Certificaat fout Synology

[JSD1985]

Afgelopen week heb ik in DSM 4.3 de volgende opties ingeschakeld:

• Https-verbinding inschakelen
• HTTP-Verbinndingen automatisch omleiden naar HTTPS

Dit werkte prima in Firefox (mijn standaard browser). Vanochtend wou ik even het e.e.a. experimenteren met het importeren van certificaten.

Ik ben naar het tabblad Certificaat gegaan en daar het zelfondertekende certificaat geexporteerd, het gedownloade zip bestand uitgepakt om vervolgens weer te importeren.

Als ik nu weer naar het IP-Adres van mijn NAS ga krijg ik deze foutmelding:

Certificaattype niet goedgekeurd voor toepassing. (Foutcode: sec_error_inadequate_cert_type)


Hoe is dit nu op te lossen? Ik heb ook al geprobeerd het certificaat te vernieuwen, de setting ongedaan gemaakt en de NAS enkele malen herstart maar zonder succes...

Op het tabblad Certificaat staat echter wel nog gewoon mijn zelf ondertekende certificaat met een geldige vervaldatum.

Ik hoop echt dat iemand me kan helpen. Bij voorbaat dank! 

[Robbedoes]

Ik heb het certificaat gemaakt op de NAS naam die je als servernaam instelt.
Je kunt dan naar https://nasnaam:5001/ gaan en bent niet afhankelijk van je IP adres.
(In verkenner kun je dan ook naar \\NASNAAM gaan)
Je moet in je browser het persoonlijke certificaat als vertrouwd toekennen (naam-server.ctr) en daarna (in IE, Firefox weet ik niet) via internetopties, inhoud, certificaten, tabblad [Vertrouwde basiscertificeringsinstanties] installeren: naam-ca.crt.

[JSD1985]

Ik heb wel een Synology DDNS naam aangemaakt, kan het daarmee te maken hebben?

 Als ik klik op Certificaat exporteren kan ik een zip bestand downloaden waar de volgende bestanden instaan:

•ca.crt
•ca.key
•server.crt
•server.key

Bij het importeren kan ik het volgende importeren:

•Persoonlijke sleutel
•Certificaat
•Intermediar Certificaat

Als ik de ge-exporteerde items exporteer en ik zou ze weer importeren dan zou het volgens mij moeten werken maar dan krijg ik dus de eerder genoemde fout :-(

[Briolet]

Maar waar importeer je dat certificaat? Toch niet op de nas maar op je PC/smartphone/tablet?

[JSD1985]

Wel op m'n NAS ja.
Is er een mogelijkheid in DSM op reeds eerder geïmporteerde certificaten te verwijderen?

[Robbedoes]

Ik heb ook mijn certificaten weer op mijn NAS geïmporteerd, maar ik heb ze daar wel eerst aangemaakt.
Ik wilde namelijk een persoonlijke naam eraan hangen zodat ik het in mijn systemen kan herkennen.

Daarna mijn browser en systeem gedaan.

[Briolet]

Wel op m'n NAS ja.
Is er een mogelijkheid in DSM op reeds eerder geïmporteerde certificaten te verwijderen?

Dat maakt dan niet veel zin om dingen te importeren die er al op staan. Verwijderen gaat niet op een makkelijke manier. Het makkelijkst is het om dan gewoon een nieuw certificaat aan te maken. Dat kan via een van de diverse websites of met het 'openssl' unix commando. Op de mac kun je b.v. direct in de terminal intypen:

Code: [Selecteer]

openssl req -nodes -newkey rsa:2048 -keyout server.key -x509 -days 365 -out server.crtJe krijgt dan een heel dialoog met vragen waar je alle data opgeeft.

En dat certificaat wordt in de userfolder weggeschreven. Het moet ook onder linux kunnen. Op de nas zelf kan het ook maar dan moet je daar eerst 'openssl' installeren. Dit is op dit board al eens besproken, dus maar eens een search op 'openssl' doen.

[Robbedoes]

En dat certificaat wordt in de userfolder weggeschreven. Het moet ook onder linux kunnen. Op de nas zelf kan het ook maar dan moet je daar eerst 'openssl' installeren. Dit is op dit board al eens besproken, dus maar eens een search op 'openssl' doen.

Via die search werd dit geopperd:
http://forum.synology.com/wiki/index.php/How_to_generate_custom_SSL_certificates#Restoring_certificates

[JSD1985]

Om nog even terug te komen op het certificaat probleem. Ik heb nu het volgende geprobeerd:

Met het root account heb ik via PuTTY een SSL connectie opgezet naar mijn Synology. Vervolgens heb ik de volgende commando’s uitgevoerd:

cd /usr/syno/etc/ssl/ssl.crt
rm ca.crt
rm server.crt
cd /usr/syno/etc/ssl/ssl.csr
rm ca.crt
rm server.crt
cd /usr/syno/etc/ssl/ssl.key
rm ca.crt
rm server.crt
./mkcert.sh
reboot

Allereerst dus alles wat met certificaten te maken heeft verwijderd, daarna de certificaten opnieuw laten opbouwen en de NAS een reboot gegeven.

Nu krijg ik in Firefox de volgende foutmelding:

Fout tijdens het verbinden met [IP-Adres]
Certificaat van peer heeft een ongeldige ondertekening
(Foutcode: sec_error_bad_signature)

Bij het uitvoeren van het commando ./mkcert.sh krijg ik meerdere malen de onderstaande fout te zien:

WARNING: can't open config file: /usr/syno/ssl/openssl.cnf

Als ik het commando dir uitvoer op de locatie /usr/syno/etc/ssl dan zie ik dit bestand ook niet staan.
Hoe kan ik ervoor zorgen dat dit bestand hier weer komt te staan? En heeft dit een verhouding met de error die ik in Firefox krijg?

[Den1972]

Ik heb onlangs mijn certificaat vernieuwd via deze handleiding. Werkt als een zonnetje.

http://blog.mobile-harddisk.nl/tutorials/installatie-geldig-beveiligingscertificaat-op-synology-nas/