Auteur Topic: Let's encrypt met wildcard instellen  (gelezen 38021 keer)

Offline MAdD

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 3
  • Berichten: 49
Re: Let's encrypt met wildcard instellen
« Reactie #30 Gepost op: 09 december 2019, 10:20:40 »
nee deze container werkt voor alle providers die Lexicon gebruiken (waaronder TRANS-IP).
zie voor meer info hier
  • Mijn Synology: DS212+
  • Extra's: DS3615xs (XPEnology)

Offline dvandonkelaar

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 12
  • -Ontvangen: 161
  • Berichten: 937
Re: Let's encrypt met wildcard instellen
« Reactie #31 Gepost op: 09 december 2019, 11:25:17 »
Begrijp met niet verkeerd, ik vraag me alleen af wat het voordeel van deze container is.
Wat deze container doet is het aanmaken van DNS-records (alleen bij providers die Lexicon gebruiken) en een let's encrpyt certificaat aanvragen.
Ten opzichte van het handmatig uitvoeren van het acme.sh-script wordt alleen het aanmaken van de DNS-records niet uitgevoerd.
Maar goed. Als het goed werkt, dan is er geen reden om dit anders te doen.


De repo van AnalogJ/lexicon is daarbij veel interessanter. Deze kun je gebruiken om DNS-records aan te passen, mits je procider Lexicon gebruikt natuurlijk.
--
dvandonkelaar

DS415+ 8GB | 2xWD30EZRX en 2xWD30EFRX | RAID5 EXT4 [Productie]
DS211J | 2x WD20EZRZ | RAID1 EXT4 [Backup]
Eaton Ellipse PRO 650 DIN (Schuko)

Offline MAdD

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 3
  • Berichten: 49
Re: Let's encrypt met wildcard instellen
« Reactie #32 Gepost op: 09 december 2019, 13:05:21 »
Met deze container maak ik een wildcard certiifcaat.
Aangezien je een wildcard certificaat alleen kan aanmaken, als er een bepaalde DNS entry in je domain staat, gebruik ik deze container om alles geautomatiseerd te doen.

Oftewel ik geen aan welke domainen ik in het certificaat wil, en dan zal de docker dit gaan uitvoeren (DNS record aanmaken, ACME controleert daarna of de key overeenkomt, aanmaken van cert en opruimen van de DNS record).
Ik heb hier geen omkijken meer naar......

  • Mijn Synology: DS212+
  • Extra's: DS3615xs (XPEnology)

Offline OuRW9M

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 2
Re: Let's encrypt met wildcard instellen
« Reactie #33 Gepost op: 16 december 2019, 22:36:43 »
Ondertussen heb ik het zelf werken gekregen door middel van een bash script. Zie mijn update in de TS.
Via mijn GitHub is deze te downloaden.

Hoe doe je dit i.c.m. je DNS provider? Zet je elke keer handmatig de record goed of vernieuw je hem elke keer op tijd zodat je challenge in de cache blijftI?
  • Mijn Synology: DS116

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: Let's encrypt met wildcard instellen
« Reactie #34 Gepost op: 16 december 2019, 22:49:07 »
Nee, niets handmatig:

Citaat
Ik heb hier geen omkijken meer naar......

De DNS provider moet het wel ondersteunen (Lexicon), vandaar de restrictie in het script voor specifieke providers
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline OuRW9M

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 2
Re: Let's encrypt met wildcard instellen
« Reactie #35 Gepost op: 16 december 2019, 22:53:52 »
Heb heel even mn reactie aangepast en er een quote bijgezet.
In het script van dvandonkelaar, wordt er gebruik gemaakt van het argument --yes-I-know-dns-manual-mode-enough-go-ahead-please
Daarmee neem ik dus aan dat hij deze modus gebruikt en dus niet automatisch vernieuwt. https://github.com/Neilpang/acme.sh/wiki/dns-manual-mode

Ik ben voornamelijk benieuwd wat hij dan wel doet.
  • Mijn Synology: DS116

Offline dvandonkelaar

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 12
  • -Ontvangen: 161
  • Berichten: 937
Re: Let's encrypt met wildcard instellen
« Reactie #36 Gepost op: 16 december 2019, 23:00:45 »
Volgens mij worden de bestaande waardes in de sms behouden. Ik heb hier een poosje verschillende situaties mee zitten testen waardoor ik niet meer exact weet hoe dit nu zat.
Een deze dagen zal ik het nog wel eens proberen. Ik zag vandaag dat niet alleenalle virtual host certificates geüpdatet waren, dus dat wil ik ook nog even uitzoeken.
Zodra ik hier meer over weet zal ik het hier vermelden.

