Auteur Topic: Certificaat melding  (gelezen 2305 keer)

Offline HenkGroen

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 45
  • -Ontvangen: 26
  • Berichten: 640
Certificaat melding
« Gepost op: 18 september 2021, 10:37:03 »
Ik gebruik Drive Client 3.0.1 in combinatie met Lets Encrypt, en deze verlengd zichzelf automatisch
(eerstvolgende keer is ergens in Okt.)
Dit werkt allemaal prima op de 2 laptops die ik gebruik.


Nu heb ik 1 PC boven staan, die eens in de 2 maanden eens aangezet wordt.
Nu krijg ik op die PC de melding: (in de Drive-client)

Het SSL-certificaat is verlengd
Het SSL-certificaat is verlengd. Bewerk de verbinding om opnieuw te koppelen

Ik connect via de PC naar het interne IP-Adres van de NAS

Nu vraag is nu:
Ik snap dat het certificaat van Lets Encrypt automatisch verlengd wordt, maar waarom krijg ik dan op de PC de foutmelding.
Is dit omdat het 'te lang geleden' is dat de PC het oude/nieuwe certificaat in een bepaalde tijd wilde zien o.i.d

Hoe kan ik dit voorkomen. ?
Heeft het kopen van een certificaat voor 1 jaar (of langer), dit effect dan niet meer ?
(en zo ja: waar kan ik dan het beste een certificaat kopen voor 2 of 5 jaar)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 8005
  • Berichten: 44.028
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Certificaat melding
« Reactie #1 Gepost op: 18 september 2021, 11:14:32 »
Even off Topic.
Voor mij begrip, als Drive alleen intern gebruikt, dan hoeft dat toch niet perse met SSL gegevens overdracht codering?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline HenkGroen

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 45
  • -Ontvangen: 26
  • Berichten: 640
Re: Certificaat melding
« Reactie #2 Gepost op: 18 september 2021, 11:22:01 »
Sorry,
Ik gebruik drive ook nog extern op 1 device

Offline JR Heuwing

  • Bedankjes
  • -Gegeven: 7
  • -Ontvangen: 3
  • Berichten: 31
Re: Certificaat melding
« Reactie #3 Gepost op: 18 september 2021, 11:25:59 »
Maak je met beide laptops ook via hetzelfde IP adres verbinding met de NAS of via een domeinnaam?

Een soortgelijke melding had ik lange tijd met de mailserver. Doordat thunderbird via het interne IP adres verbinding maakte met de NAS kon ik na elke verlenging weer toestemming geven. De telefoon maakte via een domeinnaam verbinding met de server en daar verscheen de melding niet. Door ook thunderbird via het domeinnaam te laten werken heb ik de melding niet weer gekregen.
  • Mijn Synology: DS216Play
  • HDD's: 2X WD20ERFX-68EUZN0

Offline HenkGroen

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 45
  • -Ontvangen: 26
  • Berichten: 640
Re: Certificaat melding
« Reactie #4 Gepost op: 18 september 2021, 11:27:33 »
Extern gebruik ik mijn DDNS naam van Synology.me
Of QuickConnect valt natuurlijk ook onder de mogelijkheden, als dat beter zou zijn.

Offline JR Heuwing

  • Bedankjes
  • -Gegeven: 7
  • -Ontvangen: 3
  • Berichten: 31
Re: Certificaat melding
« Reactie #5 Gepost op: 18 september 2021, 11:36:54 »
Probeer op de PC ook via de synology. me link te verbinden. Ik ga ervan uit dat dan het probleem is opgelost.

De oorzaak zit erin dat het certificaat is uitgegeven voor de synology. me link en niet voor het interne IP adres.
  • Mijn Synology: DS216Play
  • HDD's: 2X WD20ERFX-68EUZN0

Offline HenkGroen

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 45
  • -Ontvangen: 26
  • Berichten: 640
Re: Certificaat melding
« Reactie #6 Gepost op: 18 september 2021, 11:54:30 »
Oke,
Ga ik proberen. Thanks voor de uitleg.

