Problemen met de aanvraag van een Certificaat

[Rubensky]

Ik heb de volgende uitdaging ik probeer via mijn synology een Let's Encrypt certificaat aan te vragen.

Ik heb een domein dat geregistreerd staat bij mijn domein.

Ik klik bij certificaat op toevoegen dan op krijg een certificaat van Let's encrypt. Vervolgens voer ik mijn domein in en een mailadres.

Daarna krijg ik de volgende melding te zien:



Aan mijn Firewall heb ik niets aangepast en een proxy gebruik ik niet.

Wie kent dit fenomeen en kan mij helpen?

[Babylonia]

Ik gebruik geen Let's Encrypt certificaat, maar weet wel dat om het geldig te maken poort 80 doorgestuurd moet zijn, en dat de Firewall die moet kunnen doorlaten.  Lees eens wat informatie terug over Let's Encrypt in de Help.

[Rubensky]

Inderdaad. Wat betreft poort 80 dat heb ik geregeld. Ook geprobeerd met de firewall van de NAS uit.

[Rubensky]

Nadat ik ook poort 443 heb opengezet krijg ik steeds deze melding:

[Rubensky]

Of ik krijg de melding de bewerking is mislukt meld u opnieuw aan en probeer het opnieuw.

Helaas krijg ik nu later op de avond. Zonder iets aan te passen de melding van de firewall weer terug.

[Briolet]

Ik heb een domein dat geregistreerd staat bij mijn domein.

Maar wijst dat domein ook naar je nas?

[Rubensky]

D.M.V. een A record bedoel je?

Een A record heb ik inderdaad.

Vanmorgen is er weer een nieuwe foutmelding verschenen:

[Rubensky]

Oké de vraag komt te vervallen, omdat ik het even laat voor wat het is.

Nog 1 vraag. Als ik een certificaat zou kopen. Zeg maar gewoon deze: https://www.sslcertificaten.nl/certificaten#DV_Default_5

Kan ik die dan toevoegen op meerdere nassen?

[Babylonia]

Ja.
Een domein staat feitelijk voor een internet WAN IP-adres.  Dat blijft bij meerdere NAS'sen hetzelfde.  Dus ook een certificaat voor een domein.
Je kunt mogelijk wel een "wildcard" SSL certificaat afnemen (kost echter een stuk meer), als je meerdere sub-domeinen zou gebruiken.

[Rubensky]

Het gaat hier wel om 2 nassen op verschillende locaties (even vergeten te melden). Dus met 2 verschillende adressen

[Babylonia]

In dat geval twee domeinen - en twee SSL certificaten.

Zelf heb ik een gewoon NL-domein op mijn WAN IP-adres met een SSL-certificaat, die ik zowel gebruik op mijn NAS,
als op mijn (Synology) router, waar nog een tweetal USB HD's aanhangen die van buitenaf op "File Station" achtige wijze te bereiken zijn.

[Rubensky]

Heb ik het goed gezien. Ga ik dan toch maar een regelen.

Nog 1 vraag dan als ik een Wildcard certificaat neem. Of een certificaat waar ik meerdere subdomeinen aan mag hangen. Dan kan ik het toch wel op 2 nassen doen met een verschillend WAN IP?

[Briolet]

Oké de vraag komt te vervallen, omdat ik het even laat voor wat het is. Zeg maar gewoon deze: https://www.sslcertificaten.nl/certificaten#DV_Default_5

Houd er rekening mee dat een certificaat voor het inloggen met een browser, slechts 13 maand geldig mag zijn. (Dat is zo sinds ca 1 jaar). Je verwijst nu naar een certificaat voor 5 jaar. Die kun je  niet gebruiken voor inloggen op een website. (ook iet voor DSM want dat is ook een website)

Op die site is het me niet duidelijk of je bij een 5 jaars versie, 5x 1 certificaat krijgt, of 1 certificaat die 5 jaar geldig is. (Eigenlijk onbruikbaar)

[Rubensky]

Klopt. Je moet inderdaad ieder jaar het certificaat vernieuwen. je neemt hem voor 1 jaar.

Zit ik goed wat betreft de wat betreft wildcard en meerdere WAN adressen? Of moet ik dan echt 2 domeinen hebben?

[Briolet]

In de kleine lettertjes bij hen vond ik:

Het aanvragen van SSL certificaten met een looptijd langer dan 1 jaar is niet meer mogelijk. Vanaf 1 april 2015 stond het CABforum een maximale geldigheidsduur van 39 maanden toe. Het CABforum (Certification Authority Browser Forum) stelt standaarden en richtlijnen op die de veiligheid van SSL certificaten bewaken. Bedreigingen voor de veiligheid, zoals het gebruik van interne domeinen en verouderde encryptiemethoden, worden aan banden gelegd. Het CABforum stelt dat bij certificaten met een lange looptijd de kans op misbruik en verouderde technieken groter is. Per 1 maart 2018 is dit beperkt naar 27 maanden, en per 1 september 2020 naar 13 maanden.

Maar wel heel slordig dat ze hun website dan al jaren niet updaten en nog steeds een button hebben voor het aanvragen voor 5 jaar.

Maar goed, Bij Let's Encrypt heb je er geen omkijken meer naar. Zo'n gekocht certificaat moet je alk jaar weer opnieuw installeren.

Als een certificaat meerdere (sub.)domeinen bevat en deze wijzen naar verschillende locaties, dan kun je het certificaat op alle localaties gebruiken waar het certificaat naar verwijst. Maar eigenlijk spreekt dat voor zichzelf.