SSL certificaat nog steeds als onveilig weergegeven

[stefr]

Hallo,

Ondanks mijn zoektocht, waaronder ook hier op dit forum, ben ik er nog niet uit kunnen komen.
Het probleem is dat ik een SSL certificaat heb aangevraagd (niet een zelf-ondertekend certificaat maar bij een CA) en geïnstalleerd heb op mijn DS112+ NAS. Dit werkte allemaal goed en heb ook geen foutmeldingen gezien die me verontrust zouden moeten maken.
Echter, wat ik ook probeer ik blijf de rode streep door de tekst https zien.

Iemand een idee hoe ik de groene letters https tevoorschijn krijg als ik inlog op mijn Sysnology NAS?
Op dit moment heb ik nog een DS112+ maar wegens gebrek aan ruimte wil ik deze maand nog switchen naar een DS716+II waarbij de DS112+ voorzien gaat worden van een grotere schijf en als backup gaat dienen voor de DS716+II welke fysiek op een andere lokatie zal komen te staan. (off-site backup) Dit is dan ook de grootste reden dat ik de SSL werkend wil hebben op voor nu de DS112+ en later op beide systemen.

Hoop dat iemand mij wat meer informatie kan geven hierover.

[Babylonia]

Dat SSL certificaat.  Neem aan geldig voor een domein-naam wat je aan je WAN internet IP-adres hebt gekoppeld.
Alleen als je dan inlogt onder dat domein,  werkt het SSL certificaat.
Log je alsnog in met een intern LAN IP-adres, is het daar niet geldig voor.
Eveneens niet als je met het  "IP-adres" zelf inlogt van je internet aansluiting (of met een Synology DDNS domein).

[stefr]

Oke, dan zal dat denk ik het probleem zijn aangezien dat niet het geval is bij mij... 
Ik log inderdaad 'intern' op het lokale netwerk in onder het ip-adres van de DS zelf.
Mijn veronderstelling was dat dat ook moest werken maar dat heb ik dan mis helaas... 

Ik zal eens kijken of ik een domeinnaam aan mijn WAN IP adres kan koppelen via mijn hosting provider.
En dan denk ik voor de toepassing die ik wil (off-site backup) misschien beter via een VPN verbinding kan werken?
Dan zal de nieuwe DS716+II de VPN Server worden en de off-site DS112+ de VPN client neem ik aan.

[Babylonia]

Als je via VPN gaat werken, wat vind je dan nog nodig om een SSL certificaat daarbij te betrekken?
Alleen voor dat streepje in https ??
Via VPN maak je juist gewoon een connectie "in de verkenner" binnen je netwerk.  Dan merk je niets van een certificaat.

Bedenk dat via VPN je opnieuw gewoon "thuis" in je "eigen LAN netwerk" zit te werken
(of in het LAN waar een andere NAS staat waarop een VPN-server draait).

Een certificaat is handig als je "derden" (vreemden), gebruik wil laten maken om bijv. foto's in Photo Station te laten bekijken via https,
of rechtstreeks wil laten inloggen in de DSM van je NAS, of als je een web-server hebt draaien onder https.
Voor jezelf kun je die uitzondering in een browser nog wel maken.

[stefr]

Een certificaat is handig als je "derden" (vreemden), gebruik wil laten maken om bijv. foto's in Photo Station te laten bekijken via https....

Dit zou inderdaad een van de redenen zijn, voornamelijk voor familie of vrienden. Als ik ergens ben geweest waarbij ik foto's heb gemaakt dat mensen dan in kunnen loggen en zelf de foto's kunnen bekijken en evt. downloaden. Maar ik weet ook dat hier andere websites ook geschikt voor zijn 

Misschien een beetje off-topic, maar als ik va een VPN op mijn eigen netwerk inlog, maak ik dan ook gebruik van mijn eigen internetverbinding als ik op het web ga surfen? M.a.w. als ik via een wifi hotspot inlog via VPN dat ik dan een 'veiligere' manier van surfen heb als zonder gebruik van VPN?

[Birdy]

maak ik dan ook gebruik van mijn eigen internetverbinding als ik op het web ga surfen?

Als e.e.a. goed ingesteld is, ja.

