Auteur Topic: Maak je eigen SSL certificaat  (gelezen 12089 keer)

Dit onderwerp bevat een als beste antwoord gemarkeerd bericht. Klik hier om er direct naartoe te gaan.

Martijn85

  • Gast
Maak je eigen SSL certificaat
« Gepost op: 21 februari 2012, 11:54:41 »
Wat is een SSL certificaat

Ik ga er vanuit dat je optware al geïnstalleerd hebt zodat je IPKG commando`s kan uitvoeren.
Heb je optware nog niet geïnstalleerd, bekijk dan deze pagina.

Login op je DiskStation via SSH of Telnet met de gebruiker: root

We moeten eerst openssl geïnstalleerd hebben om een certificaat aan te kunnen maken. Om openssl te installeren voeren we het volgende commando uit:

ipkg install openssl
Nu kunnen we een certificaat aanmaken.

We gaan het certificaat opslaan naar een map waar we gemakkelijk bij kunnen komen, hiervoor gaan we de map public, type hiervoor het volgende commando:

cd /volume1/public
Nu gaan we het certificaat aanmaken, type hiervoor het volgende commando:

openssl req -nodes -newkey rsa:2048 -keyout server.key -x509 -days 365 -out server.crt
Volg nu de instructies, je kunt hier de gegevens naar eigen wens invullen. Als je certificaat is aangemaakt kun je deze terug vinden in je public map.

Je kunt het certificaat gebruiken voor bijvoorbeeld je web server die op de DiskStation staat.

[9-10-2014, Toevoeging door Briolet: Op DSM 5.0 staat OpenSSL al geïnstalleerd, alleen de config file die voor de certificaat aanmaak nodig is, ontbreekt op de standaard lokatie. Je kunt echter een eigen config file gebruiken door achter het commando '-config openssl.cnf' te plakken. Je moet dan alleen nog ergens een config file opduikelen]

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: Maak je eigen SSL certificaat
« Reactie #1 Gepost op: 06 oktober 2014, 00:33:52 »
NB OpenSSL maakt standaard een certificaat met een SHA1 algoritme. Dat is nog steeds sterk genoeg, maar door de toegenomen rekenkracht wordt verwacht dat dit binnen afzienbare tijd kraakbaar wordt.

Daarom hebben Firefox en Chrome al aangekondigd in de toekomst te stoppen om deze certificaten als veilig te bestempelen. Beter is het om een SHA2 codering te gebruiken. Een onderdeel daarvan is SHA 256. Door toevoeging van "-sha256" aan bovenstaande code maak je een certificaat met deze sterkere hash.

openssl req -nodes -sha256 -newkey rsa:2048 -keyout server.key -x509 -days 365 -out server.crt
Overigens is het op de iMac voldoende om alleen bovenstaande regel in te vullen in de terminal van de mac zelf omdat daar OpenSSL al aanwezig is. Je hebt wel minimaal OpenSSL version 0.9.8o nodig voor de SHA256 codering maar dat is onder Mavericks in elk geval aanwezig. (Net getest)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline TopGear_1542

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 70
  • -Ontvangen: 14
  • Berichten: 266
Re: Maak je eigen SSL certificaat
« Reactie #2 Gepost op: 06 oktober 2014, 06:21:43 »
Misschien een hele domme vraag, maar wat is het verschil tussen een zelfondertekend certificaat via de UI en de manier waarop jullie het beschrijven?
DS918+, DS713+, DS215J

Offline TonVH

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 86
  • -Ontvangen: 428
  • Berichten: 3.352
Re: Maak je eigen SSL certificaat
« Reactie #3 Gepost op: 06 oktober 2014, 07:50:33 »
Ik heb me nooit verdiept in die certificaten maar is het niet zo dat ze alleen zin hebben als ze ook bij een neutrale instantie gedeponeerd zijn zodat elke browser en meer ze kan controleren. En die instantie zal dat vast niet gratis doen. Dus met maken ben je er nog niet.

