij het Synology certificaat gebeurt dit niet. Dus daar moet je de domeinnaam ook nog eens toevoegen bij de alternatieve namen.
Jammer genoeg laat Synology niet toe om een '*' teken in de naam te gebruiken. Dus een wildcard subdomein aanmaken kan niet via deze methode.
Briolet, ik zou graag willen vernemen wat de vervolgstappen zijn nadat het gebruikscertificaat is aangemaakt en de knop 'toepassen' is geklikt. Zou je dit met een step by step uitleg kunnen toelichten svp?
  • Mijn Synology: DS212j

Offline ramonvanbiljouw

Re: Maak je eigen multi-domein SSL certificaat
« Reactie #18 Gepost op: 02 februari 2018, 22:08:05 »
Wat een top post. Dank Briolet en de andere bijdragers!
  • Mijn Synology: DS216II+
  • HDD's: 2 x ST2000DM001

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Maak je eigen multi-domein SSL certificaat
« Reactie #19 Gepost op: 08 januari 2019, 18:05:23 »
Ik kwam er vandaag achter dat je nu ook een eigen IP adres in het certificaat kunt krijgen via de GUI van Synology voor een self-signed certificaat.  Dus ook daarvoor hoef niet niet meer met OpenSSL unixcode uit dit topic aan de gang.

Ik heb net een self-signed certificaat gemaakt en mijn synology ddns naam en het IP van mijn nas bij alternatieve naam ingetikt. Dit wordt nu netjes in het certificaat verwerkt.



Ik heb geen idee hoe lang dit al mogelijk is, maar de vorige keer dat ik dit probeerde kreeg ik een foutmelding.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Maak je eigen multi-domein SSL certificaat
« Reactie #20 Gepost op: 13 februari 2021, 13:14:14 »
Even een update omdat Synology de geldigheid van de aangemaakte certificaten verlaagd heeft naar 1 jaar, wat een slechte zaak is.

Browsers accepteren sinds eind vorig jaar geen gebruikerscertificaten meer die langer dan 13 maand geleden uitgegeven zijn. Ook al is de ingestelde geldigheid langer. Die 13 maand is gekozen zodat je de certificaten elk jaar kunt updaten en dan nog een speelruimte van 1 maand hebt. Synology is hier roomser dan de paus en maakt er direct 12 maand van. Dat betekent dat je ze elk jaar een paar dagen eerder moet vernieuwen.

Ik merk nog een probleem omdat ze ook de rootcertificaten een geldigheid geven van 12 maand. (Was 10 jaar) Dat betekent dat je ook de root elk jaar moet vervangen, wat onhandig is.

Zelf heb ik de rootcertificaten op elke PC geïnstalleerd. Als ik dan via een CSR een nieuw certificaat aanmaak en met mijn root onderteken, is dat certificaat direct op elke PC geldig. Dat werkt zelfs als ik IP adressen in het certificaat zet. Maar nu de root ook slechts 1 jaar geldig is, moet je die ook elk jaar op alle PC's installeren.

Ik denk dat je nu toch weer terug moet naar de start van dit draadje en je handmatig een root certificaat moet maken via OpenSSL. Geef het een geldigheid van 10 jaar, importeer het in de nas en gebruik deze dan voor het ondertekenen.

  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

Hoe maak je een niet publieke fotoalbum

Gestart door AnonymousBoard Photo Station / Photos

Reacties: 3
Gelezen: 4319
Laatste bericht 24 maart 2008, 22:03:35
door Fraggel_ejb
Hoe maak je een NFS share aan?

Gestart door BinnetieBoard FTP, NFS and Samba Server

Reacties: 12
Gelezen: 17925
Laatste bericht 02 februari 2012, 17:04:53
door Maxredecker
Hoe maak ik de complete inhoud van een (sub)map zichtbaar voor eindgebruiker ?

Gestart door vdweerdBoard Web Station

Reacties: 17
Gelezen: 8404
Laatste bericht 08 juni 2013, 13:57:37
door vdweerd
Hoe maak ik een volledige backup van de NAS?

Gestart door muppets4Board Data replicator & overige backupsoftware

Reacties: 3
Gelezen: 2325
Laatste bericht 28 mei 2016, 12:36:09
door Hofstede
Hoe maak ik een database voor Wordpress met phpmyadmin

Gestart door rvldjBoard Wordpress package

Reacties: 3
Gelezen: 3433
Laatste bericht 02 oktober 2018, 23:13:27
door kleinspr