hoe krijg ik https (ssl)certificaat van synology

[nij]

hallo,

door ontwetend heid heb ik een nieuw certificaat aangemaakt,
niet wetende dat het orginele van synology overschrede zou worden die standaard op de nas staat.

heb al lopen zoeken maar kan het niet vinden om dit terug te zetten.

wie kan mij hier in helpen.

mvg

[jelleruben]

Ik weet niet of je zomaar een certificaat aan kan maken, je kun als je op Google zoekt, wel bij diverse bedrijven laten maken..

Als er een mogelijkheid aanwezig om echt zelf één te maken, zou ik dat ook wel graag willen weten.

[Birdy]

Kijk eens hier:
http://www.mdevries.org/synology_certificaat.html

[Briolet]

Er zijn heel veel sites om dat te doen. Op de mac kun je er zelfs het standaard programma 'Sleutelhangertoegang' voor gebruiken. Je kunt er zelfs een eigen 'root' certificaat mee maken of een ervan afgeleid  intermediate certificaat.

Ik mis daar echter de optie op om om het eigen url in het certificaat te verwerken dus heb ik: http://www.mobilefish.com/services/ssl_certificates/ssl_certificates.php gebruikt. Die site genereert 5 tekstvelden die je zelf naar 5 tekstfiles moet kopiëren of zelfs simpel kunt downloaden. De syno heeft alleen de eerste 2e en 3e nodig en vraagt er ook om. (Het kan zijn dat je de .txt extensie moet weghalen voordat de nas ze accepteert.

Vraag me niet hoe het precies werkte, want ik weet het niet meer in detail, maar ik vond het achteraf toch wel intuïtief. En volgend jaar verloopt mijn certificaat en zal ik er weer in moeten duiken.

De certificaten met minimale info werken wel, maar het voelt voor vreemden al direct vertrouwder als de url of eventueel je firma/naam gegevens er in verwerkt zitten. (schijnveiligheid, moet ik toegeven)

door ontwetend heid heb ik een nieuw certificaat aangemaakt,
niet wetende dat het orginele van synology overschrede zou worden die standaard op de nas staat.

Die originele heb je ook niet meer nodig als je een eigen hebt.

[vriesha]

Kun je ook niet een self-signed certificaat maken en deze voor je eigen devices "trusted" maken? Hoef je in mijn optiek ook geen dure certificaten te kopen... 

[Birdy]

Kijk eens hier:
http://www.mdevries.org/synology_certificaat.html

[Briolet]

Ik had het probleem met dat commando omdat ik de servernaam niet zag in de instructie. Ik heb echter net gekeken of de mac dit ook kon. Daar is blijkbaar het 'openssl' commando al voorgeinstalleerd.  Na het intikken van:

Code: [Selecteer]

openssl req -nodes -newkey rsa:2048 -keyout server.key -x509 -days 365 -out server.crt

in de terminal vraagt hij nog veel meer, zoals email adres, servernaam etc. (Je kunt velden ook leeg laten.)  Dus niet moeilijk doen met root toegang op de nas, maar gewoon met user toegang op de mac en de public en private key worden naar de default folder geschreven (De user folder) 

Mooi, want mijn certificaat verloopt  volgend voorjaar. Dus dan kan alles in eigen beheer.

Ter info een terminal output van het commando:

Code: [Selecteer]

iMac:~ Briolet$ openssl req -nodes -newkey rsa:2048 -keyout server.key -x509 -days 365 -out server.crt
Generating a 2048 bit RSA private key
...................................................................................................+++
...+++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:NL
State or Province Name (full name) [Some-State]:xxxxxx
Locality Name (eg, city) []:xxxxx
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xxxx xxxx
Organizational Unit Name (eg, section) []:xxxxx
Common Name (e.g. server FQDN or YOUR name) []:xxxxxxx.net
Email Address []:xxxxx@xxxxxx.nl


[bartmans99]

Niet helemaal helder of de OP gewoon terug wil naar de default waarden. In dat geval is:
http://forum.synology.com/wiki/index.php/How_to_generate_custom_SSL_certificates#Restoring_certificates
nuttige informatie.

[Briolet]

Ik heb een paar week geleden een nieuw certificaat aangemaakt op de mac met het Unix commando:

Code: [Selecteer]

openssl req -nodes -newkey rsa:2048 -keyout server.key -x509 -days 365 -out server.crt
Ging van een leien dakje, maar het moet ook rechtstreeks op de nas kunnen volgens deze site:

http://www.mdevries.org/synology_certificaat.html  Echter via de nas zelf moet je eerst OpenSSL installeren en om dat je kunnen moet je eerst mpkg installeren wat ook weer op die site uitgelegd wordt. Lastig en ik zou er niet aan beginnen als je niet in Unix thuis bent.

Veel gemakkelijker is het als je het uitbesteed aan een website zoals:

http://www.mobilefish.com/services/ssl_certificates/ssl_certificates.php#ssl_certificates_output

Die doet eigenlijk hetzelfde als zelf het OpenSSL commando te gebruiken. Vul alle velden in. Alles spreekt voor zich. Bij het veld "Common Name (eg, your name, domain name or ip address) [CN]" moet je je URL of je IP adres invullen. Vervolgens kies je de generate button. Vervolgens download je het Certificaat en de Private Key. (het 2e en 3e veld). Dit zijn de files die de nas wil importeren van je PC. Waarschijnlijk moet je eerst de .txt extensie verwijderen om de nas ze te laten importeren.(Althans moest dat indertijd bij DSM 3.2)

NB: het gaat hier om zogenaamde "Self Signed Certifcaten" die gratis zijn. Hiervan staat nog geen versie van op je PC. Op je PC moet je dan ook de Certificaat file installeren om te zorgen dat de browser hem automatisch vertrouwd. En sommige browsers beheren zelf de certificaten. Hier moet je dan aan de browser mededelen dat het certificaat vertrouwd moet worden.

NB 2: Bedenk ook dat iedereen die de private key heeft, al je verkeer kan ontsleutelen. Die file behoort dus alleen op de server aanwezig te zijn. Dus het beste is om die weer van je PC te deleten na een successvolle installatie. Als het goed is, heb je die nooit meer nodig. En als je hem wel nodig hebt, kun je hem vanaf de nas downloaden.

[m4v3r1ck]

^^ Mooie post weer @Briolet precies wat ik zocht