Auteur Topic: Let's encrypt certificaat renewal zonder gebruik te maken van port 80  (gelezen 2860 keer)

Offline D4nny

  • Administrator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 85
  • -Ontvangen: 163
  • Berichten: 531
Hallo, weet iemand of je op de Synology NAS met gebruik van Let's encrypt certificaten specifiek port 80 open moet hebben voor certificaat renewals, of dat het ook via andere portnummers / manieren kan tegenwoordig?
Danny | TrueBase.nl

Synology nas in gebruik:
DS916+ 8G (2 x 8TB WD Ultrastar HC320 + 1 x Samsung EcoGreen F3 1,5TB) - Productie
DS716+II (2 x WD20EFRX WD red 2TB) - Test
DS213J (1 x WD10EARX WD Caviar Green 1TB +  1x Samsung EcoGreen F3 1,5TB) - Remote backup

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.172
  • Fijne feestdagen.......
    • Truebase
Re: Let's encrypt certificaat renewal zonder gebruik te maken van port 80
« Reactie #1 Gepost op: 03 maart 2022, 16:02:24 »
Citaat
Let's Encrypt zal een domeinvalidatie uitvoeren alvorens certificaten aan uw domeinen toe te wijzen. Vergewis u ervan dat poort 80 van uw Synology NAS en router open staat voor domeinvalidatie via het Internet. Elke andere communicatie met Let's Encrypt gaat over HTTPS om uw Synology NAS te beschermen.
De door Let's Encrypt verstrekte certificaten hebben een geldigheid van 90 dagen. Voor dat de geldigheid van het certificaat vervalt, zal DSM automatisch dergelijke certificaten vernieuwen na een succesvolle domeinvalidatie. Vergewis u ervan dat poort 80 van uw Synology NAS en router open staat om het certificaat te vernieuwen.
Dit geldt ook voor DSM7.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline D4nny

  • Administrator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 85
  • -Ontvangen: 163
  • Berichten: 531
Re: Let's encrypt certificaat renewal zonder gebruik te maken van port 80
« Reactie #2 Gepost op: 03 maart 2022, 16:07:11 »
Ah ja, nog geen verandering in dus. Wil wel graag gebruik blijven maken van de certificaten, maar eigenlijk niet meer mijn poort 80 open hebben staan voor het gehele (deels criminele) internet...
Danny | TrueBase.nl

Synology nas in gebruik:
DS916+ 8G (2 x 8TB WD Ultrastar HC320 + 1 x Samsung EcoGreen F3 1,5TB) - Productie
DS716+II (2 x WD20EFRX WD red 2TB) - Test
DS213J (1 x WD10EARX WD Caviar Green 1TB +  1x Samsung EcoGreen F3 1,5TB) - Remote backup

Offline stapper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 91
  • -Ontvangen: 119
  • Berichten: 1.728
Re: Let's encrypt certificaat renewal zonder gebruik te maken van port 80
« Reactie #3 Gepost op: 03 maart 2022, 16:16:56 »
ff een vraag beetje off topic...

Zo'n certificaat, van let's encrypt is dus gratis omdat het voor iedereen beschikbaar moet zijn neem ik aan?
Maar waarom vervalt zoiets na 90 dagen, is dat altijd zo?
Mijn Synology: ds920+
HDD's: 2*8TB, 1*4TB
Router: Synology RT2600ac
UPS: APC Back-UPS 750VA BX750MI-GR
Back-up Full: WD Elements 10TB
Back-up Indispensable Data: WD Elements 1TB

'Let's eat Grandma!' or, 'Let's eat, Grandma!'. Punctuation saves lives.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Let's encrypt certificaat renewal zonder gebruik te maken van port 80
« Reactie #4 Gepost op: 03 maart 2022, 16:17:07 »
De informatie die Synology verstrekt is niet compleet. Voor een Synology DDNS naam hoeft er nml geen enkele poort open te staan. Hiervoor wordt een andere validatiemethode gebruikt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Let's encrypt certificaat renewal zonder gebruik te maken van port 80
« Reactie #5 Gepost op: 03 maart 2022, 16:19:52 »
Citaat
Maar waarom vervalt zoiets na 90 dagen, is dat altijd zo?

