Auteur Topic: SSL  (gelezen 4481 keer)

Offline BCMascha

  • Bedankjes
  • -Gegeven: 11
  • -Ontvangen: 4
  • Berichten: 78
SSL
« Gepost op: 09 januari 2016, 22:31:48 »
Hallo allemaal,

Ik heb sinds kort een Synology DS215j en deze wil ik gebruiken als (voornamelijk) Cloud Station en voor meer. Nu wil ik graag dat ik met een beveiligde verbinding kan verbinden met mijn DS, ook van buitenaf. Ik heb al een beetje zitten Google'en, maar ik snap er nog niet echt heel veel van. Vandaar dit topic.

Wat moet ik nu precies doen om gewoon een beveiligde verbinding te krijgen? Allereerst koop ik misschien een domeinnaam bij versio.nl. Daarna dacht ik zelf om een SSL certificaat te kopen (Ook bij versio.nl, ~€10,-) en deze te installeren op mijn NAS, maar voordat ik dat kan kopen moet ik een CSR opgeven. Als ik deze probeer te maken in mijn NAS (Configuratiescherm>Beveiliging>Certificaat) wordt er ook om een Gemeenschappelijke naam, E-mail, Organisatie en Afdeling gevraagd. Uiteraard heb ik deze niet, maar moet dit dan wel geldig zijn? Of kan ik gewoon wat invullen, en een *@outlook.com e-mail account? Niet dat het later fout gaat ofzo?

Ook las ik dingen over dat je het zelf kan aanmaken en dat dat gewoon gratis is. Is dit dan wel veilig en beveiligd?

Een mooie uitleg zou heel erg mooi zijn.

Alvast bedankt!
Mijn Synology's

DS215j > 1x WDC WD30EFRX (RED, 3TB), 1x WDC WD20EFRX (RED, 2TB)
DS716+II > Verkocht.
RS815+ 1x WDC WD30EFRX (RED, 3TB), 1x WDC WD30EFRX (RED, 2TB)
RS2418+ > 1x D4N2133-4G (4GB RAM), 2x WDC WD30EFRX (RED, 3TB), 2x WDC WD10EFRX (RED, 1TB), 2x WDC WD30PURZ (PURPLE, 3TB)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: SSL
« Reactie #1 Gepost op: 09 januari 2016, 23:48:04 »
De nas heeft standaard al een certificaat aan boord. Alleen is die niet getekend door een algemeen bekende authoriteit. Als jij bij het eerste contact aangeeft dat je het certificaat accepteert, dan werkt die net zo goed, qua versleuteling, als een gekocht certificaat.
Nog iets beter is om op de certificaat pagina in de nas, een eigen certificaat te maken. Dan weet je zeker dat alleen jij de private key kent.

Voor eigen gebruik is dat goed genoeg. Pas als je regelmatig vreemden op je nas laat, is het voor hen vervelend om steeds die certificaat vraag te krijgen en kun je overwegen er een te kopen.

  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: SSL
« Reactie #2 Gepost op: 10 januari 2016, 03:17:28 »
Ter oriëntatie hoe de zaken worden afgehandeld bij een "zelf ondertekend certificaat".
(Het cetificaat wat je middels de software van Synology kunt inzetten en van eigen gegevens kunt voorzien).
Het betreft een eenmalige handeling die men moet uitvoeren, als men de NAS voor de eerste keer op een vast IP-adres (of domein) benadert.

(privé gegevens / domeinnamen of IP-adressen zijn afgeschermd)



De situatie indien je  Firefox  als internet browser gebruikt:

"Deze verbinding is niet beveiligd"
Klap onderaan het pijltje naar beneden bij:   "Ik begrijp de risico's"

22500-0

Klik dan op de knop:   "Uitzonderingen toevoegen"

22502-1

         ......en sla het zelfondertekend certificaat op

22504-2



De situatie indien je  Microsoft Internet Explorer  als internet browser gebruikt:

22506-3



Situatie bij de webbrowser  Opera:  Klik op "Toch Doorgaan"

22508-4



Situatie bij de webbrowser  Chrome:

22510-5

Vanuit die melding kom je niet meer verder met Chrome. Daarmee is deze webbrowser de enige browser, waarbij het niet mogelijk is verder een beveiligde verbinding op te zetten met een zelfondertekend certificaat.



Wil je die eenmalige meldingen voorkomen, kun je inderdaad een eenvoudig certificaat bij een instantie aanschaffen, nadat je eerst een werkend domein voor je WAN IP-adres hebt geregistreerd.
Daar is onlangs nog een uitvoerig draadje over geweest. Er is zelfs een instantie waar je een eenvoudig certificaat gratis kunt aanvragen, maar is alleen mogelijk als je reeds een mail-server op de NAS hebt draaien, werkend onder het geregistreerde domein.

Zie volgende reactie < HIER >, en de vervolgreacties op aangekochte certificaten wat in dat geval vlotter resultaat oplevert.

