SSL certificaat foutmelding, Quickconnect en DSN aanpassing

[arjenvo]

Door meerdere foutmeldingen van verschillende browsers over een onveilige toegang naar DSM, heb ik als oplossing voor een Comodo PositiveSSL gekozen.
In DSM is het SSL certificaat toegevoegd maar krijg ik een foutmelding bij het gebruik van de Quickconnect toegang. Dit ljikt me op zich al logisch want de Quickconnect staat op een ander ID. In mijn Synology account wordt bij de QuickConnect ID en DDNS Hostnaam oude gegevens getoond die niet meer overeenkomen met DSM.
Hoe kan ik dit ID aanpassen?
Het SSL certificaat staat op het domein waarop ik een webhosting als voorbeeld: hetdomein.nl heb bij een externe partij. Daar vernam ik dat met een subdomein zoals mijnnas.hetdomein.nl ik de NAS dan zou kunnen benaderen. Nu is het me onduidelijk of dit i.d.d. de juiste stap is.
Ik heb nu ineens geen toegang meer via Finder "verbind met server" (MacOS) naar de NAS en de toegang via Quickconnect wordt als onveilig gemeld.
Dien ik het SSL certificaat te wijzigen in mijnnas.hetdomein.nl of kan dit zoals me werd aangegeven met een DNS aanpassing in de domein admin waar het subdomein is ingesteld? Overigens begreep ik vanuit de provider van het Comodo PositiveSSL dat dit alleen op het hoofddomein kan worden aangevraagd.

Hopelijk kan iemand me verder op weg helpen. Alvast mijn dank!

[Babylonia]

Een SSL cerificaat is gekoppeld aan een domein.
Alles wat afwijkt van dat domein zoals een QuickConnect, of DDNS domeinnaam, wat "Synology" domeinnamen bevat, valt daar dus niet onder.

Afgezien van wel of geen SSL certificaat, want dat is alleen een toezegging dat "het veilig is".
Kun je met dat specifieke domein zelf inloggen op de NAS of niet?

Je geeft namelijk aan dat het SSL certificaat is gekoppeld met een extern benaderbare website / domein.
In dat geval zou het hooguit als vaste prefix of suffix van dat domein kunnen werken. (Vóór of na  hetdomein.nl  )

Kun je inloggen met:  [NAS prefix].hetdomein.nl/.....  en kom je dan uit bij je NAS zonder dat de domeinnaam verandert?
of als alternatief         hetdomein.nl/[NAS suffix]/.....  en kom je dan uit bij je NAS zonder dat de domeinnaam verandert?


Dat je QuickConnect of Synology DDNS niet werkt of niet geldig is, staat daar los van.
Is een ander probleem.  Kun je met je Synology account en menu-opties in de NAS herstellen.

[arjenvo]

@Babylonia, dank voor snelle reactie.
Ik heb gecontroleerd met mijnnas.hetdomein.nl en kreeg dan de melding "je verbinding is niet prive". Dan gekozen voor de optie "doorgaan naar mijnnas.hetdomein.nl" en dan kom ik op mijn hoofddomein uit. En dat is zeker niet de bedoeling.
Als ik via hetdomein.nl/mijnnas ingeef dan krijg ik de melding "forbidden, You don't have permission to access /mijnnas/ on this server.".

[Babylonia]

Bij je eerste voorbeeld, dat je dan bij je hoofddomein uitkomt, wat dan niet de bedoeling is, werkt de link op zichzelf al niet.
(Maar vraag me af of dat op die wijze überhaupt wel mogelijk is in samenhang met een SSL certificaat??)

Bij je tweede voorbeeld krijg je een "forbidden". Ook dat is geen werkende link. (Als je erna al verder komt).

Die twee moeten eerst in orde zijn voordat een SSL certificaat er dan nog aan te pas komt als afsluiting van een "veilige website".

Toevallig ben ik afgelopen dagen ook bezig geweest met een SSL certificaat.
Maar dat is gekoppeld aan een NL-domein wat rechtstreeks leidt naar mijn WAN IP-adres van mijn internetverbinding thuis.
Niet een domein elders waar dan een redirect naar mijn NAS thuis zou leiden.
(Overigens heb ik die optie ook, maar daar gaat het om een startpunt in een ander domein).

Het SSL certificaat werkt bij mij met alle aanvullingen achter mijn domein-naam en  www.  als enige prefix.
Had het willen inzetten met een specifiek optie in het  VPN Plus  pakket van de Synology router. Daarbij worden random prefixen gebruikt.
Alleen in dat geval had ik een "Wildcard" SSL certificaat moeten hebben. En dat heb ik niet, en kostte teveel extra om het wel af te nemen.

