Auteur Topic: certificaat van een externe partij te verlengen  (gelezen 3256 keer)

Dit onderwerp bevat een als beste antwoord gemarkeerd bericht. Klik hier om er direct naartoe te gaan.

Offline Leonard1052

  • Bedankjes
  • -Gegeven: 30
  • -Ontvangen: 0
  • Berichten: 142
certificaat van een externe partij te verlengen
« Gepost op: 15 augustus 2021, 15:33:41 »
Om een certificaat van een externe partij te verlengen dien ik een .txt file in een bepaalde directory in de root te zetten volgens deze instructie
/>Kan iemand my helpen hoe ik dit moet doen want met een normaal ftp programma zie ik geen root directory.
BVD
DS214play op DSM 7.1.1-42962 Update 6
Synology DS218J op DSM 7.1.1-42962 Update 5

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: certificaat van een externe partij te verlengen
« Reactie #1 Gepost op: 15 augustus 2021, 19:21:26 »
Geen idee waarom je root toegang nodig hebt. Normaal maak je een CSR aan (Certificate Signing Request). Dat bestand stuur je op en je krijgt gevalideerde certificaten terug. NB: De nas exporteert twee bestanden. In de zip zit ook de private key. Die mag je natuurlijk onder geen beding opsturen. Alleen de CSR file)

Ik heb de video niet bekeken, maar weet je zeker dat dit voor de Synology nas is.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 8004
  • Berichten: 44.018
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: certificaat van een externe partij te verlengen
« Reactie #2 Gepost op: 15 augustus 2021, 19:31:42 »
Er komt geen NAS in voor, maar ik denk dat TS wel een Cert heeft van SSLs.......


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: certificaat van een externe partij te verlengen
« Reactie #3 Gepost op: 15 augustus 2021, 21:40:43 »
Dat hij al een heeft, schrijft hij ook. Want om te verlengen, moet hij al eerder een geïnstalleerd hebben.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Leonard1052

  • Bedankjes
  • -Gegeven: 30
  • -Ontvangen: 0
  • Berichten: 142
Re: certificaat van een externe partij te verlengen
« Reactie #4 Gepost op: 16 augustus 2021, 11:47:07 »

Citaat
Geen idee waarom je root toegang nodig hebt.

Dit is zoals het in de instructie staat. De text file hebben ze opgestuurd, ik hoef het "alleen maar"in de root te zetten en twee mappen aan te maken:root/.well-known/pki
Als het bestand juist is geüpload dan kunnen ze die van buiten af bekijken en het certificaat toe sturen. Maar je breng op een idee om CSR op te sturen, kijken of ze daar iets mee kunnen.
Aanwijzing om de textfile en de mappen aan te maken in de root blijven welkom.
BVD
DS214play op DSM 7.1.1-42962 Update 6
Synology DS218J op DSM 7.1.1-42962 Update 5

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: certificaat van een externe partij te verlengen
« Reactie #5 Gepost op: 16 augustus 2021, 12:38:47 »
Dat is een certificaat voor een synology.me adres. Is het dan niet veel eenvoudiger dit via Let's Encrypt aan te maken?

In elk geval is dat hele root-gedoe niet nodig omdat synology een hele mooie GUI heeft voor certificaatbeheer.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Leonard1052

  • Bedankjes
  • -Gegeven: 30
  • -Ontvangen: 0
  • Berichten: 142
Re: certificaat van een externe partij te verlengen
« Reactie #6 Gepost op: 16 augustus 2021, 15:31:12 »
Goed idee, maar hoe krijg ik dit verlopen certificaat verwijderd. Kan in menu niet aanvinken.
Zolang dit verlopen certificaat er staat is mijn domein niet benaderbaar.
DS214play op DSM 7.1.1-42962 Update 6
Synology DS218J op DSM 7.1.1-42962 Update 5

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: certificaat van een externe partij te verlengen
« Reactie #7 Gepost op: 16 augustus 2021, 15:56:06 »
Je kunt nooit het laatste certificaat verwijderen. Dit omdat de afwezigheid van een certificaat nog erger is dan een verlopen certificaat. Dus eerste een nieuwe installeren en dan pas onnodige certificaten wissen.

