Lets Encrypt SSL Certificaat SRM

[florisvn]

Beste mensen,

Sinds kort is mijn wildcard SSL verlopen, en aangezien mijn Synology NAS met DSM ook prima werkt met Lets Encypt SSL Certificaat tegenwoordig heb ik hem niet meer door verlengd.

Echter werkt helaas Lets Encrypt SSL Certificaat nog niet via SRM voor zover ik heb kunnen vinden..
Of zijn hier wellicht wel manieren voor ?

Ben benieuwd naar jullie bevindingen..

[Stephan296]

Als jij hem op je nas maakt kun je hem ook op je router plaatsen.
Echter moet je hem dan wel steeds handmatig vernieuwen.
Misschien kun je een ticket inschieten bij Synology met vermelding van je idee/suggestie.

[Briolet]

Als nadere info. Voor het aanmaken van het certificaat en voor de latere updates moet poort 80 naar de nas/router wijzen. In een gewone router kun je poort 80 slechts naar 1 apparaat forwarden.

Ik heb dat opgelost via een reverse proxy op mijn hoofdnas. Ik laat poort 80 op "nas2.mijndomein.nl" doorverwijzen naar mijn 2e nas. Op die manier zijn de webservers van beide nassen gewoon via poort 80 toegankelijk. (Bij gebruik van de juiste url).
Dit werkt ook voor de certificaat aanmaak/renewal van Let's Encrypt op de 2e nas.

NB. Ik doe dit met 2 nassen. Of die ook lukt met de synology router en een nas, weet ik niet, maar verwacht het wel. Dan blijft alleen het hoofdprobleem dat deze certificaat optie blijkbaar niet in de SRM zit.

[TopGear_1542]

@Stephan296

Kan je toelichten hoe onderstaande in zijn werk gaat?

Als jij hem op je nas maakt kun je hem ook op je router plaatsen.

[TopGear_1542]

Ok, het is gelukt om het Let's Encrypt certificaat op mijn Router te plaatsen.

Nu maak ik gebruik van de WebVPN functionaliteit. Als ik naar subdomein.mijndomein.nl ga krijg ik een keurig (groen) slotje zonder vervelende foutmeldingen. Als ik vervolgens in de WebVPN een URL invoer maakt WebVPN hier een ogenschijnlijk willekeurig URL van.
Bijvoorbeeld hkla76sk.mijndomein.nl. Dit subdomein bestaat niet voor het certificaat en dus krijg ik weer een melding dat het certificaat
niet betrouwbaar is voor dat domein. Onder de Help functie lees je verschillende manieren om het certificaat in de browser of zelfs het besturingssysteem te installeren. Maar dat is wat mij betreft niet de meest nette manier. Het betreft bovendien niet altijd mijn eigen apparatuur waarmee ik werk en dus is dit niet altijd een mogelijkheid.

Ik heb geprobeerd (misschien wel tegen beter weten in) om een certificaat aan te maken voor *.mijndomein.nl. Dat pikt de Let's Encrypt niet.

Zijn er andere mogelijkheden / oplossingen voor bovenstaande?

Alvast bedankt voor je / jullie reactie. 

[Stephan296]

Ik zag je vraag te laat.
Maar je moet elk subdomein aangeven als je een certificaat aanvraagt bij let's encrypt.
Je kunt meerdere subdomeinen aangeven, deze moet je dacht ik scheiden door een ,

[TopGear_1542]

Geen probleem!

Ik heb inderdaad verschillende subdomeinen geregistreerd. En deze moet je inderdaad scheiden door een ;
Het is met de manier waarop WebVPN werkt mijn inziens onmogelijk alle subdomeinen te registreren, omdat
er een ogenschijnlijk willekeurig subdomein wordt gegenereerd.

Ik denk dat ik een ticket in ga schieten bij Synology.

Bedankt voor het meedenken!

[Stephan296]

Dit heeft naar mijn idee niets met Synology te maken maar meer met Let's Encrypt.
(Of ik lees je verhaal niet goed dat kan ook natuurlijk)

[TopGear_1542]

Het heeft ook niet veel te maken met Synology. Toch is Synology de partij die de willekeurige (voor zover ik kan zien) subdomeinen genegeerd. M.a.w. ik denk dat Synology hiervoor een (andere) oplossing moet bedenken om dit praktisch te laten werken zonder certificaten te hoeven installeren in de browser of op een besturingssysteem.

Edit:
Ik ben benieuwd of er naar een oplossing wordt gezocht of dat dit de "definitieve" functionaliteit moet zijn.

[Briolet]

Volgens mij is WebVPN nog steeds beta software van Synology. Als je daar dus problemen ziet, moet je zelf actie ondernemen en een melding doen. Per slot is dat juist de reden dat je beta software gebruikt: helpen om het product klaar te maken voor een release.

Let's Encrypt heeft er overigens heel bewust voor gekozen om géén wildcard certificaten te ondersteunen. Waarschijnlijk omdat ze voor elk subdomein in het certificaat willen controleren of dit naar je nas wijst.