Let's encrypt met wildcard instellen

[Briolet]

Bovendien is "groen slotje" een vaag begrip omdat dit per browser verschilt. b.v. bij Safari krijg je alleen bij een EV certificaat een groen slotje. Let's Encrypt geeft geen EV certificaat. Bij safari geeft dat 'slechts' een grijs slotje.

[MAdD]

Nadelen:

2. Het via de commandline toevoegen (of vervangen) van een certificaat heb ik nog niet werkend kunnen krijgen, het werkend krijgen van het wildcard certificaat had de eerste prioriteit. Dit proces automatisch laten verlopen totdat Synology dit geïmplementeerd heeft (of totdat mijn setup wijzigt) moet ik nog goed onderzoeken.

Was hier inmiddels al een oplossing voor. Ik ben nu bezig met het gebruiken van de reverse proxy en wil dit eigenlijk met een WildCard certificaat van LE gaan afvangen... alleen ik heb geen zin om iedere 2,5 maanden dit handmatig te gaan doen...

Alvast bedankt voor het antwoord.

MAdD

[dvandonkelaar]

Hier heb ik verder nog niet naar gekeken. Heb het de afgelopen paar keer wel met de hand gedaan, is ook niet zo heel veel werk. Ik zal de volgende keer eens kijken of dit ergens te automatiseren is.

[Jovink]

Het is inmiddels bijna 3 maanden geleden dat ik het certificaat heb geïmporteerd dus moet hem weer vernieuwen.
Moet ik daar voor op nieuw alle stappen doorlopen of kan ik bij stap 3 beginnen?

[dvandonkelaar]

Volgens mij ben ik de laatste keer bij stap 5 begonnen, maar weet niet 100% zeker of dat werkte. Het is voor mij ook alweer 2 maanden geleden. Anders zou ik inderdaad bij stap 3 beginnen.

[Jovink]

Bedakt. Ik ga het proberen.

[MAdD]

Hier heb ik verder nog niet naar gekeken. Heb het de afgelopen paar keer wel met de hand gedaan, is ook niet zo heel veel werk. Ik zal de volgende keer eens kijken of dit ergens te automatiseren is.

Heb je inmiddels al een oplossing hiervoor gevonden? Of doe je het nog steeds handmatig?

[dvandonkelaar]

Wegens tijdgebrek doe ik dit nog steeds handmatig. Want dat kost op zichzelf helemaal niet zo veel tijd en tot nu toe ben ik er pas achter gekomen toen de certificaten verlopen waren.
Eind september zal het weer moeten (uit mijn hoofd), ik zal dan eens kijken of het mogelijk is.

[Dhyan]

Lost een wildcard het probleem op dat bezoekers een beveiligingswaarschuwing krijgen wanneer niet slechts https://www.mijn domein.com maar bijvoorbeeld de aanvulling met slashen zoals https://www.mijn domein.com/photo/ gebruiken?

[Briolet]

Ne, een wildcard lost alleen het probleem op van steeds weer een nieuw (of langer) certificaat aanmaken als je een nieuw subdomein in gebruik neemt.

En alles na de slash valt buiten de controle van een certificaat.

[Dhyan]

Hallo Briolet, maar hoe moet dat dan wanneer je andere applicaties (die met een aanvullende slash) wilt gebruiken?
Moeten die dan per applicatie voorkomen op het certificaat of zijn die überhaupt niet te certificeren?

[Briolet]

Ik kan alleen herhalen:

En alles na de slash valt buiten de controle van een certificaat.

Is ook logisch, want anders zou je voor elke webpagina een eigen certificaat moeten maken.

[Dhyan]

Oké duidelijk.
Kan ik overigens ook mijn externe IPadres als alternatieve naam op het certificaat kwijt?

[MAdD]

Wegens tijdgebrek doe ik dit nog steeds handmatig. Want dat kost op zichzelf helemaal niet zo veel tijd en tot nu toe ben ik er pas achter gekomen toen de certificaten verlopen waren.
Eind september zal het weer moeten (uit mijn hoofd), ik zal dan eens kijken of het mogelijk is.

