DSM maakt geen CSR aan voor vernieuwing SSL certificaat

[timothee]

Hallo,

Ik heb sinds vorig jaar een Comodo SSL certificaat (aangevraagd via Xolphin) op mijn DS213 met DSM 5.2-5644 Update 3 draaien. Werkt probleemloos. Echter, het certificaat moet binnen 4 weken verlengd worden en dat lukt mij helaas niet...

Als ik via het Configuratiescherm naar Beveiliging en dan tab Certificaat ga, klik ik op de knop Certificaat aanmaken en kies ik voor de optie Certificaat vernieuwen. In de beschrijving van die optie staat: Een persoonlijke sleutel en CSR (Certificate Signing Request) maken om uw certificaat te vernieuwen.

Als ik de wizard volg, dan wordt echter echter een .zip bestand aangemaakt met enkel de server.key, wat mijn private key is. De .csr file ontbreekt!?

Volgens mij gaat er dus iets mis in DSM...heeft iemand hier ervaring met het verlengen van certificaten?

Een nieuwe CSR aanmaken zal vast lukken, maar ik verwacht dat dit bedoeld is voor een volledig nieuwe certificaat aanvraag, en dat is dus niet mijn doel. Ik vermoed ook dat als ik dat doe, de resterende 4 weken geldigheid van mijn huidige certificaat vervallen. Vandaar dat ik het huidige certificaat wil verlengen.

Alvast bedankt voor het meedenken.

[Briolet]

Ik heb hier geen ervaring mee omdat ik altijd een zelf ondertekend certificaat maak.  Echter, ik heb de optie certificaat vernieuwen eens geprobeerd onder DSM 5.2-5644 Update 3 en 6.0beta2, voor mijn self-signed certificaat.

In beide gevallen krijg ik een zipfile met twee key's. De 'server.key' en de 'server.csr' file. De eerste mag je nooit uit handen geven en de tweede heeft de certificaat uitgever nodig.

Ik heb dus eigenlijk geen idee waarom er bij jou dan maar één file in de zip zit.

[timothee]

Ja, die output kreeg ik vorig jaar ook toen ik het certificaat aanvroeg. Maar nu ik kies voor vernieuwen, werkt het dus niet. Ik heb er een ticket voor aangemaakt bij Synology. Het duurt toch nog 4 weken voor het certificaat daadwerkelijk is verlopen.

Volgens Xolphin kan ik het ook gewoon verlengen met een nieuw CSR, enige verschil is dat ik dan waarschijnlijk op de NAS weer alle gegevens opnieuw moet inkloppen, terwijl dat met die vernieuw optie niet nodig zou moeten zijn.

[sprokkie]

Je moet de bestanden die de synology aanmaakt weer uploaden bij je verstrekker van het ssl.
Hier vernieuw je het certificaat en dan ontvang je een zip met nieuwe bestanden die je weer in de synology inleest
.

Succes

[timothee]

@timothee MOD: Onnodige citaat is verwijderd, lees even.

De procedure is mij helder, echter maakt mijn NAS zoals ik al aangeef vreemd genoeg niet "de bestanden", maar genereert hij slechts een private key. De output/export is dus incompleet, dat is mijn probleem en daarvoor heb ik een ticket aangemaakt bij Synology.

Overigens is je advies onjuist: je moet enkel de CSR doorsturen naar de verstrekker van het SSL certificaat, dus niet "de bestanden", want dan stuur je ook je private key mee!

[timothee]

Inmiddels is het probleem voor mij verholpen door Synology support. Ik had een paar dagen terug een ticket ingeschoten en uiteindelijk op verzoek remote support geactiveerd. Dag later kreeg ik onderstaand bericht:

I've passed this case to our developer department and we found it is a know issue that we will fix in the future. Please kindly stay tuned for the update and thank you for bringing this issue to our attention.


Ze waren zo vriendelijk om de benodigde bestanden handmatig te genereren op mijn NAS en te mailen, waardoor ik de certificaat verlenging heb kunnen afronden. Erg goede support dus; was mijn eerste ervaring met de support afdeling van Synology, maar die is dus prima.

Blijkbaar is het wel een bekend euvel, terwijl ik uit bovenstaande reacties begrijp dat niet iedereen er last van heeft. Ben benieuwd in welke update het is gefixt.