Alles van die specifieke VPN functie waar ik het voor wilde inzetten is daarbij feitelijk gewoon werkend.
Alleen moet ik telkens een uitzondering maken omdat het een "onveilige website" is.
Zie de reactie met het verkeerde SSL certificaat wat in mijn geval voor de problemen zorgt < HIER >
Het specifieke gebruik waar ik het voor nodig had < HIER >
En de wijze hoe een SSL certificaat is verwerkt     < HIER >

[Briolet]

Het allersimpelste is om een uitzondering voor die url toe te voegen in de browser. In Safari zijn dat een paar klikjes via het waarschuwingsdialoog. Gewoon alle opties eens goed doorlezen.

[Babylonia]

Voor een beetje eenvoudig gebruik met misschien een paar gezinsleden is dat inderdaad de handigste optie zonder al dat gedoe met SSL certificaten. "In het begin" heb ik dat zelf ook zo gedaan (en mijn ex doet dat nog steeds voor haar eigen NAS).

Zo gauw de kring van toegang tot bepaalde content wat groter wordt (toegang Photo Station voor familieleden, vereniging of hockeyclub, leerlingen van een school die huiswerk opgaven willen inleveren m.b.t enkele gastlessen die zijn gegeven), wordt het al snel wat vervelender, om al die mensen uitleg te geven in het gebruik van "een uitzondering".

[Briolet]

vereniging of hockeyclub, leerlingen van een school d…

Als je zulke externe mensen toegang tot je nas geeft, wordt het tijd voor een eigen domeinnaam en moet je geen QuickConnect gebruiken.

Hier is een certificaat aangeschaft. Dan is daar ook een domeinnaam gebruikt. Daar laat je al die mensen mee inloggen en niet met QuickConnect.

[Babylonia]

Heb in de uitleg hierboven in de draad al aangegeven dat een SSL certificaat niet werkt met QuickConnect.
Neem je de stap naar een domein en SSL certificaat, is dat domein dus ook de aangewezen methode om contact te leggen.

Weet niet waar de topic starter zijn connecties voor nodig heeft. Geef alleen enkele praktische voorbeelden waarbij "een uitzondering" praktisch gezien nog wel is te overzien en wanneer niet meer, waarbij het gebruik zonder een SSL certificaat teveel vragen en problemen zal gaan opleveren. Gezien hij er voor kiest om een SSL certificaat te gebruiken, mag ik aannemen dat hij die keuze doelbewust maakt om de nadelen van die uitzondering voor gebruikers uit de weg te gaan. (Misschien nog onvoldoende realiserend dat bepaalde connectie-opties je dus eigenlijk niet meer moet gebruiken, zoals QuickConnect en een Synology DDNS domeinnaam service ??).

[arjenvo]

@Babylonia; Ik heb de eerste stap van het controleren van het SSL certificaat verricht en kwam tot ontdekking dat ik nu een tweede SSL certificering op mijn website had en die verwees ook nog eens naar de eerste SSL die daadwerkelijk op mijn website is geactiveerd.  Nou ja, dit was wel op advies van de provider van het SSL certificaat.
Nu een nieuwe SSL (Comodo PositiveSSL) aangevraagd op mijnnas.hetdomein.nl wat een subdomein is van mijn hoofddomein. Want zoals ik vernam van mijn webhosting provider kan ik mijn SSL van de site niet daarvoor inzetten aangezien die alleen geschikt is voor een enkel domein van een website.
Wel (met enige begeleiding van de webhosting provider) nu een subdomein laten verwijzen naar het externe IP adres van de NAS. 
Vervolgens in mijn router poort 443 doorverwezen voor de SSL verbinding. 
Ik happy, want nu zou het werken. Niet dus, nu krijg ik idd een https toegang met groen slotje en ook het juiste SSL certificaat te zien in de browser, maar met een melding; "502 Er is een fout opgetreden tijdens deze aanvraag". 
Nu begreep ik dat dit weer te maken zou hebben met een instelling van de NAS. Ik lees nu in de reacties dat ik mogelijk die toegang via QuickConnect en een Synology DDNS domeinnaam service niet (meer) zou moeten gebruiken en dus heb ik deze beide verwijderd.
Dus DDNS is niets meer ingevuld en Quickconnect staat uit.
Hoe krijg ik nu toegang tot de NAS? Het IP adres: 192.168.X.X werkt wel maar blijft de melding geven dat het een onveilige verbinding is. 
@Briolet; ook bedankt voor de reacties en ik heb dus nu een SSL certificaat voor mijn subdomein. Er zijn overigens ook geen andere gebruikers. Ik gebruikte de NAS voorheen vooral privé voor o.a. Backups van mijn Mac. Maar nu staat er ook bedrijfsgevoelige informatie en deels bestanden die ik extern wil kunnen benaderen voor zakelijk gebruik. Daarvoor heb ik gekozen voor een SSL toegang om o.a. die foutmeldingen in webbrowsers tegen te gaan en het zo "zakelijk verantwoord mogelijk" voor een startend ondernemer in te zetten. En dat voor maar €8,- per jaar.
Ik krijg alleen nog de foutmelding "502 Er is een fout opgetreden tijdens deze aanvraag".
Verneem graag ideeën. 