Problemen kun je op 2 manieren oplossen: simpel of ingewikkeld.
Firewalls maken meer kapot dan je lief is. Problemen?
Zet dan eens de Firewall uit en kijk of er nog steeds een probleem is.

-------------------------------------------
DS415+, DS216+II, DS116, DS114

Offline TopGear_1542

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 70
  • -Ontvangen: 14
  • Berichten: 266
Re: Maak je eigen SSL certificaat
« Reactie #4 Gepost op: 06 oktober 2014, 09:39:30 »
Bedankt voor je reactie om te beginnen.

Het voordeel van een certificaat aanschaffen bij een erkende instantie is dat certificaten door de browser geaccepteerd zullen worden en dat je geen melding krijgt dat het certificaat ongeldig is. Een zelf gemaakt certificaat kan je ook importeren in je browser of besturingssysteem. Daarmee omzeil je de melding van het ongeldige certificaat. Als er ook andere (externe) mensen gebruik maken van je NAS, zullen zij nog steeds deze melding krijgen. Het gaat mij om het verschil tussen het aanmaken van het certificaat zoals hierboven beschreven of via de UI van DSM.
DS918+, DS713+, DS215J

Gemarkeerd als beste antwoord door Gepost op Vandaag om 03:23:54

Offline Jozef

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 8
  • Berichten: 115
  • Trial by error
    • Computerhulp Lopik
Re: Maak je eigen SSL certificaat
« Reactie #5 Gepost op: 06 oktober 2014, 10:41:31 »
  • Beste antwoord ongedaan maken
  • Je moet toch elk certificaat installeren in je besturingssysteem, ongeacht of deze via de GUI van DSM gemaakt is of dmv een andere organisatie, of ben ik nu abuis?

    Voor bv Explorer is dat dan genoeg maar voor Google moet je hem nog importerern in de browser.
    • Mijn Synology: DS212/412+
    • HDD's: 2x WDR 2GB/4x WDR 3

    Offline Babylonia

    • MVP
    • *
    • Bedankjes
    • -Gegeven: 904
    • -Ontvangen: 1482
    • Berichten: 7.951
    Re: Maak je eigen SSL certificaat
    « Reactie #6 Gepost op: 06 oktober 2014, 11:09:42 »
    Zelf kon ik met benadering via verschillende PC's altijd met enkel een opkomende waarschuwing van "onveilige website" en dan toch vertrouwen ermee wegkomen. In Firefox een paar schermpjes doorlopen om het ergens op te slaan / vast te leggen, van hetgeen kennelijk automatisch reeds via de internetverbinding meekomt?
    Dat hele extra gedoe wat in het begin van de draad wordt aangegeven, me daar nooit mee bezig gehouden.
    Dus ik snap eigenlijk niet al dat extra werk wat mensen doen?
    DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
    DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
    DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
                 Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

    Offline Briolet

    • Global Moderator
    • MVP
    • *
    • Bedankjes
    • -Gegeven: 180
    • -Ontvangen: 2669
    • Berichten: 16.551
    Re: Maak je eigen SSL certificaat
    « Reactie #7 Gepost op: 06 oktober 2014, 11:42:02 »
    Citaat
    van hetgeen kennelijk automatisch reeds via de internetverbinding meekomt?

    Ja, met een verbinding wordt het certificaat (Public key) meegestuurd zodat het systeem hem met zijn eigen kopie kan vergelijken. Via een browser kun je hem simpel via het slotje bekijken. Een certificaat van een mailprogramma is lastiger, maar kun je toch nog via b.v. Wireschark bekijken als je het verkeer aftapt.
    Op de Mac is het heel simpel om een self-signed certificaat aan je systeem toe te voegen tijdens de eerste inlog of verbinding met een mailprogramma. Firefox bied ook een relatief simpele optie om vanuit de verbinding dat certificaat op te slaan. Chrome is een ellende en kan dat niet. Met IE heb ik geen ervaring.