N.B. ik heb SSH en Telnet normaal uit staan, maar had ik tijdelijk moeten activeren. Echt niet normaal hoeveel pogingen tot login daarna zijn gedaan...gelukkig zijn alle IP adressen geblokkeerd. Maar snel weer uitgeschakeld nadat het probleem was verholpen.

[Briolet]

Synology geeft in hun mail aan via welke 3 IP adressen ze remote toegang plegen. Die heb ik in mijn firewall staan (poort 22, 23, 5000, 5001) De rest van de wereld kan niet bij deze poorten doordat ik verderop een regel heb die deze poorten verbiedt.



De support is vaak goed. Ze hebben bij mij ook wel eens zaken remote aangepast na een bug in een update.

[timothee]

Ah, dat is nuttige info over die IP adressen van Synology Support. In mijn mailcorrespondentie met hen zijn die adressen niet vermeld, heb er ook niet aan gedacht om te vragen, vandaar dat ik de poorten tijdelijk voor iedereen open had gezet. Maar als het goed is, is er niemand binnen geweest...

[Stephan296]

Als het goed is worden die adressen wel vermeld in de mail.

[Birdy]

Eh....niet altijd

Juli 2015:

Thank you for contacting Synology support.

To look deeper into this issue, please follow the instructions below and provide the information requested, so that we can check your system from here.

Remote Access Instructions
===============================================================

1. Please provide the Support Identification Key in Support Center to us and enable remote access.
2. Enable SSH service in Control Panel > Terminal & SNMP
3. Tell us your temporary password for the 'admin' account on your Synology NAS.
    Note: Users with admin privilege won't work.
===============================================================

We will not disclose/access any of your private data. Please offer us the remote access for troubleshooting purposes. Thank you.

Yours Sincerely,
Andrew Chen

April 2015:

Thank you for contacting Synology support.

Please help to keep the content/our name in your further reply, else we might not be able to filter the mail correctly and miss the mails.
To look deeper into this issue, please follow the instructions below and provide the information requested, so that we can check your system from here.

Remote Access Instructions
===============================================================
For DSM versions prior to 5.0:

1. Enable the SSH function in DSM > Control Panel >  Terminal.
2. Standard ports we need you to open: 22, 5000
    - Check if ports are open by this site: www.yougetsignal.com/tools/open-ports
       
    - If you wish to allow access for us only, our IPs are 59.120.41.39, 125.227.152.103 and 118.163.30.16.
    - If you use other ports for DSM login and SSH, please provide the ports you use.
3. Tell us the WAN IP or DDNS name of your Synology NAS.
4. Tell us your temporary password for the 'admin' account.
    Note: Users with admin privilege won't work.

===============================================================

We will not disclose/access any of your private data. Please offer us the remote access for troubleshooting purposes. Thank you.

Hope this helps.

Yours Sincerely,
Technical Support / Synology Inc 
Chris Chang

[Briolet]

Inderdaad, niet altijd. Deze was van een paar dagen geleden voor een 6.0 bugreport:

Remote Access Instructions
===============================================================
For DSM 5.0:
1. Please launch Support Center from Main Menu and go to Support Services.
Please provide the Support Identification Key in Support Center to us and enable remote access.
2. Enable SSH and Telnet service in Control Panel > Terminal & SNMP.
3. Tell us your temporary password for the 'admin' account on your Synology NAS.
Note: Users with admin privilege won't work.
Note2: Please don't use a simple password, or your system might be hacked.
===============================================================

Er staat nog steeds DSM 5.0 in hun instructie. Ik vond dat een beetje vreemd voor een 6.0 beta bugmelding. Ook dat ze mijn melding niet konden reproduceren.

Note2 is wel nieuw.

[timothee]

We gaan een beetje offtopic, maar zoals gezegd werden die IP adressen in mijn geval ook niet vermeld.

Ik zou ze eigenlijk bij nader inzien zelf niet zo snel vast in de firewall zetten. Zo frequent heb ik geen support nodig, dus ik voeg de IP adressen wel toe op het moment dat Synology toegang nodig heeft.

Maar goed, topic kan denk ik wel dicht, want het acute probleem is verholpen en er wordt gewerkt aan een fix die in een volgende release wordt opgenomen.

[Birdy]

Vind ik ook, over en sluiten maar.