Bijna einde van het jaar... en ik heb het werkend gekregen via een Docker Container.

Hieronder mijn releas hoe ik het gedaan heb:

To create wildcard certificates for your Synology system for provider TRANS-IP, you can use the following code
SSH into Synology
create a folder called

Code: [Selecteer]

/var/docker-data/Certificatescreate a file in

Code: [Selecteer]

/etc/letsencrypt/ called

Code: [Selecteer]

domains.confper line fill in an owned domain like

Code: [Selecteer]

Example.com *.example.com for 1 certificate

Code: [Selecteer]

example.com *.example.com
smtp.example.com
imap.example.com pop.example.com for 3 certificate
create a file in

Code: [Selecteer]

/etc/letsencrypt/ called

Code: [Selecteer]

api.keycreate an API in your TRANS-IP controle panel
save this API key and now we need to modify it to an RSA key
download openssl
execute

Code: [Selecteer]

openssl rsa -in transip_original.key -out api.key (and save to

Code: [Selecteer]

/etc/letsencrypt/)
install docker on your Synology
Install docker packages adferrand/letsencrypt-dns

to create your own settings using the above docker image you can start the docker in SSH with the following line:

Code: [Selecteer]

docker run \
--name YOUR OWN NAME \
--volume /etc/letsencrypt/domains.conf:/etc/letsencrypt/domains.conf \
--volume /etc/letsencrypt/api.key:/etc/letsencrypt/api.key \
--volume /var/docker-data/Certificates:/etc/letsencrypt \
--env 'LETSENCRYPT_USER_MAIL=YOUR@Email.address' \
--env 'LEXICON_PROVIDER=transip' \
--env 'LEXICON_TRANSIP_USERNAME=YOUR_TRANSIP_USERNAME' \
--env 'LEXICON_TRANSIP_AUTH_API_KEY=/etc/letsencrypt/api.key' \
--env 'LEXICON_TRANSIP_TTL=1' \
--env 'LEXICON_SLEEP_TIME=3720' \
--env 'LETSENCRYPT_STAGING=false' \
adferrand/letsencrypt-dns

When the certificates are created you can manually install them into the Synology interface (first time).
If you let the docker run, it will 30 days before the certificate will expire create new certificates.
With the following code you can copy these to the correct location

Code: [Selecteer]

#!/bin/bash
echo "Starting script at : $(date)"
echo "Checking if certificates needs to be changed"
file1="/var/docker-data/Certificates/live/YOURDOMAIN/cert.pem"
file2="/usr/syno/etc/certificate/ReverseProxy/LOCATION_OF_YOUR_CERTIFICATE/cert.pem"
dirdate=$(date +"%Y-%m-%d")
if diff "$file1" "$file2" >/dev/null ; then
echo "Nothing has changed!!..."
else
cp /var/docker-data/Certificates/live/YOURDOMAIN/* /usr/syno/etc/certificate/ReverseProxy/LOCATION_OF_YOUR_CERTIFICATE/
cp /var/docker-data/Certificates/live/YOURDOMAIN/* /usr/syno/etc/certificate/_archive/LOCATION_OF_YOUR_CERTIFICATE/
/usr/syno/sbin/synoservicectl --restart nginx
echo "Certificates has been copied and activated!"
echo "Now make backup to /volume1/YOUR_LOCATION/History/$dirdate"
mkdir /volume1/YOUR_LOCATION/History/$dirdate
cp -R /var/docker-data/Certificates/* /volume1/YOUR_LOCATION/History/$dirdate
echo "Done on the certificate part...."
fi
echo "Stopping script at : $(date)"
echo "Now returning to normal operations!!!!"

to figure out

Code: [Selecteer]

/usr/syno/etc/certificate/_archive/LOCATION_OF_YOUR_CERTIFICATE/ check

Code: [Selecteer]

/usr/syno/etc/certificate/_archive/INFO

[dvandonkelaar]

for provider TRANS-IP

Deze container werkt alleen voor TRANS-IP?

Ondertussen heb ik het zelf werken gekregen door middel van een bash script. Zie mijn update in de TS.
Via mijn GitHub is deze te downloaden.