Installatie van SSL certificaat

[POLsyno]

Wens het SSL certificaat van NoIP te installeren.

Heb het certificaat gedownload met pem-extentie (mijn_domein.pem)

Heb mijn eigen domein verbonden met mijn NAS DS 218.
Alléén is het Synology-certificaat geïnstalleerd ipv het. certificaat van NoIP.

Bij certificaatbestanden importeren, moet ik het certificaat van een certificerende autoriteit, de persoonlijke sleutel die aan het certificaat is gekoppeld en (optioneel) het intermediair certificaat importeren.

Blijkbaar is de persoonlijke sleutel vervat in mijn certificaat.

Mijn vraag: hoe haal ik die persoonlijke sleutel tevoorschijn?

Heb volgende gevonden:

PEM to DER

The DER format uses ASN.1 encoding to store certificate or key information. Similar to the PEM format, DER stores key and certificate information in two separate files and typically uses the same file extensions (i.e., .key, .crt, and .csr). The file extension .der was used in the below examples for clarity.

Use the following command to convert a PEM encoded certificate into a DER encoded certificate:

openssl x509 -inform PEM -in yourdomain.crt -outform DER -out yourdomain.der

Vraag: waar moet ik mijn certificaat plaatsen opdat (openssl x509 ... ) zou kunnen worden uitgevoerd

Alvast dank voor aangeboden hulp. (Heb een iMac computer)

[POLsyno]

Blijkbaar moet ik hetvolgende uitvoeren om aan mijn persoonlijk sleutel te komen.

openssl pkcs12 -export -name "yourdomain-digicert-(expiration date)" \
-out yourdomain.pfx -inkey yourdomain.key -in yourdomain.crt

Iemand ervaring hiermee?

Alvast bedankt voor steun

[Briolet]

De persoonlijke sleutel is, zoals de naam al zegt, persoonlijk. Die mag NoIP nooit te zien krijgen.

De standaard procedure is dat je op de PC of nas een persoonlijke sleutel aanmaakt plus een certificaat signing request. ( .csr )

Die .csr file stuur je naar de certificaat authoriteit en die maakt er een certificaat van die je terug krijgt.


Nu upload je de eerder gegenereerde persoonlijke sleutel en het certificaat naar de nas.

Blijkbaar is de persoonlijke sleutel vervat in mijn certificaat.

Nee dus. Die had je al voordat je het certificaat kreeg omdat de certificaat uitgever die nooit mag zien.

[Babylonia]

De persoonlijke sleutel is, zoals de naam al zegt, persoonlijk. Die mag NoIP nooit te zien krijgen.

Ik heb dus een andere ervaring bij een service provider.

Jarenlang heb ik via een service provider jaarlijks een SSL certificaat aangevraagd / vernieuwd.
Daarbij werd via die provider ook een sleutel geleverd (jaarlijks ook verschillend). Ik kreeg dus:

• een persoonlijke sleutel
• een certificaat
• een intermediair certificaat

Die drie kon ik importeren in de NAS. (Bij het betreffende menu).

Door gedonder met de hosting serviceprovider waar ik  tevens ook wat webruimte huurde en nog enkele domeinen.
(2-3 jaar voor de overstap met rigoureuze prijsverhogingen geconfronteerd ~400%, nadat het hostingbedrijf was overgenomen).

Heb ik mijn zaken (na pakweg 20 jaar) afgelopen jaar verhuist naar een andere hosting-provider.
En vraag ik mijn certificaten niet via de hosting provider aan (dat is slechts een wederverkoper / reseller met flinke winst-marges),
maar rechtstreeks bij een instantie die certificaten uitgeeft. In mijn geval (gebruik NL-domein):  https://www.xolphin.nl

De kosten daarvoor bedragen nu € 12,- excl BTW  (anders € 56,89 excl. BTW wat de oude provider mij wilde laten betalen).

Via een menu in de NAS maak je een zogeheten CSR (Certificate Signing Request) aan.
Dat kun je vervolgens gebruiken voor de aanvraag van een SSL certificaat bij zo'n partij die certificaten uitgeeft.

Meer daarover zie:
https://kb.synology.com/nl-nl/DSM/tutorial/How_to_create_certificate_signing

En klap het pijltje open bij CSR (Certificate Signing Request)


Eerder bij die telkens wisselende sleutel die door de provider zelf werd geleverd.
Moest ik ook telkens mijn OpenVPN configuratiebestanden aanpassen gerelateerd aan die persoonlijke sleutel.