[stefr]

Oke, even weer on-topic...
Heb nog wat lopen stoeien maar krijg nog steeds geen beveiligde SSL verbinding met mijn NAS via internet.
Ik heb het package Webserver geinstalleerd (nu nog de standaard index.html pagina zichtbaar) en als ik in een browser "www.mijnwebsite.nl" intyp krijg ik netjes de inhoud van de webpagina te zien.
Naast Webserver heb ik ook MailServer geinstalleerd en ook dat werkt naar behoren. (Als ik "www.mijnwebsite.nl/mail" intyp kom ik netjes op de login pagina van MailStation terecht.)
Echter lukt het me niet om een geldig certificaat te installeren.

Omdat de certificaten van StartSSL niet (meer) vertrouwd worden, heb ik de standaard functie voor Let's Encrypt geprobeerd in DSM6.1
Als ik de stappen doorloop, krijg ik een foutmelding te zien zodra mijn NAS verbinding zoekt met Let's Encrypt:

[Birdy]

En poort 80 heb je forwarded naar je NAS ?

[stefr]

Die heb ik doorgestuurd staan op mijn (Synology) router.
Ik kan de website op mijn NAS ook gewoon benaderen.
Hieronder een screenshot van de port forwarding in de router:

[stefr]

Nou, eindelijk is het gelukt om via Let's Encrypt 'snel en eenvoudig' een SSL certificaat te installeren 

Wat was het probleem?
Tijdens het aanvragen van het certificaat wordt er om een domeinnaam gevraagd. In het grijs zie je als voorbeeld staan: domein.com
Echter kreeg ik steeds de foutmelding of poort 80 wel openstond of niet. Aangezien ik de website wel gewoon kon benaderen via http wist ik eigenlijk zeker dat dit het geval was.
Na veel googlen en zoeken niet veel opgeschoten dus maar wat gaan proberen.
Als ik nu bij domein naam het voorvoegsel www erbij zet, werkte het wel ineens!
Dus wat heb ik ingevuld:
[domeinnaam:] www .mijndomein.nl
[E-mail:] postmaster@mijndomein.nl
[Onderwerp alternatiefe tekst:] mijndomein.nl

als ik nu netjes https://www.mijndomein.nl intyp krijg ik netjes het groene balkje met de tekst veilig in beeld!

Alvast erg bedankt allemaal voor het meedenken!

[Birdy]

Toch klopt er iets niet met jouw oplossing, heb het even (voor het eerst) getest en bij mij werkt het juist andersom :

[domeinnaam:] www.laxxxxx.synology.me > Werkt niet
[domeinnaam:] laxxxxx.synology.me > Werkt wel

[Birdy]

Toevoeging: een domeinnaam heeft, volgens mij, nooit de toevoegen www.

[Babylonia]

Ik maak gebruik van een SSL certificaat, maar werkt met zowel www ervoor als zonder.
(En zo hoort het ook als zodanig te werken).

Maar is misschien eerder afhankelijk van een instelling binnen het accountbeheer van de domeinnaam registratie ?

[Briolet]

Van oudsher certificeert een certificaat maar 1 domein. Tegenwoordig kun je echter meer domeinen opnemen in het alternate field. Nu is het zo dat een browser niet meer naar het hoofdveld mag kijken als er een alternate field is. Dus moet het hoofddomein ook in het alternate field herhaald worden.

Hier heeft Synology een bug in hun consistentie. Daarover heb ik al eens een bugreport ingestuurd.:

Als je een Let's Ecrypt certificaal aanmaakt dan hoef je het hoofddomein niet in het alternate field in te vullen. Dit voegt DSM achter de schermen toe. Als je echter een gewoon certificaat aanmaakt, dan doet DSM dat niet automatisch en moet je het hoofddomein in beide velden noemen.

Heel inconsistent en dus verwarrend. En ik heb geen idee of dit nu gelijk getrokken is. In elk geval moet je in het certificaat kijken of daar alle (sub)domeinnamen die je wilt gebruiken, ook in het alternate field staan.

Op de Mac wordt het certificaat als onder getoond en je kale domein moet daar ook tussen staan. Zie pijl.



NB het www. subdomein staat er bij mij niet bij omdat ik voor de webserver een apart certificaat gebruik. Die inloggers op de website hoeven niet te weten welke domeinen ik nog meer in gebruik heb. 

[Babylonia]

Even gekeken naar de eigenschappen van mijn SSL-certificaat (uitgegeven door Comodo) in het alternatieve veld.
Daar staan inderdaad twee domeinnaam regels.  Ééntje zonder de www ervoor, en eentje met.