Gevraagd: Step by step handleiding HTTPS gebruiken

[kevinmartin0]

.

[Briolet]

Lees je eerst eens in wat domeinnamen zijn. Want uit je bericht maak ik op dat je er al een hebt.

[Heppieboeddah]

Dus je kan je DDNS van synology als domeinnaam gebruiken? I.e xxxxxx synology.me

[Jozef]

Je schrijft het volgende "Nu heb ik geprobeerd om via StartSSL een SSL certificaat hiervoor te maken maar hier liep ik vast omdat er een domijnnaam moet worden ingevuld en dit heb ik niet. ik heb alleen een lokaal ip adres (10.0.0.36:5002) en een DDNS (kevinds214.synology.me)"

Je kunt een zelfondertekend certificaat maken van je synology.me ddns. Deze exporteren en inbrengen in je besturingssysteem en browser.
Dit doe je onder beveiliging bij configuratiescherm. Dit is gratis en kun je via https (5001) je nas benaderen via je synology.me ddns

[Briolet]

Het enige wat belangrijk is bij zo'n self-signed certificaat is dat de url die in het certificaat staat, gelijk is aan dat waarmee je inlogt. Dus die "Synology" ddns naam voldoet.

Zo'n certificaat kun je op vele sites laten maken. Het kost zo'n site ook niets meer dan de website zelf. Het nadeel van 'startssl' is dat ze de levensduur op 1 jaar begrenzen, dus moet je dat elk jaar herhalen. Sommige andere sites laten een langere levensduur toe en zouden daarom mijn voorkeur hebben.

Via "OpenSSL' kun je zelf dat certificaat maken met het commando:

Code: [Selecteer]

openssl req -nodes -newkey rsa:2048 -keyout server.key -x509 -days 365 -out server.crtDie gratis sites doen iets vergelijkbaars, daarom kan het ook gratis. OpenSSL staat standaard op de mac, maar niet op Windows.

[Jozef]

Klopt wat je zegt maar het kan echt makkelijker in DSM zelf met je synology DDNS. Maak gewoon een certificaat aan in DSM en exporteer deze. Bij het maken staat deze al direct op je NAS en als je het certificaat exporteert dan kun je het CA.crt bestand installeren in je Windows besturingssysteem en browser

Zie bijlage waar je het ceretificaat kunt maken en exporteren.

[Briolet]

@Jozef: Ik ben van de oude stempel die met DSM 3.2 begonnen is. Toen was er nog geen ddns van Synology en ook geen optie om certificaten te maken. En dan val je in oude patronen om iets te doen.
Maar omdat het op de mac 1 regel code is die het certificaat aanmaakt, gaat op dat OS het zelf maken nog iets sneller dan bij Synology inloggen. 

Ik zal eens voor de aardigheid eens kijken wat voor Certificaat Synology aanmaakt. Oftewel, welke velden zij alles gebruiken en of je daar de geldigheid, sleutelgrootte en SHA versie kunt instellen.

[Briolet]

Ik heb vandaag eens een certificaat aangemaakt via de optie in DSM. Dat is inderdaad makkelijk en beter dan een self-signed certificaat via StartSSL omdat die van Synology 10 jaar geldig is. Via StartSSL moet je dat elk jaar herhalen. (Ze hopen natuurlijk dat je dan eens een langer geldige gaat kopen)

Een ding was me bij het Synology certificaat niet duidelijk. Na alles ingevuld te hebben krijg je dezelfde pagina nog eens, maar met nu een extra veld onderaan. Na dat ingevuld te hebben, kreeg ik een foutmelding in de trant van:

Server certificaa en gebruikerscertificaat moeten niet gelijk zijn.

'Moeten; kan echter als vrijblijvende optie opgevat worden en uiteindelijk kwam ik erachter dat ze echt "mogen niet gelijk zijn" bedoelen, want toen ik 1 karakter veranderde kon ik hem wel aanmaken. Verder zat er een spelfout in die foutmelding. (De 't' in certificaat ontbrak. Ik dacht hier een screenshot van gemaakt te hebben voor een bugmelding, maar blijkbaar is dat toch niet gebeurd.)
Na afloop van de aanmaak kreeg ik de melding dat de bewerking mislukt was. Echter, als ik het certificaat exporteerde was er wel een aangemaakt en die werkte ook.

Dus heb ik eerst mijn oude certificaat er weer op gezet en daarna weer een nieuwe aangemaakt via DSM. Ik wilde een screenshot met die spelfout, maar nu begon hij direct een certificaat te maken, ondanks dat beide paginas gelijk ingevuld waren.  Ook nu sloot hij, na het aanmaken, af met "bewerking mislukt', maar het certificaat was er wel.

Afgezien van de verwarrende foutmeldingen werkt deze optie in dsm goed en is voor de meeste mensen veel handiger dan een self-signed certificaat via een externe site laten genereren.

Alleen als je extra features in het certificaat wilt hebben, heeft zelf maken nog zin. b.v. als een een SHA-256 ondertekende wilt hebben en niet de SHA-1 zoals Synology doet (en 85% van alle websites)

[kevinmartin0]

.

