Auteur Topic: certificaat van een externe partij te verlengen  (gelezen 3250 keer)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 902
  • -Ontvangen: 1482
  • Berichten: 7.947
Re: certificaat van een externe partij te verlengen
« Reactie #15 Gepost op: 17 augustus 2021, 12:05:17 »
Het nut van die bundle (nr 3 in jouw voorbeeld) is mij nog niet duidelijk, mede omdat het invullen daarvan optioneel is.

In het verleden heb ik het ook op moeten zoeken. Heeft mogelijk te maken met bepaalde services die je op je NAS hebt draaien.
(e-mail server ??).  De uitleg ervan is al wat langer geleden, dus weet het zo ook niet meer uit mijn hoofd.
Ik zet het er gewoon standaard bij.  Merk geen problemen.
(Misschien met de extra certificaten ook in een OpenVPN configuratiebestand, heb je nog een extra controle match erbij??)

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: certificaat van een externe partij te verlengen
« Reactie #16 Gepost op: 17 augustus 2021, 12:32:23 »
Citaat
heb ik geen CSR gestuurd maar via hun website aangegeven dat ik een private.key wil ontvangen

Dat is vreemd. Een serieuze uitgever van certificaten zal nooit een private key versturen. Dat houdt nml in dat jij nooit zeker weet of zij geen kopie van de private key achter houden en dus altijd in jouw ssl verkeer kunnen kijken.

De goede methode is om zelf een private key te maken en dan een CSR file te maken op basis van die private key. Dat gebeurt beide als je binnen DSM een CSR aanmaakt. De CSR stuur je op en de private key houdt je achter. Die CSR ondertekent de ssl uitgever met hun root certificaat en voegt er de gewenste domeinnamen aan toe. Vervolgens stuurt hij dit als public key (Het certificaat) naar jou terug.

Vervolgens installeer je de eerder aangemaakte private key, samen met het ontvangen certificaat op de nas.

De hele omweg via een CSR file is er juist voor ontwikkeld om te zorgen dat de private key zelf nooit door anderen gezien kan worden. Dus ook niet door de uitgever van het certificaat.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Leonard1052

  • Bedankjes
  • -Gegeven: 30
  • -Ontvangen: 0
  • Berichten: 142
Re: certificaat van een externe partij te verlengen
« Reactie #17 Gepost op: 17 augustus 2021, 12:51:32 »
Citaat
Dat is vreemd. Een serieuze uitgever van certificaten zal nooit een private key versturen.

Ja en toch is het me via deze weg gelukt. Toen ik erachter kwam dat ik die private key (uit onwetendheid weggegooid) niet meer had gaven ze wel aan dat het proces van voren af aan moest omdat zij die key ook niet meer hadden. Of dat ook daadwerkelijk zo is weet ik natuurlijk niet.
Volgend jaar, wanneer ik het certificaat weer moet verlengen zal ik voor de optie van CSR kiezen, lijkt me idd veiliger.
DS214play op DSM 7.1.1-42962 Update 6
Synology DS218J op DSM 7.1.1-42962 Update 5

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 902
  • -Ontvangen: 1482
  • Berichten: 7.947
Re: certificaat van een externe partij te verlengen
« Reactie #18 Gepost op: 17 augustus 2021, 13:13:17 »
Dat is vreemd. Een serieuze uitgever van certificaten zal nooit een private key versturen.

Bij mijn serviceprovider  -als tussenpartij-  (die het vervolgens ook bij een uitgever aanvraagt),
wordt ook een private key toegestuurd (en is terug te vinden in mijn account).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: certificaat van een externe partij te verlengen
« Reactie #19 Gepost op: 17 augustus 2021, 13:33:47 »
Dan is dat een foute uitgever. Punt

Soms sturen gebruikers wel eens een private key mee op bij de aanvraag. Een goede uitgever, vraagt dan om de CSR opnieuw te doen met een nieuwe private key. (Dergelijke goede praktijken zijn op dit forum ook wel gemeld)

En het klopt i.d.d dat er uitgevers zijn die zelf een private key aanmaken voor het gemak van de klant. Maar als gebruiker weet je dan nooit of ze dit niet delen met statelijke veiligheidsdiensten (al dan niet gedwongen) zodat deze diensten al je ssl verkeer kunnen ontsleutelen. Dit soort uitgevers kun je qua veiligheidsniveau niet serieus nemen.

Edit: Het zelf aanmmaken van een private key is geen rocket science. Op de nas (en elke pc) staat gewoon het commando "openssl" (of een equivalent), dat dit voor je doet:

openssl genrsa -out private.key 2048
DSM doet dat ongemerkt voor je als je nieuwe certificaten maakt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 902
  • -Ontvangen: 1482
  • Berichten: 7.947
Re: certificaat van een externe partij te verlengen
« Reactie #20 Gepost op: 17 augustus 2021, 14:57:38 »
Dan is dat een foute uitgever. Punt

Het zal best.  Ik ga er toch niet achteraan om dat te veranderen of aan te passen.
Zou ik een volledige weektaak kunnen vullen om bij allerlei organisaties wat niet klopt aan te sturen op aanpassingen.

Overigens zit die private key bijv. NIET in mijn OpenVPN configuratiebestand.
Dat is een afwijkende sleutel.  Gerelateerd aan een 2048 bit autorisatiesleutel.
(Naast nog eens in mijn geval een tweetal certificaten).

<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
xxxxxxxxxxx
-----END OpenVPN Static key V1-----
</tls-auth>
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: certificaat van een externe partij te verlengen
« Reactie #21 Gepost op: 17 augustus 2021, 15:21:43 »
…Zou ik een volledige weektaak kunnen vullen om bij allerlei organisaties wat niet klopt aan te sturen op aanpassingen.

Dat klopt, maar bij een bedrijf waarbij de core-bussines het uitgeven van certificaten is, zou ik wat meer zorgvuldigheid verwachten. Ik snap wel dat ze zo veel minder probleem-vragen van klanten krijgen, waarbij het aanmaken van een private key en een CSR maken niet direct vlot. (Niet overal loopt dit zo simpel via een GUI als bij DSM).

Dan moeten ze de klanten maar iets vaker helpen en dus iets meer berekenen voor hun certificaten, want het hele ssl gebeuren berust er juist op dat de private key geheim blijft voor de buitenwereld.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

VERPLAATST: Kan geen Let's Encrypt Certificaat maken in DSM6.2.

Gestart door BirdyBoard Netwerk algemeen

Reacties: 0
Gelezen: 987
Laatste bericht 07 oktober 2018, 21:06:45
door Birdy
Let's encrypt certificaat probleem

Gestart door Forum026Board Synology DSM 6.1

Reacties: 4
Gelezen: 2905
Laatste bericht 31 juli 2017, 22:41:28
door Birdy
Certificaat error met link naar Album

Gestart door HHGDBoard Synology DSM algemeen

Reacties: 9
Gelezen: 4191
Laatste bericht 24 november 2015, 10:29:25
door Briolet
VPn server certificaat genereren gaat niet goed

Gestart door deeptrapBoard VPN Server

Reacties: 0
Gelezen: 2078
Laatste bericht 29 december 2013, 22:47:40
door deeptrap
Synology drive & Let's encrypt certificaat foutmelding

Gestart door D4nnyBoard Cloud Station & Drive

Reacties: 7
Gelezen: 2074
Laatste bericht 16 januari 2020, 09:24:29
door D4nny