Zit er dan nog verschil tussen de QC en de synology.me variant ?
(onder water gaat de QC uiteindelijk ook naar de xxx.Synology.me toe zou ik zeggen)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.554
Re: Certificaat melding
« Reactie #7 Gepost op: 18 september 2021, 12:06:55 »
Ik connect via de PC naar het interne IP-Adres van de NAS

Een certificaat codeert niet alleen de verbinding, maar checkt ook of je met een site verbind waarvoor het certificaat is uitgegeven. Als jij met een IP verbind, controleert je cliënt ook of het certificaat voor dat IP is uitgegeven. (Dat zal bij Let's Encrypt noot het geval zijn)

Je kunt wel handmatig een uitzondering instellen om dat certificaat toch te vertrouwen. Elk certificaat heeft echter een uniek nummer en na elke verlenging van het certificaat, veranderd dat nummer en moet je het vertrouwen opnieuw bevestigen.

Het beste is om toch via een domeinnaam te verbinden die ook in het certificaat staat.  Netwerk-technisch is dat minder efficiënt omdat het verkeer nu steeds via de router naar de nas loopt en het netwerk meer belast.
Dat kun je oplossen door die domeinnaam met het interne IP ook in de 'hosts' file van je PC te zetten. Of een DNS server te installeren die deze domeinnaam rechtstreeks naar de nas stuurt. (De eerste oplossing is het simpelst, maar is niet te gebruiken op mobiele apparaten die ook buiten huis gebruikt worden)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 8005
  • Berichten: 44.028
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Certificaat melding
« Reactie #8 Gepost op: 18 september 2021, 12:13:48 »
(onder water gaat de QC uiteindelijk ook naar de xxx.Synology.me toe zou ik zeggen)
Nee, zijn twee verschillende dingen, QC zal uiteindelijk niet naar xxx.Synology.me gaan.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline HenkGroen

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 45
  • -Ontvangen: 26
  • Berichten: 640
Re: Certificaat melding
« Reactie #9 Gepost op: 18 september 2021, 12:15:13 »
Oke, Duidelijk.

Ik ga alles aanpassen naar de xxxx.synology.me variant, want daar staat hij ook onder qua certificaat.
Moet ik alleen even poort 6690 openzetten voor de Drive Server op de router & DSM

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.554
Re: Certificaat melding
« Reactie #10 Gepost op: 18 september 2021, 12:23:22 »
Die poort moet je dan idd in de router forwarden.  Of de Hosts file aanpassen. Hierover staat veel op het internet. (o.a deze) Voor windows:

Ga naar C:\WINDOWS\system32\drivers\etc en open het bestand Hosts met kladblok.

En voeg toe

123.45.67.89 xxx.synology.me

Je PC zal dan voor die domeinnaam rechtstreeks naar dat IP gaan.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline HenkGroen

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 45
  • -Ontvangen: 26
  • Berichten: 640
Re: Certificaat melding
« Reactie #11 Gepost op: 18 september 2021, 21:36:42 »
Thanks heren.
Alles is aangepast.  :clap:

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.554
Re: Certificaat melding
« Reactie #12 Gepost op: 01 oktober 2021, 13:11:49 »
Even aanhakend op dit probleem. Ik kreeg gisteren op 3 van mijn mac's de melding dat het certificaat niet meer vertrouwd werd.

Alleen gebruik ik een let's encrypt certificaat dat 5 sept vernieuwd is. Gisteren is er dus niets met het certificaat gebeurd. En ook een vernieuwing geeft bij mij nooit een waarschuwing omdat ik de domeinnaam gebruik.
Als ik op dsm inlog met de browser, dan is er geen waarschuwing. (Zelfde certificaat)

Jammer dat drive het certificaat zelf niet laat zien, zodat je controleren of hij plots een ander certificaat gebruikt. Volgens de instellingen in DSM gebruikt Drive Server gewoon het certificaat dat ook DSM gebruikt.

