Auteur Topic: Installatie van SSL certificaat  (gelezen 1211 keer)

Dit onderwerp bevat een als beste antwoord gemarkeerd bericht. Klik hier om er direct naartoe te gaan.

Offline POLsyno

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 1
  • Berichten: 14
Installatie van SSL certificaat
« Gepost op: 21 februari 2024, 06:12:49 »
Wens het SSL certificaat van NoIP te installeren.

Heb het certificaat gedownload met pem-extentie (mijn_domein.pem)

Heb mijn eigen domein verbonden met mijn NAS DS 218.
Alléén is het Synology-certificaat geïnstalleerd ipv het. certificaat van NoIP.

Bij certificaatbestanden importeren, moet ik het certificaat van een certificerende autoriteit, de persoonlijke sleutel die aan het certificaat is gekoppeld en (optioneel) het intermediair certificaat importeren.

Blijkbaar is de persoonlijke sleutel vervat in mijn certificaat.

Mijn vraag: hoe haal ik die persoonlijke sleutel tevoorschijn?

Heb volgende gevonden:

Citaat
PEM to DER

The DER format uses ASN.1 encoding to store certificate or key information. Similar to the PEM format, DER stores key and certificate information in two separate files and typically uses the same file extensions (i.e., .key, .crt, and .csr). The file extension .der was used in the below examples for clarity.

Use the following command to convert a PEM encoded certificate into a DER encoded certificate:

openssl x509 -inform PEM -in yourdomain.crt -outform DER -out yourdomain.der

Vraag: waar moet ik mijn certificaat plaatsen opdat (openssl x509 ... ) zou kunnen worden uitgevoerd

Alvast dank voor aangeboden hulp. (Heb een iMac computer)



  • Mijn Synology: DS218
  • HDD's: 2x

Offline POLsyno

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 1
  • Berichten: 14
Re: Installatie van SSL certificaat
« Reactie #1 Gepost op: 21 februari 2024, 09:52:23 »
Blijkbaar moet ik hetvolgende uitvoeren om aan mijn persoonlijk sleutel te komen.

Citaat
openssl pkcs12 -export -name "yourdomain-digicert-(expiration date)" \
-out yourdomain.pfx -inkey yourdomain.key -in yourdomain.crt

Iemand ervaring hiermee?

Alvast bedankt voor steun
  • Mijn Synology: DS218
  • HDD's: 2x

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.541
Re: Installatie van SSL certificaat
« Reactie #2 Gepost op: 21 februari 2024, 10:08:02 »
De persoonlijke sleutel is, zoals de naam al zegt, persoonlijk. Die mag NoIP nooit te zien krijgen.

De standaard procedure is dat je op de PC of nas een persoonlijke sleutel aanmaakt plus een certificaat signing request. ( .csr )

Die .csr file stuur je naar de certificaat authoriteit en die maakt er een certificaat van die je terug krijgt.


Nu upload je de eerder gegenereerde persoonlijke sleutel en het certificaat naar de nas.

Citaat
Blijkbaar is de persoonlijke sleutel vervat in mijn certificaat.

Nee dus. Die had je al voordat je het certificaat kreeg omdat de certificaat uitgever die nooit mag zien.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 900
  • -Ontvangen: 1479
  • Berichten: 7.926
Re: Installatie van SSL certificaat
« Reactie #3 Gepost op: 21 februari 2024, 10:37:09 »
De persoonlijke sleutel is, zoals de naam al zegt, persoonlijk. Die mag NoIP nooit te zien krijgen.

Ik heb dus een andere ervaring bij een service provider.

Jarenlang heb ik via een service provider jaarlijks een SSL certificaat aangevraagd / vernieuwd.
Daarbij werd via die provider ook een sleutel geleverd (jaarlijks ook verschillend). Ik kreeg dus:
  • een persoonlijke sleutel
  • een certificaat
  • een intermediair certificaat
Die drie kon ik importeren in de NAS. (Bij het betreffende menu).