    Het 'gedoe' uit de eerste post stamt uit 2012, toen Synology nog niet zelf de optie bood om een certificaat te maken. Dat is nu niet meer strikt nodig. Maar bij mijn weten maakt Synology een certificaat met een SHA-1 ondertekening en in elk geval twee browser fabrikanten hebben afgelopen maand aangegeven onderscheid te gaan maken tussen SHA-1 ondertekening en sterkere ondertekeningen. Dit om de certificaatverstrekkers alvast te pushen om dit bij een volgende uitgave aan te passen. Zie ook Einde+SHA-1+probleem+voor+Windows+XP+SP2+en+Android+2_2

    Dus bovenstaande methode kan nog steeds handig zijn voor mensen die meer controle over het eigen certificaat willen hebben.

    Dit topic gaat over self-signed certificaten. Certificaten die door een bekende root autoriteit ondertekend zijn is een heel ander verhaal en hoort niet in dit topic thuis.
    • Mijn Synology: DS415+
    • HDD's: 3x 3TB in SHR
    • Extra's: DS212J, RT1900ac

    Offline Babylonia

    • MVP
    • *
    • Bedankjes
    • -Gegeven: 904
    • -Ontvangen: 1482
    • Berichten: 7.951
    Re: Maak je eigen SSL certificaat
    « Reactie #8 Gepost op: 06 oktober 2014, 12:02:53 »
    Maar ik mag toch wel aannemen indien meerdere browsers met SHA2 coderingen gaan werken dat Synology niet stil blijft zitten en waarschijnlijk ook wel met een update van hun certificatenproblematiek zal komen?
    DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
    DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
    DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
                 Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

    Offline Jozef

    • Bedankjes
    • -Gegeven: 9
    • -Ontvangen: 8
    • Berichten: 115
    • Trial by error
      • Computerhulp Lopik
    Re: Maak je eigen SSL certificaat
    « Reactie #9 Gepost op: 06 oktober 2014, 17:35:40 »
    Ook bij chrome is het eenvoudig hoor om een certificaat te installeren, gewoon in de advanced settings bij SSL,duurt 10 seconden
    • Mijn Synology: DS212/412+
    • HDD's: 2x WDR 2GB/4x WDR 3

    Offline Briolet

    • Global Moderator
    • MVP
    • *
    • Bedankjes
    • -Gegeven: 180
    • -Ontvangen: 2669
    • Berichten: 16.551
    Re: Maak je eigen SSL certificaat
    « Reactie #10 Gepost op: 06 oktober 2014, 19:06:41 »
    Je hebt waarschijnlijk gelijk voor Windows, maar op de mac laat chrome de certificaatbeheer volledig over aan het OS. Als je daar de advanced settings opent, wordt je direct doorgestuurd naar het sleutelhanger programma op de mac.
    Als de inlog URL overeen komt met de naam in het certificaat, dan is er niets aan de hand bij Chrome. Wijkt het af, b.v. omdat je met je interne IP inlogt, dan is het onmogelijk dit te valideren zoals bij Safari wel kan.

    En dan vraag ik me nu af of je met een helemaal zelf gegenereerd certificaat niet meerdere geldige URL's kunt toevoegen… Dit is tenslotte een tweaks draadje.
    • Mijn Synology: DS415+
    • HDD's: 3x 3TB in SHR
    • Extra's: DS212J, RT1900ac

    Offline Jozef

    • Bedankjes
    • -Gegeven: 9
    • -Ontvangen: 8
    • Berichten: 115
    • Trial by error
      • Computerhulp Lopik
    Re: Maak je eigen SSL certificaat
    « Reactie #11 Gepost op: 06 oktober 2014, 19:22:52 »
    Hoi Briolet, weet niet zeker of ik helemaal begrijp wat je bedoeld maar intern beveiligt inloggen lijkt me niet zinvol toch?