Des te korter de geldigheid, des te veiliger. Er wordt nml. niet altijd goed gecontroleerd of een certificaat voortijdig ingetrokken is en blijft een ongeldig certificaat gebruikt worden tot hij ook vanwege de geldigheidsduur ongeldig wordt.

Bij een volledig automatisch proces kun je de geldigheid kort houden.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline stapper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 91
  • -Ontvangen: 119
  • Berichten: 1.728
Re: Let's encrypt certificaat renewal zonder gebruik te maken van port 80
« Reactie #6 Gepost op: 03 maart 2022, 16:44:18 »
ok ik snap hem ....

"De informatie die Synology verstrekt is niet compleet. Voor een Synology DDNS naam hoeft er nml geen enkele poort open te staan."

Hoe haalt hij dat dan op?  Hij kan dus als ik een DDNS naam heb dicht?
Mijn Synology: ds920+
HDD's: 2*8TB, 1*4TB
Router: Synology RT2600ac
UPS: APC Back-UPS 750VA BX750MI-GR
Back-up Full: WD Elements 10TB
Back-up Indispensable Data: WD Elements 1TB

'Let's eat Grandma!' or, 'Let's eat, Grandma!'. Punctuation saves lives.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Let's encrypt certificaat renewal zonder gebruik te maken van port 80
« Reactie #7 Gepost op: 03 maart 2022, 20:35:32 »
Voor details van dat mechanisme moet je bij Let's Encrypt kijken. Lees het volgende stuk bij DNS-01 Callenge

Grof komt het erop neer dan de nas een code in de dns server zet als bewijs dat hij dat domein beheert. Let's Encrypt hoeft dan niet bij de nas, maar kijkt of de code in de domeinnaam instelling aanwezig is.

Dit werkt echter alleen praktisch bij DNS servers waar je geautomatseerd de DNS instellingen kan aanpassen. Dat kan maar bij een klein aantal DNS servers en Synology heeft er voor gekozen dit niet universeel te implementeren, maar alleen bij hun eigen DNS server, waar ze zelf de controle over hebben.

  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline stapper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 91
  • -Ontvangen: 119
  • Berichten: 1.728
Re: Let's encrypt certificaat renewal zonder gebruik te maken van port 80
« Reactie #8 Gepost op: 04 maart 2022, 07:56:15 »
@Briolet

Even zien of ik dit nu goed snap, in mijn geval heb ik als host naam: naam.synology.me
Dat loopt dan dus via de dns  server van synology, ik had dus bij het aanmaken daarvan ook voor andere partijen kunnen kiezen.
In dit geval heb ik dat dus niet gedaan, en dus hoeft poort 80 niet geforward te worden?

Certificaat vernieuwen gaat dan verder automatisch?
Mijn Synology: ds920+
HDD's: 2*8TB, 1*4TB
Router: Synology RT2600ac
UPS: APC Back-UPS 750VA BX750MI-GR
Back-up Full: WD Elements 10TB
Back-up Indispensable Data: WD Elements 1TB

'Let's eat Grandma!' or, 'Let's eat, Grandma!'. Punctuation saves lives.

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1457
  • Berichten: 6.103
Re: Let's encrypt certificaat renewal zonder gebruik te maken van port 80
« Reactie #9 Gepost op: 04 maart 2022, 08:52:11 »
Correct, voor naam.synology.me hoeft poort 80 niet open te staan naar de NAS.
Kun je zo testen door het certificaat te vernieuwen vanuit DSM.

Offline stapper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 91
  • -Ontvangen: 119
  • Berichten: 1.728
Re: Let's encrypt certificaat renewal zonder gebruik te maken van port 80
« Reactie #10 Gepost op: 04 maart 2022, 10:37:20 »
dank beide... heb gelijk poort 80 dicht geklapt... ga ik straks even testen.
Mijn Synology: ds920+
HDD's: 2*8TB, 1*4TB
Router: Synology RT2600ac
UPS: APC Back-UPS 750VA BX750MI-GR
Back-up Full: WD Elements 10TB
Back-up Indispensable Data: WD Elements 1TB

'Let's eat Grandma!' or, 'Let's eat, Grandma!'. Punctuation saves lives.