Door gedonder met de hosting serviceprovider waar ik  tevens ook wat webruimte huurde en nog enkele domeinen.
(2-3 jaar voor de overstap met rigoureuze prijsverhogingen geconfronteerd ~400%, nadat het hostingbedrijf was overgenomen).

Heb ik mijn zaken (na pakweg 20 jaar) afgelopen jaar verhuist naar een andere hosting-provider.
En vraag ik mijn certificaten niet via de hosting provider aan (dat is slechts een wederverkoper / reseller met flinke winst-marges),
maar rechtstreeks bij een instantie die certificaten uitgeeft. In mijn geval (gebruik NL-domein):  https://www.xolphin.nl

De kosten daarvoor bedragen nu € 12,- excl BTW  (anders € 56,89 excl. BTW wat de oude provider mij wilde laten betalen).

Via een menu in de NAS maak je een zogeheten CSR (Certificate Signing Request) aan.
Dat kun je vervolgens gebruiken voor de aanvraag van een SSL certificaat bij zo'n partij die certificaten uitgeeft.

Meer daarover zie:
https://kb.synology.com/nl-nl/DSM/tutorial/How_to_create_certificate_signing

En klap het pijltje open bij CSR (Certificate Signing Request)


Eerder bij die telkens wisselende sleutel die door de provider zelf werd geleverd.
Moest ik ook telkens mijn OpenVPN configuratiebestanden aanpassen gerelateerd aan die persoonlijke sleutel.

Omdat ik zelf een sleutel heb gegenereerd en ik het jaar erop kan blijven gebruiken,
blijft die informatie hetzelfde, en hoef ik ook geen nieuw OpenVPN configuratie bestand aan te maken.
Dat blijft geldig vanuit de eerdere situatie van "zelfde persoonlijke sleutel".
Alleen is het nu gekoppeld aan de geldigheid van een nieuw certificaat. (Gerelateerd aan mijn NL-domein).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Gemarkeerd als beste antwoord door POLsyno Gepost op 21 februari 2024, 12:03:43

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.541
Re: Installatie van SSL certificaat
« Reactie #4 Gepost op: 21 februari 2024, 11:00:35 »
Citaat
Daarbij werd via die provider ook een sleutel geleverd (jaarlijks ook verschillend). Ik kreeg dus:
een persoonlijke sleutel
een certificaat
een intermediair certificaat

Dat is natuurlijk gemakkelijk voor de gebruiker, maar wel absoluut fout qua veiligheid.  Er zijn zelfs uitgevers die zelf de persoonlijke sleutel aanmaken en er een kopie van bewaren, wat nog fouter is.

Andersom heb ik ook gelezen. De gebruiker stuurt uit onwetendheid ook zijn persoonlijke sleutel mee met de .csr file. De autoriteit weigert hier een certificaat van te maken omdat ze de sleutel in handen hebben gehad en vraagt de klant om een nieuwe sleutel aan te maken en deze dan niet mee te sturen. Dat is netjes.

Hoe dit alles bij NoIP verloopt weet ik niet, maar de procedure met alleen de .csr file opsturen is de enige goede qua veiligheid.

Als je met de nas een CSR doet, dan exporteert hij een archief file met daarin de persoonlijke sleutel en de .csr file. De laatste stuur je op. Ook als je een certificaat vernieuwd, exporteert hij een persoonlijke sleutel. Ik dit geval inderdaad de oude. 
Als alles weer in de nas zit, wis ik de persoonlijke sleutel op mijn PC. Niet door hem in de prullenbak te gooien, maar via een veilig wissen procedure, zodat hij ook echt niet meer te herstellen is op mijn PC.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline POLsyno

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 1
  • Berichten: 14
Re: Installatie van SSL certificaat
« Reactie #5 Gepost op: 21 februari 2024, 11:23:50 »
Citaat
Als je met de nas een CSR doet, dan exporteert hij een archief file met daarin de persoonlijke sleutel en de .csr file. De laatste stuur je op. Ook als je een certificaat vernieuwd, exporteert hij een persoonlijke sleutel. Ik dit geval inderdaad de oude.
Als alles weer in de nas zit, wis ik de persoonlijke sleutel op mijn PC. Niet door hem in de prullenbak te gooien, maar via een veilig wissen procedure, zodat hij ook echt niet meer te herstellen is op mijn PC.