[Briolet]

…de volgende foutmelding : de informatie van basiscertificaat en servercertificaat moeten niet identiek zijn. Controleer dat de ingevoerde informatie correct is.

Dat is precies de foutmelding waar ik boven naar refereerde. Ik had bij beide in het veld 'afdeling' de tekst 'IT" geschreven. Toen ik de een in "ICT' veranderde was de foutmelding weg. En toen ik de foutmelding wilde reproduceren door nu alles bewust identiek te laten, bleef hij weg.

In elk geval was je eerste poging met de eerste certificaat-optie goed en ik vind die foutmelding ook verwarrend.

Die andere certificaat opties zijn er voor als je al ergens anders een geregistreerd certificaat hebt, dan kun je daar een nieuwe versie krijgen met nieuwe looptijd. Niet iets wat de gemiddelde gebruiker op dit forum wil.

[kevinmartin0]

.

[Jozef]

Volgens mij heb je nu niet zelf een certificaat gemaakt. Hieronder de stappen hoe het moet lukken zonder foutmelding:

Klik in het configuratiescherm op de knop <beveiliging>
Klik op het tabblad Certificaat
Klik op Certificaat aanmaken.
Kies in het scherm wat verschijnt voor: een zelfondertekend certificaat aanmaken
Klik op volgende
Vul bij gemeenschappelijke naam het adres in van je synology account, dus xxxxxx.synology.me
Vul bij emailadres een emailadres in. Let op, deze is voor iedereen zichtbaar die inlogt op je NAS
Vul bij provincie, stad, organisatie en afdeling gegevens in die je wilt
Klik op volgende
Dit scherm is belangrijker.
Vul bij gemeenschappelijke naam het IP adres in waarop je NAS bereikbaar moet zijn. Dit vind je in configuratiescherm, externe toegang, DDNS
Vul bij Onderwerp alternatieve naam wederom de naam in van je synology.me adres.
Klik op volgende om het certificaat te maken en te installeren op de NAS.

Exporteer het certificaat, er wordt een archive.zip opgeslagen op je computer
Pak dit archive.zip uit
Hier zitten 4 bestanden in, te weten:CA.crt, CA.key, Server.crt en Server key.
Het CA.crt bestand moet je nu installeren op je computer.
Klik hier op met je rechtermuisknop en kies Certificaat installeren en volg de wizard
Open de certificaat manager onder windows (Windowstoets + R) en tik in : certmgr.msc en klik op OK
Onder het kopje tussenliggende certificeringsinstanties staat een mapje Certicaten
Klik hier op en kijk aan de rechterkant of je certificaat is geïnstalleerd.
Voor internet explorer ben je nu klaar.

Voor Google chrome ga je naar de instellingen en klik daar op geavanceerde instellingen.
Ga naar < HTTPS/SSL> en klik op certificaten beheren.
In het nieuwe venster klik je op vertrouwde basiscertificeringsinstanties.
Klik vervolgens op Importeren en importeer hier het CA.crt bestand.
Klik op sluiten, sluit de browser af en herstart je PC.

Start explorer of chrome en tik in : https://xxxxx.synology.me:5001
Je hebt nu een beveiligde verbinding met je nas.

Uiteraard HTTPS verbinding inschakelen in DSM.

Veel succes allemaal.

[Heppieboeddah]

Dank voor deze zeer heldere uitleg...ga ik eens mee stoeien. .

[kevinmartin0]

.

[Briolet]

Op elke computer benaderbaar zijn zonder waarschuwingen lukt alleen met gekochte certificaten. Veiliger is dat allerminst, maar veel mensen vinden dat handiger.
In dat geval wordt een root certificaat gebruikt die op de meeste computers reeds geïnstalleerd is. De uitgever van dat certificaat geeft een firma als StartSSL een intermediate certificaat. Vervolgens gaat StartSSL op basis van dat intermediate certificaat, user certificaten aan hun klanten verkopen. Daarbij is het heel belangrijk dat een firma als StartSSL, hun klanten goed controleren op legitimiteit. Als iemand dus met een aangepast kopietje paspoort bij StartSSL aanklopt heb je best kans dat ze er mee door komen en een certificaat krijgen op de naam van een ander url.

Als gebruiker merk je dat niet en vertrouwt zo'n verbinding met slotje. Dat het wel eens mis gaat blijkt wel uit de Diginotar affaire waarbij hun database gehacked was. En er zijn ook legio voorbeelden van intermediate firmas die zonder genoeg controle een certificaat verstrekken.

Daarom heb ik er een hekel aan dat browsers de self-signed certificaten als onveilig bestempelen en de andere als veilig, terwijl het juist andersom is.  Bij een self-signed certificaat krijgt de gebruiker een waarschuwing als een certificaat voor het eerst gebruikt wordt en wordt hij het dus gedwongen het certificaat te controleren. Bij de certificaten op basis van een intermediate, wordt zelden het slotje bekeken en is het veel makkelijker om met vervalste certificaten te werken.