Offline pvkan

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 70
  • Berichten: 577
  • Testen kost geld. Niet testen kost een vermogen.
Re: Let's encrypt certificaat renewal zonder gebruik te maken van port 80
« Reactie #11 Gepost op: 10 maart 2022, 10:28:22 »
Ik los dit altijd op door handmatig het certificaat bij te werken.
Bij mij staat poortje 80 standaard nl ook dicht.
Ik krijg altijd netjes enkele weken voor het verlopen van het certificaat een emailtje als herinnering.
Ik zet dan 80 even open, voor de update uit en sluit 80 direct weer af.
Dat alles duurt nog geen 2 minuten.

Dat risico durf ik wel te nemen ;-)

Peter
  • Mijn Synology: DS1515+
DS1515+, 2+4Gb (6GB) RAM
5 x 3TB WD30EFRX; 4 actief, 1 spare
DSM 6.1.4-15217-3
Backup extern (dagelijks): externe rsync-server
Backup lokaal (wekelijks): WD Elements Desktop 4 TB
UPS: APC-RS550G
Router RT2600AC

Offline D4nny

  • Administrator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 85
  • -Ontvangen: 163
  • Berichten: 531
Re: Let's encrypt certificaat renewal zonder gebruik te maken van port 80
« Reactie #12 Gepost op: 10 maart 2022, 14:28:13 »
@pvkan dat is inderdaad ook een optie, thanks. ga ik het ook zo doen zolang er geen andere weg is.
Danny | TrueBase.nl

Synology nas in gebruik:
DS916+ 8G (2 x 8TB WD Ultrastar HC320 + 1 x Samsung EcoGreen F3 1,5TB) - Productie
DS716+II (2 x WD20EFRX WD red 2TB) - Test
DS213J (1 x WD10EARX WD Caviar Green 1TB +  1x Samsung EcoGreen F3 1,5TB) - Remote backup

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1457
  • Berichten: 6.103
Re: Let's encrypt certificaat renewal zonder gebruik te maken van port 80
« Reactie #13 Gepost op: 10 maart 2022, 14:59:01 »
Of je koopt een certificaat voor een paar euro en bent er voor twee of drie jaar klaar mee.  :P

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Let's encrypt certificaat renewal zonder gebruik te maken van port 80
« Reactie #14 Gepost op: 10 maart 2022, 15:07:02 »
Een certificaat kopen of Let's Encrypt gebruiken heeft eigenlijk alleen zin als je de nas externe toegang geeft aan derden.

Gebruik je hem alleen intern of extern zelf, dan kun je net zo goed een self-signed certificaat gebruiken en dit in je browser of OS opslaan.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

Backup maken naar (twee) USB disk(s)

Gestart door Just.theoBoard Data replicator & overige backupsoftware

Reacties: 0
Gelezen: 2179
Laatste bericht 24 januari 2011, 11:11:01
door Just.theo
wie wil helpen bij in gebruik nemen Synology Calendar ?

Gestart door duriBoard Officiƫle Packages

Reacties: 4
Gelezen: 1719
Laatste bericht 04 november 2021, 22:13:08
door Briolet
Photobackup in DS file kan geen verbinding maken

Gestart door rommertBoard Android Apps

Reacties: 8
Gelezen: 1536
Laatste bericht 08 juni 2022, 08:53:12
door rommert
Mapstation maken

Gestart door Peter17-8Board Windows

Reacties: 0
Gelezen: 597
Laatste bericht 16 maart 2023, 20:03:26
door Peter17-8
Map "home" onzichtbaar maken?

Gestart door RobertioBoard Synology DSM 7.2

Reacties: 17
Gelezen: 1762
Laatste bericht 27 februari 2024, 15:54:02
door Birdy