Succes,  Babylonia@
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: SSL
« Reactie #3 Gepost op: 10 januari 2016, 14:06:57 »
Nog een aantekening bij de opmerking van @Babylonia  over Chrome. Je kunt daar wel goed een self-signed certificaat gebruiken, mits je inlogt met de naam die in het certificaat staat. Dan krijg je gewoon een groen slotje.

Bij de andere browsers kun je ook toestemming geven het certificaat voor een andere inlognaam te gebruiken, dat laat Chrome niet meer toe. Ondanks het kruis door het slotje, is de verbinding bij Chrome wel beveiligd. Het kruis geeft alleen aan dat het certificaat niet gecontroleerd kan worden. Uit didactisch oogpunt is het echter fout om op deze manier verbonden te blijven.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline BCMascha

  • Bedankjes
  • -Gegeven: 11
  • -Ontvangen: 4
  • Berichten: 78
Re: SSL
« Reactie #4 Gepost op: 10 januari 2016, 15:06:04 »
Bedankt voor de vlugge reacties allemaal!

Ik heb inderdaad al eerder gezien dat het bij Chrome erg irritant is om constant een melding te krijgen. Ik kon met Chrome wel op "Doorgaan" drukken. Chrome is overigens mijn standaard browser. Aan de andere browser heb ik een hekel. (Vraag me niet waarom, ik weet het gewoon niet lol.) Ik ga andere mensen ook op mijn DS215j laten, dus heb ik maar gewoon een SSL bij versio.nl gekocht voor €14,- (Dat is incl. BTW en geld overmaak-kosten (@iDeal))

Uitleg voor de mensen die niet weten hoe het werkt (met versio.nl) (Omdat ik ook een uur hiermee heb lopen rommelen en er helemaal niets van snapte + niet op Google gemakkelijk kon vinden):
Ik heb zelf een domeinnaam gekocht bij versio.nl en gekoppeld aan mijn IP-adres. (DNS aanzetten in versio.nl Klantenpaneel en alle IP-adressen (Behalve 127.0.0.1) veranderen naar je eigen IP-adres) Ik weet niet of het kan zonder een eigen domeinnaam, die SSL.

Allereerst moet je een CSR aanvraag doen in je NAS bij Configuratiescherm>Beveiliging>Certificaat>Certificaat aanmaken>"Een CSR (Certificate Signing Request) aanmaken".

Hier krijg je een aantal invul-gegevens. In te vullen zijn:
Lengte persoonlijke sleutel: 2048
Gemeenschappelijke naam: www.jedomein.* (Met www. er voor!)
E-mail: <Mag alles zijn, als het maar een e-mail is waar jij bij kan (Hier wordt je SSL naartoe gestuurd)>
Land: [NL] Nederland
Staat/Provincie: Je provincie
Stad: Maakt niet uit, eventueel je naam
Organisatie: Maakt niet uit
Afdeling: Maakt niet uit

Dit op basis van wat de klantenservice mij vertelde. Nu kun je op Verder drukken en vervolgens op Downloaden. Je krijgt nu een .zip-bestand waarin server.csr en server.key instaan. Bewaar deze goed. Nu kun je bij versio.nl een SSL kopen. Op een gegeven moment krijg je de vraag om een CSR-code. Open server.csr met een teksteditor en kopieer en plak de tekst op versio.nl. Nu kun je de instructies van versio.nl volgen.

Zodra je hiermee klaar bent, kun je het ontvangen .zip-bestand openen en zal je 3 bestanden zien: CA_Inter.cer, CA_Root.cer en www_jedomein_*.cer. Nu kun je in de NAS bij Configuratiescherm>Beveiliging>Certificaat>Certificaat importeren je certificaten uploaden.
Persoonlijke sleutel: server.key
Certificaat: www_jedomein.*.cer
Intermediair certificaat: CA_Inter.cer

Klik op Ok en nu kun je bij Netwerk>DSM-instellingen en Webservices HTTPS aanzetten en ben je klaar. Opmerking: Je lokale IP-adres (192.168.*.*) van je NAS zal nu als onveilig worden gezien, omdat je HTTPS alleen gekoppeld staat aan je opgegeven domeinnaam.

Zo is het mij gelukt.
Mijn Synology's

DS215j > 1x WDC WD30EFRX (RED, 3TB), 1x WDC WD20EFRX (RED, 2TB)
DS716+II > Verkocht.
RS815+ 1x WDC WD30EFRX (RED, 3TB), 1x WDC WD30EFRX (RED, 2TB)
RS2418+ > 1x D4N2133-4G (4GB RAM), 2x WDC WD30EFRX (RED, 3TB), 2x WDC WD10EFRX (RED, 1TB), 2x WDC WD30PURZ (PURPLE, 3TB)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7989
  • Berichten: 44.007
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: SSL
« Reactie #5 Gepost op: 10 januari 2016, 15:20:01 »
Bedankt voor het delen 8)


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12