[Briolet]

Het IP adres: 192.168.X.X werkt wel maar blijft de melding geven dat het een onveilige verbinding is. 

En terecht omdat dit interne IP vast niet in het certificaat staat. Je moet via de URL dat in het certificaat staat inloggen of anders een uitzondering voor het interne IP in de browser maken. Bij de meeste browsers gaat dat via buttons op het error dialoog.

[Briolet]

Die DDNS naam blijft nog steeds zinvol als je geen statisch IP hebt. Nu heeft je hosting provider een subdomein gemaakt die naar je huisadres wijst. Daar zal hij je IP ingevuld hebben.
Mooier is het als hij via een CNAME naar je DDNS naam doorverwijst. (Zoek hierop maar op dit forum) Nu moet je er op bedacht zijn dat je thuis IP een keer gaat veranderen. Meestal maar eens in de paar jaar, maar dat komt wel onverwacht dan.

[arjenvo]

@Briolet: Ik krijg geen toegang via het domein dat is ingesteld volgens het SSL certificaat: mijnnas.hetdomein.nl
Ik krijg op de website van SSL Labs wel het certificaat te zien en een A overall rating. Dit lijkt me dan goed te zijn. En de SSL melding op de site mijnnas.hetdomein.nl is ook goed. Maar toch die foutmelding nog steeds. Wordt er ... van. Bij de webhoster wordt aangegeven dat alles juist staat, net als bij de leverancier van het SSL certificaat. Alleen de NAS instellingen zijn schijnbaar incorrect maar voor mij nog onduidelijk waarom. Inmiddels al een dag mee bezig, beter een ITer in kunnen huren. 

[Briolet]

Kijk of je er extern wel bij kunt. Zo ja dan ligt het aan je router. Zo nee dan ligt het ook aan je router, maar op een andere manier. 

[arjenvo]

Niet te geloven, het is toch gelukt! 
Las ineens op de website van Synology over het toepassen van de https verbinding en zag dat ik een belangrijke toevoeging vergat.
Na toepassing van de instellingen kunt een HTTPS-verbinding maken met DSM. Open een browser en voer in https://yourdomainname:5001, waarbij "uwdomeinnaam" voor de servernaam of geregistreerde domeinnaam staat die gebruikt wordt voor toegang tot Synology NAS.
Tja, als je die :5001 vergeet. 
Het werkt helemaal, op Chrome, Safari, iPhone en Apps iPhone.

Voor de helderheid; ik heb nu dus een subdomein aangemaakt bij mijn webhosting provider, die verwijst naar de NAS. Via een andere SSL leverancier heb ik een Comodo PositiveSSL op mijn subdomein.

@Briolet; Dien ik nou toch nog een DDNS aan te maken aangezien ik via mijn provider een dynamisch IP adres heb? 

[Babylonia]

Zoals al eerder naar voren komt, is een "dynamisch IP-adres" tegenwoordig praktisch gezien nauwelijks nog aan de orde.
Dat heeft alles te maken met de schaarste van IP-adressen. Dus men bedenkt allerlei trucs om het zo lang mogelijk met hetzelfde IP-adres klaar te kunnen spelen. Misschien krijg je hooguit eens een wisseling in één - twee jaar??  (@Briolet spreekt over eens in de paar jaar).

Voor die sporadische wisseling zou je kunnen kiezen voor een DDNS verwijzing. Maar die situatie komt zo weinig voor. Dus zelf doe ik dat niet.
Komt het toevallig aan de orde, en je op dat moment dan geen connectie kunt leggen via de domeinnaam, omdat het IP-adres is veranderd, pas ik de gegevens van de domeinnaam administratie bij mijn provider simpelweg aan, aan het nieuwe IP-adres, en het is weer up-to-date.