Hebben anderen dit ook gehad? Want net las ik een melding dat iemand ook bij dit forum een certificaat waarschuwing kreeg. En omdat het forum ook Let's Encrypt gebruikt, zou het probeem daar kunnen liggen. (onterecht terug getrokken certificaat of een validatieserver die te lang off-line is))
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline hoorna

  • Bedankjes
  • -Gegeven: 12
  • -Ontvangen: 30
  • Berichten: 149
Re: Certificaat melding
« Reactie #13 Gepost op: 01 oktober 2021, 19:30:24 »
@Briolet, ik heb een paar dagen geleden hetzelfde ervaren met Drive client op mijn Windows 10 laptop. Enige manier om het op te lossen was om de verbinding te ‘wijzigen’; dat wil zeggen het wachtwoord opnieuw invoeren.
Op een andere Windows 10 laptop speelde dit probleem niet.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.554
Re: Certificaat melding
« Reactie #14 Gepost op: 01 oktober 2021, 21:33:08 »
Ik ben er nog eens ingedoken. Ik heb de verbinding verbroken en weer aangemaakt met Wireshark actief. Vervolgens heb ik in het verkeer via poort 6690 naar de handshake gezocht.

Daar vond ik uiteindelijk de 3 uitgewisselde certificaten. (Root, intermidiate en gebruikers)
Vervolgens heb ik die vergeleken met de certificaten die de browser ziet.

Het intermediate en gebruikers certificaat zijn identiek op beide plekken. Ze hebben hetzelfde serienummer. Eigenlijk zou de root ook gelijk moeten zijn, maar dat is niet zo. Ergens lijkt het erop dat Let's Encrypt een andere root is gaan gebruiken, maar Drive nog steeds naar het oude root certificaat verwijst.

Via de browser zie ik:



Via Drive zie ik:

54198-1

De omcirkelde certificaatnummers zijn anders. Ook de geldigheid is anders. De browser ziet een root die tot 2035 geldig is en Drive toont een root die tot 2030 geldig is.
De echte Root, die ook op mijn Mac geïnstalleerd is, is de versie die ik in de browser zien.

Dit lijkt me een bug in drive waarbij data van een oude root certificaat getoont blijft worden, na een wisseling van het gebruikerscertificaat.

Let's Encrypt gebruikte vroeger de root "DST Root CA x3". Dit jaar zijn ze gewisseld.

Als ik dat oude rootcertificaat ophaal dan zie ik:



Dat certificaat is gisteren om 4 uur 's middags verlopen. Dit was ook het moment dat bij mij alle synchronisaties een foutmelding  gingen geven.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

certificaat van een externe partij te verlengen

Gestart door Leonard1052Board Synology DSM algemeen

Reacties: 21
Gelezen: 3262
Laatste bericht 17 augustus 2021, 15:21:43
door Briolet
Synology drive & Let's encrypt certificaat foutmelding

Gestart door D4nnyBoard Cloud Station & Drive

Reacties: 7
Gelezen: 2083
Laatste bericht 16 januari 2020, 09:24:29
door D4nny
VERPLAATST: Kan geen Let's Encrypt Certificaat maken in DSM6.2.

Gestart door BirdyBoard Netwerk algemeen

Reacties: 0
Gelezen: 993
Laatste bericht 07 oktober 2018, 21:06:45
door Birdy
Let's encrypt certificaat probleem

Gestart door Forum026Board Synology DSM 6.1

Reacties: 4
Gelezen: 2911
Laatste bericht 31 juli 2017, 22:41:28
door Birdy
VPn server certificaat genereren gaat niet goed

Gestart door deeptrapBoard VPN Server

Reacties: 0
Gelezen: 2084
Laatste bericht 29 december 2013, 22:47:40
door deeptrap