In elk geval eisen browsers tegenwoordig dat je minimaal elke 13 maand een nieuw certificaat installeert. Via een externe partij moet je dan elk jaar weer aan de slag. Let's Encrypt vernieuwt elke 2 maand automatisch.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Leonard1052

  • Bedankjes
  • -Gegeven: 30
  • -Ontvangen: 0
  • Berichten: 142
Re: certificaat van een externe partij te verlengen
« Reactie #8 Gepost op: 16 augustus 2021, 18:58:42 »
Ok, als ik bij Let's encrypt een nieuw Certificaat aanvraag, komt die oude dan automatisch te vervallen cq kan ik die dan gewoon deleten?

Toch is de oplossing met die derde partij dicht bij, ik moet alleen weten hoe ik die mappen moet aanmaken in de root directory van mijn server en daarin een txt file kopiëren.  Wie zou mij dat kunnen vertellen?
DS214play op DSM 7.1.1-42962 Update 6
Synology DS218J op DSM 7.1.1-42962 Update 5

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: certificaat van een externe partij te verlengen
« Reactie #9 Gepost op: 16 augustus 2021, 20:50:12 »
Als jij met de certificaten op root niveau aan de gang gaat, is de kans groot dat de boel alleen maar in de soep draait. Zeker als die handleiding niet voor de Synology nas bedoeld is en Synology dingen niet op de standaard manier doet.

Als je via de GUI kiest om het certificaat te vernieuwen, maakt hij standaard een CSR aan. Een een uitgeven van certificaten heeft alleen wat aan een CSR file.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Gemarkeerd als beste antwoord door Leonard1052 Gepost op 17 augustus 2021, 12:09:35

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: certificaat van een externe partij te verlengen
« Reactie #10 Gepost op: 16 augustus 2021, 21:00:34 »
Ik heb even naar de video gekeken. Daar gaat het helemaal niet om de root van de nas. Alleen over de root van je website.  Dus het zelfde level als waar je de .htacess file zet. (De web share of een folder voor een virtual host) En die folder is gewoon via ftp te benaderen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.951
Re: certificaat van een externe partij te verlengen
« Reactie #11 Gepost op: 17 augustus 2021, 11:33:49 »
@Briolet geeft hiervoor al een indicatie waar het betrekking op heeft.

Toch is de oplossing met die derde partij dicht bij, ik moet alleen weten hoe ik die mappen moet aanmaken in de root directory van mijn server en daarin een txt file kopiëren.  Wie zou mij dat kunnen vertellen?

Ik kan me wel voorstellen dat het verwarrend is. Zal proberen wat aanwijzingen te geven.
Zelf maak ik ook gebruik van een gewoon "commercieel" domein (met NL extensie) voor mijn WAN IP-adres, met SSL certificaat.

Bij vernieuwing van het certificaat heb je uiteindelijk  3  "tekst" bestanden en een DNS-record "string".
Die bestanden bestaan feitelijk uit een  "private-key"   -  certificaat  en  een "bundel" van een paar certificaten.

Grofweg zo'n heel stuk tekst met cijfers/letters,  omgeven met een begin "tag" en eind "tag" codering.

Private-key:
-----BEGIN PRIVATE KEY-----
xxxxxxxxxxx
-----END PRIVATE KEY-----

Certificaat:
-----BEGIN CERTIFICATE-----
xxxxxxxxxxx
-----END CERTIFICATE-----

Bundel (2 of 3 certificaten):
-----BEGIN CERTIFICATE-----
xxxxxxxxxxx
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
xxxxxxxxxxx
-----END CERTIFICATE-----


Die stukjes tekst zet je gewoon in een tekstbestandje.  De extensie "txt" van die bestandjes hernoem je echter!
Om het makkelijk te onthouden en de volgorde van importeren in de NAS, heb ik de namen tevens hernoemd naar:

1 private.key
2 certificaat.crt
3 Sectigo 2x-bundel.crt

Dat importeer je dan vervolgens in de NAS:  Configuratiescherm ----> Beveiliging  ---->  Certificaat

53670-0        53672-1        53674-2


Het stukje regel  met een DNS-record "string"  plaats je in het account bij de service provider,
waar je het domein hebt geregistreerd.  (Met nog een aantal A-records met verwijzingen naar je WAN IP-adres).
M.b.t. die A-records e.d. zie onderwerpen eerder < HIER >  en  < HIER >  + vervolgreacties.