EDIT: typfout aangepast
--
dvandonkelaar

DS415+ 8GB | 2xWD30EZRX en 2xWD30EFRX | RAID5 EXT4 [Productie]
DS211J | 2x WD20EZRZ | RAID1 EXT4 [Backup]
Eaton Ellipse PRO 650 DIN (Schuko)

Offline dvandonkelaar

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 12
  • -Ontvangen: 161
  • Berichten: 937
Re: Let's encrypt met wildcard instellen
« Reactie #37 Gepost op: 18 december 2019, 11:56:09 »
Hoe doe je dit i.c.m. je DNS provider? Zet je elke keer handmatig de record goed of vernieuw je hem elke keer op tijd zodat je challenge in de cache blijftI?

Het acme.sh-script doet met een eerste renew in principe hetzelfde als met elke renew daarna. Dit gaat op basis van de gegevens die 'verwacht' worden.
Dit heb ik vanmorgen even getest en mijn certificaat van 08-12 is netjes geüpdatet, met de oude DNS-instellingen.
De Topic Start heb ik bijgewerkt met de laatste informatie.
--
dvandonkelaar

DS415+ 8GB | 2xWD30EZRX en 2xWD30EFRX | RAID5 EXT4 [Productie]
DS211J | 2x WD20EZRZ | RAID1 EXT4 [Backup]
Eaton Ellipse PRO 650 DIN (Schuko)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: Let's encrypt met wildcard instellen
« Reactie #38 Gepost op: 18 december 2019, 16:05:24 »
In feite doet het standaard script hetzelfde bij een certificaat voor een Synology ddns naam. Dit gaat ook via de dns instellingen, waardoor er geen poort hoeft open te staan. Maar dat is dus alleen voor de eigen dns server van synology.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7982
  • Berichten: 43.998
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Let's encrypt met wildcard instellen
« Reactie #39 Gepost op: 15 april 2020, 14:46:25 »
Sinds DSM Version: 6.2.3: Added support for Let's Encrypt wildcard certificates.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65373                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline zandhaas

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 24
  • -Ontvangen: 205
  • Berichten: 802
Re: Let's encrypt met wildcard instellen
« Reactie #40 Gepost op: 15 april 2020, 20:21:00 »
Heb net even getest met mij V-DSM test machine.
Het lijkt erop dat wilcard certificaten alleen werken met "synology" domein namen.
Als ik het voor mijn eigen domein probeer krijg ik de melding dat ik een "geldige domein naam" moet gebruiken.
  • Mijn Synology: DS918+
  • Extra's: 16GB RAM
DS213+  DSM 6.2  512MB
DS918+  DSM 7.2  16GB + 2*1TB NVME  Cache
VDSM      DSM 7.2
MR2200ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: Let's encrypt met wildcard instellen
« Reactie #41 Gepost op: 15 april 2020, 22:32:25 »
Ik had al zo'n idee dat er een addertje onder het gras zat. Ik heb 6.2.2 op mijn testnas gezet en wilde het ook eens testen.

Poort 80 gaat niet naar mijn testnas, maar deze wildcard methode gebruikt een protocol dat poort 80 niet nodig heeft. Dat protocol gebruikt Synology al voor certificaat op zijn eigen domeinnamen.
Met een eigen domeinnaam moet je echter van alles in je dns systeem aanpassen voor deze nieuwe methode. Of de nas doet dat voor je, maar dan heeft hij inlog gegevens nodig voor je dns instellingen.

Tot mijn verbazing was er geen enkel menu om dit alles in te kunnen stellen. Ik zeg zelfs geen aanpassingen aan de certificaat menu's. Ook in de help wordt er niets geschreven over deze wildcards.