    En waarom wil je meerdere externe URL's hebben in je certificaat? Kun je aangeven wat daar het voordeel van is? Ik kan het dan wel proberen door ze in te geven met een scheidingsteken.
    • Mijn Synology: DS212/412+
    • HDD's: 2x WDR 2GB/4x WDR 3

    Offline Briolet

    • Global Moderator
    • MVP
    • *
    • Bedankjes
    • -Gegeven: 180
    • -Ontvangen: 2669
    • Berichten: 16.551
    Re: Maak je eigen SSL certificaat
    « Reactie #12 Gepost op: 06 oktober 2014, 20:27:34 »
    Intern beveiligd inloggen is inderdaad weinig zinvol. Maar als je de nas ingesteld hebt om een http automatisch in een https om te zetten, ontkom je er intern ook niet aan. En als je router geen nat-loopback kent, kun je intern je url niet gebruiken.

    Meerdere url's kan voorkomen als je "mijndomein.nl" gebruikt, maar ook "www.mijndomein.nl", "mail.mijndomein.nl", etc wilt gebruiken. Ik heb nu b.v. een "imap.mijndomein.nl" aangemaakt, maar op mijn tablet moet in nu instellen om certificaat controle over te slaan omdat hij het anders niet pikt. Op mijn mac-mail programma was het genoeg om éénmalig aan te geven dat ik "imap.mijndomein.nl" vertrouw voor een "mijndomein.nl" certificaat. Dat is al beter dan de android 2.2 optie waar ik direct de gehele controle moet overslaan.
    • Mijn Synology: DS415+
    • HDD's: 3x 3TB in SHR
    • Extra's: DS212J, RT1900ac

    Offline Briolet

    • Global Moderator
    • MVP
    • *
    • Bedankjes
    • -Gegeven: 180
    • -Ontvangen: 2669
    • Berichten: 16.551
    Re: Maak je eigen SSL certificaat
    « Reactie #13 Gepost op: 06 oktober 2014, 20:50:52 »
    Multiple domain names zijn toch mogelijk in een certificaat: Wildcard_certificate.

    Ik zal daar dus eens mee gaan experimenteren.
    • Mijn Synology: DS415+
    • HDD's: 3x 3TB in SHR
    • Extra's: DS212J, RT1900ac

    Martijn85

    • Gast
    Re: Maak je eigen SSL certificaat
    « Reactie #14 Gepost op: 07 oktober 2014, 12:28:23 »
    Maak ik ook gebruik van. Werkt prima voor alle subdomeinen.


     

    Hoe maak je een niet publieke fotoalbum

    Gestart door AnonymousBoard Photo Station / Photos

    Reacties: 3
    Gelezen: 4298
    Laatste bericht 24 maart 2008, 22:03:35
    door Fraggel_ejb
    Hoe maak je een NFS share aan?

    Gestart door BinnetieBoard FTP, NFS and Samba Server

    Reacties: 12
    Gelezen: 17820
    Laatste bericht 02 februari 2012, 17:04:53
    door Maxredecker
    Hoe maak ik een Rsync copy van NAS1 voorzien van LUN naar NAS2?

    Gestart door herbiekBoard Data replicator & overige backupsoftware

    Reacties: 5
    Gelezen: 2777
    Laatste bericht 09 maart 2014, 15:48:16
    door Birdy
    Hoe maak ik een volledige backup van de NAS?

    Gestart door muppets4Board Data replicator & overige backupsoftware

    Reacties: 3
    Gelezen: 2305
    Laatste bericht 28 mei 2016, 12:36:09
    door Hofstede
    Hoe maak ik een database voor Wordpress met phpmyadmin

    Gestart door rvldjBoard Wordpress package

    Reacties: 3
    Gelezen: 3405
    Laatste bericht 02 oktober 2018, 23:13:27
    door kleinspr