Let's encrypt met wildcard instellen

[Birdy]

Overigens, op het Officiële Forum heb ik nog geen test gezien.

[Briolet]

Voor een wildcard moet je bij de gewone naam je synology domein invullen en bij alternatieve naam hetzelfde met *. ervoor. Zo worden wildcard certificaten normaal uitgegeven.

[Birdy]

Dat heb ik toch gedaan, gezien de certificaten?
Of, ik snap het niet.

[Briolet]

Dat kon ik niet goed zien. Er was zoveel weggepoetst in je screeshots 

Ik kijk liever rechtstreeks naar het certificaat dat de browser gebruikt. In Chrome is dat:

Weergave --> Ontwikkelaar --> Ontwikkelartools --> Security --> View Certificate


In elke normale browser: Gewoon het slotje klikken. (Chrome wil niet dat de gebruiker certificaten controleert en verstopt die optie)

[Birdy]

Certificaat is verleend aan: xxx.synology.me
Met Wildcard zou ik met fs. ervoor, een geldig cert verwachten, toch?

[Briolet]

In het SAN lijstje van Chrome moet naast de naam xxx.synology.me ook de naam *.xxx.synology.me voorkomen. Alleen dan weet je zeker dat Chrome ook het certificaat gebruikt wat je verwacht. Want eigenlijk zou ik verwachten dat het moet werken als je dat certficaat kunt maken en gebruikt.

NB: SAN staat voor Subject Alternative Name

[zandhaas]

Is je wildcard certificaat ook je default certificaat?

Of heb je de "fs" service toegekend aan het wildcard certificaat.

[Birdy]

SAN staat voor Subject Alternative Name

Ik kan alleen "xxx.synology.me" vinden in de Certificaat details:
Onderwerp en Alternatieve naam voor onderwerp
Is dat wat je bedoelt ?

@zandhaas In Reactie #44 kan je zien hoe het ontstaan is en hoe het eruit ziet.
Certificaat 2 kan ik niet default maken, staat ook niet meer in het menu (rechts klik op cert).
Maar, als je naar het plaatje kijkt in reactie #44, dan is fs. toegevoegd aan Certificaat 1, die wel default is.

[Briolet]

Ik kan alleen "xxx.synology.me" vinden in de Certificaat details:

Als ik naar het wildcard certificaat van Google zelf kijk, ziet dat er als volgt uit in Chrome:



Als jij die wildcard naam niet ziet, staat het niet in het certificaat.

[Birdy]

Tja, dat zie ik dus niet bij mijn Certificaat in Chrome maar wel op de NAS:
Certificaat 2: *.xxx.synology.me en xxx.synology.me
Certificaat 1: alleen xxx.synology.me

Dus, dat gaat niet werken dan en dat komt, denk ik, omdat het 1e Certificaat standaard door de DDNS instelling is gemaakt en daarna zelf een 2e heb moeten maken.

Ik zal weer eens terug gaan naar fabrieks instellingen, dan DDNS instellen zonder auto Certificaat.
Want ik kan die n.l. niet verwijderen in de huidige opzet.

Wel vreemd allemaal, de gebruiker moet zelf kunnen bepalen of je een Certificaat mag verwijderen, het zou zelfs zo moeten zijn, dat je helemaal geen Certificaten hebt.

[Birdy]

Eerst het 2e certificaat verwijderd, dan terug naar fabrieksinstellingen:

Heb dus nu 1 standaard certificaat van Synology.

1 - DDNS weer opgezet zonder auto certificaat.
2 - Wildcard Certificaat gemaakt voor xxx.synology.me en SAN *.xxx.synology.me


3 - Nu kon ik wel het Certificaat default maken.

4 - In Toepassingstoegang voor File Station "Aangepast Domein" ingeschakeld: fs.xxx.synology.me

En nu gaat het goed:



Kijkende in het het Certificaat (Chrome)
"Alternatieve naamvoor onderwerp":
DNS-naam=*.xxx.synology.me
DNS-naam=xxx.synology.me

Dus, het is een uitdaging om een bestaand certificaat op naam van ....synology.me even te wijzigen, zeker als deze automatisch is gemaakt door de DDNS instelling en niet is te verwijderen.
Ik zie geen opties om dat dan aan te passen en even terug naar fabrieksinstelling, is geen optie voor niet-test-nassen.

Misschien dat er wel onderwater wat te regelen valt, dat weet ik niet......heeeel mischien wil ik daar ook naar kijken maar, dat wordt geen optie voor de meeste gebruikers.

[Briolet]

Het is even 'een gedoe' met meerdere certificaten. Per functie moet je een certificaat aanwijzen. Uit je eerdere screenshot maak ik op dat File Station via poort 7000 nog steeds met het default certificaat ingesteld was.

Jij had dit bij instellingen moeten aanpassen. Zelf gebruik ik een stuk of 5 zodat ik er inmiddels een beetje vertrouwd mee ben. Hoewel ik een ander probleem heb bij het instellen. Als ik bij het toewijzen, niet eerst buiten het invulveld klik, voordat ik ok klik, wordt de instelling niet overgenomen. Als je daar niet attent op bent, kun je ook ten onrechte denken dat je het aangepast hebt.

Maar goed. Het werkt dus bij een certificaat op een Synology ddns naam. Die gebruikers zullen het minste belang bij een wildcard hebben.

Het was mooier geweest als dat ook bij eigen domeinnamen kon. De gebruiker moet dan een bepaalde public key aanmaken en die in zijn ddns record publiceren. Dan pas het certificaat aanmaken. Hierna mag je de public key weer verwijderen. Als de domeinnaam hoster een api heeft on de dns records te veranderen, kan dit geautomatiseerd worden.

[Birdy]

File Station via poort 7000 nog steeds met het default certificaat ingesteld was.

Jij had dit bij instellingen moeten aanpassen.

Dat was poort 7001, maar goed, zoals eerder vermeld, ik kon de default niet instellen.
Mijn conclusie is, dat dit kwam door het DDNS automatisch gemaakte certificaat en het 2e certificaat die ik had gemaakt met Wildcard, lees maar eens terug.

[Briolet]

Je schreef idd dat je de default niet kon aanpassen. Maar ik bedoelde dat je het ook via configuratie kunt instellen. Als een een eigen poort toewijst aan filestation (of elke andere app), dan kun je daar ook een eigen certificaat aan koppelen die alleen voor die inlogpagina gebruikt wordt.

Zelf heb ik een stuk of 8 certificaten. (De helft is voor testen in gebruik). Via configuratie wijs je dan een certificaat aan een bepaalde app, reverse proxy of poort toe.



Ik noem dit hier toch even omdat je hier steeds heel goed naar moet kijken als je meer dan 1 certificaat in gebruik hebt.

[aliazzz]

Komen wildcards ook voor de RT2600acm of zijn die daar al beschikbaar via de GUI?