Duidelijk. Ga ik dan ook uitproberen. Dank
  • Mijn Synology: DS218
  • HDD's: 2x

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 900
  • -Ontvangen: 1479
  • Berichten: 7.926
Re: Installatie van SSL certificaat
« Reactie #6 Gepost op: 21 februari 2024, 11:29:04 »
Dat is natuurlijk gemakkelijk voor de gebruiker, maar wel absoluut fout qua veiligheid.....

Omdat ik een kleine 10 jaar geleden met een eigen domein begon, wist ik eigenlijk niet anders.

Nu bij rechtstreeks aanvragen van een SSL-certificaat zijn er extra veiligheidsaspecten verbonden aan de aanvraag van zo'n certificaat.
Eerst krijg je een speciale regel toegestuurd, die je bij de hostingprovider waar je het domein hebt ondergebracht,
bij het DNS-beheer als TXT record moet toevoegen (dat kan alleen door de gebruiker die het domein beheert zelf worden gedaan).
Als dat is toegevoegd controleert de certificaat instantie of het klopt met de domeinnaam registratie.
Pas dan krijg je het certificaat toegestuurd.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.541
Re: Installatie van SSL certificaat
« Reactie #7 Gepost op: 21 februari 2024, 11:39:45 »
Dat is inderdaad nog beter.

Dit gebeurd ook als je via Let's Encrypt een certificaat aanvraagt voor een synology ddns domein. Omdat synology dat domein beheert, kunnen ze dat tekstbestand plaatsen. Je hoeft dan ook geen poort 80 in de nas open te zetten omdat Let's Encrypt dan de eigenaar valideert via dat tekstbestand. Dit gebeurd alles buiten het zicht van de gebruiker en de tekstbestand word ook weer gewist als het certificaat vernieuwd is.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline POLsyno

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 1
  • Berichten: 14
Re: Installatie van SSL certificaat
« Reactie #8 Gepost op: 21 februari 2024, 12:02:39 »
Heb gedaan zoals voorgesteld werd.


Loopt prachtig. Alles oké nu met SSL certificaat bij NoIP.

Heel eenvoudig , maar je moet het weten hoe je het moet doen.

Dank !!!
  • Mijn Synology: DS218
  • HDD's: 2x


 

Installatie, gelukt of toch niet?

Gestart door KnorrBoard Logitech Media Server

Reacties: 2
Gelezen: 5057
Laatste bericht 20 oktober 2008, 20:41:23
door Knorr
Installatie documenten

Gestart door zaanhoeveBoard Vragen en opmerkingen OVER het forum

Reacties: 7
Gelezen: 4176
Laatste bericht 02 mei 2016, 23:22:11
door Hempie
DSM6 - Installatie Spotweb

Gestart door BirdyBoard Spotweb

Reacties: 0
Gelezen: 6163
Laatste bericht 14 februari 2021, 15:41:36
door Birdy
Installatie gaat niet verder dan 66%

Gestart door NeighbrsBoard Synology DSM 5.1 en eerder

Reacties: 5
Gelezen: 2478
Laatste bericht 21 januari 2012, 17:30:05
door zandhaas
Installatie Zarafa - Probleem IMAP activeren

Gestart door FranckeMBoard Zarafa

Reacties: 6
Gelezen: 6275
Laatste bericht 07 oktober 2012, 19:08:30
door raptile