Bij de dns van synology ligt dat echter iets simpeler. Daar is de inlog voor het dns systeem gelijk aan de inlog van de ddns dienst. Dus daar kan Synology het realiseren zonder dat de gebruiker extra instellingen moet doen.

Dus eigenlijk een wassen neus dat wildcards mogelijk zijn.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7982
  • Berichten: 43.998
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Let's encrypt met wildcard instellen
« Reactie #42 Gepost op: 15 april 2020, 22:53:34 »
Nou, bij mij ging het e.e.a. niet goed op m'n Test DS maar, dat komt waarschijnlijk omdat ik te veel geklooid heb met Synology DDNS en meerdere Certificaten, te veel om uit te leggen.
Ik ga terug naar fabrieksinstellingen en weer testen, morgen.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65373                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: Let's encrypt met wildcard instellen
« Reactie #43 Gepost op: 16 april 2020, 00:30:22 »
Ik heb poort 80 even naar mijn testnas gezet.

Een certificaat voor *.xxx.synology.me werkt niet. Een certificaat voor dsm.xxx.synology.me werkt wel. Het is wel nieuw dat je een asterix mag gebruiken in een domeinnaam. In de vorige dsm versies kon je geen asterix gebruiken.

Dit was wel met een nas die niet voor de ddns zorgt. Dus waarschijnlijk gebruikt hij het standaard protocol dat ook voor eigen domeinen gebruikt wordt.

Een test op mijn hoofdnas kan ik nog niet doen omdat ik daar zeker nog wacht met een update. Dat zal ik pas na 21 april doen als synology de 6.2.3-1 patch gaat releasen. OpenSSL heeft voor die dag nml een kritische bugfix aangekondigd.  En dan kun je een update niet meer uitstellen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7982
  • Berichten: 43.998
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Let's encrypt met wildcard instellen
« Reactie #44 Gepost op: 16 april 2020, 12:13:34 »
Getest op m'n Test-DS die ik volledig opnieuw heb geïnstalleerd.

Als test, eerst in Toepassingsportaal > File Station "Aangepast domein" ingeschakeld, domein: fs.xxx.synology.me en poort 7001 forwarded.

Na het verwijderen van de oude DDNS in m'n account, een nieuwe gemaakt, xxx.synology.me en heb het Let's Encrypt automatisch laten maken.
Echter, ik had nu eigenlijk wel verwacht dat ik een keuze zou krijgen of ik ook de Wildcard wilde instellen.
Niet dus, kreeg dus een standaard Certificaat voor xxx.synology.me.

Heb een tweede Certificaat gemaakt met Wildcard voor xxx.synology.me.
Het eerste Certificaat werd hierdoor aangepast.



In Chrome: https://fs.xxx.synology.me:7001 krijg ik "Je verbinding is niet privé"
Ik klik op geavanceerd, krijg ik te zien:
"De server kan niet bewijzen dat dit fs.xxx.synology.me is. Het beveiligingscertificaat van de server is afkomstig van xxx.synology.me."
Ga ik toch door, dan kom ik onveilig in het inlogscherm voor File Station.




Het werkt dus idd niet of, ik snap het idee niet.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65373                                                                 MR2200ac  SRM 1.2.5-8227-11


 

Toch nog een keer Let's Encrypt: krijg foutmelding

Gestart door pvkanBoard Synology DSM algemeen

Reacties: 11
Gelezen: 1867
Laatste bericht 12 januari 2020, 11:35:03
door Briolet
Synology SSL VPN instellen op RT2600AC router-achter-een-router

Gestart door peter.venkmanBoard Synology Router

Reacties: 13
Gelezen: 2398
Laatste bericht 20 juli 2020, 19:46:43
door Briolet
Opslag op nas instellen op verschillende pc´s

Gestart door LennyBoard Windows

Reacties: 2
Gelezen: 895
Laatste bericht 19 december 2021, 15:28:52
door Lenny
VERPLAATST: Let's Encrypt certificate expiration

Gestart door BirdyBoard Netwerk algemeen

Reacties: 0
Gelezen: 484
Laatste bericht 04 december 2023, 11:07:29
door Birdy
NAS instellen machtiging

Gestart door dikiBoard Windows

Reacties: 18
Gelezen: 10145
Laatste bericht 10 augustus 2016, 23:04:29
door diki