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: certificaat van een externe partij te verlengen
« Reactie #12 Gepost op: 17 augustus 2021, 11:42:01 »
Als ik de video bekijk, gaat het hier om een heel andersoortig tekstbestand.

Deze uitgever van certificaten wil, nadat hij de CSR ontvangen heeft, controleren dat jij ook de eigenaar bent van dat domein. Hij doet dat door een tekstfile te geven die je zelf in je website(s) moet plaatsen. Vervolgens test deze uitgever of hun bestand op de website gevonden wordt. Zo ja, dan maken ze het certificaat aan.

Als je geen webserver hebt draaien, dan zul je dat pakket eerst moeten installeren en een mini-website inrichten.

Wat ik alleen niet snap is dat het hier om een verlenging gaat. Dan is dit toch ook al in het verleden gedaan? Waarom zou een uitgever het domein de eerste keer niet controleren en bij verlenging een heel nieuwe procedure toevoegen?
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Leonard1052

  • Bedankjes
  • -Gegeven: 30
  • -Ontvangen: 0
  • Berichten: 142
Re: certificaat van een externe partij te verlengen
« Reactie #13 Gepost op: 17 augustus 2021, 11:56:51 »
Dank voor de uitleg.
Het verlengen van het certificaat was me inmiddels gelukt.
Het lag meer aan het proces bij de uitgevende instantie.
Allereerst moet je weten dat je via een tussen bedrijf het abonnement koopt, in mijn geval is dat vijf jaar. Sinds kort is het verplicht bij meeste websites om het certificaat jaarlijks te vernieuwen. Bij zo'n tussenbedrijf kan je dan kiezen voor CSR of Web issue. In het laatste geval krijg je van hen een private key die in DSM moet matchen met het certificaat. Zaak dus om je private key niet weg te gooien zoals ik had gedaan en het aanvraagproces weer op nieuw moest doen.
Het nut van die bundle (nr 3 in jouw voorbeeld) is mij nog niet duidelijk, mede omdat het invullen daarvan optioneel is.
DS214play op DSM 7.1.1-42962 Update 6
Synology DS218J op DSM 7.1.1-42962 Update 5

Offline Leonard1052

  • Bedankjes
  • -Gegeven: 30
  • -Ontvangen: 0
  • Berichten: 142
Re: certificaat van een externe partij te verlengen
« Reactie #14 Gepost op: 17 augustus 2021, 12:03:46 »
Dank, en klopt helemaal wat je schrijft alleen heb ik geen CSR gestuurd maar via hun website aangegeven dat ik een private.key wil ontvangen. Deze had ik dus weggegooid dus toen ik het certificaat kreeg en dus was er geen match waardoor ik het proces opnieuw moest doen. Enfin, uiteindelijk allemaal gelukt.
Waarom ik dit proces moest volgen om het verlengd te krijgen is mij ook niet duidelijk. Wellicht heb ik te laat gereageerd voor de verlenging en was de geldigheid al verlopen toen ik een verlenging aanvroeg. Wel weet ik inmiddels dat je nu ieder jaar dit proces moet doorlopen , meeste websites hebben dit als extra veiligheid ingebouwd.
DS214play op DSM 7.1.1-42962 Update 6
Synology DS218J op DSM 7.1.1-42962 Update 5


 

VERPLAATST: Kan geen Let's Encrypt Certificaat maken in DSM6.2.

Gestart door BirdyBoard Netwerk algemeen

Reacties: 0
Gelezen: 991
Laatste bericht 07 oktober 2018, 21:06:45
door Birdy
Let's encrypt certificaat probleem

Gestart door Forum026Board Synology DSM 6.1

Reacties: 4
Gelezen: 2910
Laatste bericht 31 juli 2017, 22:41:28
door Birdy
Synology drive & Let's encrypt certificaat foutmelding

Gestart door D4nnyBoard Cloud Station & Drive

Reacties: 7
Gelezen: 2080
Laatste bericht 16 januari 2020, 09:24:29
door D4nny
Certificaat error met link naar Album

Gestart door HHGDBoard Synology DSM algemeen

Reacties: 9
Gelezen: 4198
Laatste bericht 24 november 2015, 10:29:25
door Briolet
VPn server certificaat genereren gaat niet goed

Gestart door deeptrapBoard VPN Server

Reacties: 0
Gelezen: 2081
Laatste bericht 29 december 2013, 22:47:40
door deeptrap