Omdat ik zelf een sleutel heb gegenereerd en ik het jaar erop kan blijven gebruiken,
blijft die informatie hetzelfde, en hoef ik ook geen nieuw OpenVPN configuratie bestand aan te maken.
Dat blijft geldig vanuit de eerdere situatie van "zelfde persoonlijke sleutel".
Alleen is het nu gekoppeld aan de geldigheid van een nieuw certificaat. (Gerelateerd aan mijn NL-domein).

[Briolet]

Daarbij werd via die provider ook een sleutel geleverd (jaarlijks ook verschillend). Ik kreeg dus:
een persoonlijke sleutel
een certificaat
een intermediair certificaat

Dat is natuurlijk gemakkelijk voor de gebruiker, maar wel absoluut fout qua veiligheid.  Er zijn zelfs uitgevers die zelf de persoonlijke sleutel aanmaken en er een kopie van bewaren, wat nog fouter is.

Andersom heb ik ook gelezen. De gebruiker stuurt uit onwetendheid ook zijn persoonlijke sleutel mee met de .csr file. De autoriteit weigert hier een certificaat van te maken omdat ze de sleutel in handen hebben gehad en vraagt de klant om een nieuwe sleutel aan te maken en deze dan niet mee te sturen. Dat is netjes.

Hoe dit alles bij NoIP verloopt weet ik niet, maar de procedure met alleen de .csr file opsturen is de enige goede qua veiligheid.

Als je met de nas een CSR doet, dan exporteert hij een archief file met daarin de persoonlijke sleutel en de .csr file. De laatste stuur je op. Ook als je een certificaat vernieuwd, exporteert hij een persoonlijke sleutel. Ik dit geval inderdaad de oude. 
Als alles weer in de nas zit, wis ik de persoonlijke sleutel op mijn PC. Niet door hem in de prullenbak te gooien, maar via een veilig wissen procedure, zodat hij ook echt niet meer te herstellen is op mijn PC.

[POLsyno]

Als je met de nas een CSR doet, dan exporteert hij een archief file met daarin de persoonlijke sleutel en de .csr file. De laatste stuur je op. Ook als je een certificaat vernieuwd, exporteert hij een persoonlijke sleutel. Ik dit geval inderdaad de oude.
Als alles weer in de nas zit, wis ik de persoonlijke sleutel op mijn PC. Niet door hem in de prullenbak te gooien, maar via een veilig wissen procedure, zodat hij ook echt niet meer te herstellen is op mijn PC.

Duidelijk. Ga ik dan ook uitproberen. Dank

[Babylonia]

Dat is natuurlijk gemakkelijk voor de gebruiker, maar wel absoluut fout qua veiligheid.....

Omdat ik een kleine 10 jaar geleden met een eigen domein begon, wist ik eigenlijk niet anders.

Nu bij rechtstreeks aanvragen van een SSL-certificaat zijn er extra veiligheidsaspecten verbonden aan de aanvraag van zo'n certificaat.
Eerst krijg je een speciale regel toegestuurd, die je bij de hostingprovider waar je het domein hebt ondergebracht,
bij het DNS-beheer als TXT record moet toevoegen (dat kan alleen door de gebruiker die het domein beheert zelf worden gedaan).
Als dat is toegevoegd controleert de certificaat instantie of het klopt met de domeinnaam registratie.
Pas dan krijg je het certificaat toegestuurd.

[Briolet]

Dat is inderdaad nog beter.

Dit gebeurd ook als je via Let's Encrypt een certificaat aanvraagt voor een synology ddns domein. Omdat synology dat domein beheert, kunnen ze dat tekstbestand plaatsen. Je hoeft dan ook geen poort 80 in de nas open te zetten omdat Let's Encrypt dan de eigenaar valideert via dat tekstbestand. Dit gebeurd alles buiten het zicht van de gebruiker en de tekstbestand word ook weer gewist als het certificaat vernieuwd is.

[POLsyno]

Heb gedaan zoals voorgesteld werd.


Loopt prachtig. Alles oké nu met SSL certificaat bij NoIP.

Heel eenvoudig , maar je moet het weten hoe je het moet doen.

Dank !!!