Self-signed certificate.

[Birdy]

Ik heb een "Self-signed certificate" gemaakt, met en zonder wildcard, getest echter, het wil maar niet werken dus, ik ben hier dus de weg even kwijt.

Nu ziet het er zo uit, met wildcard:



Ik ga dus naar m'n Router:
Is dus onveilig.

Had ook een "Self-signed certificate" gemaakt zonder wildcard en het adres was dan: https://<DDNS-NAAM>.synology.me:8001/webman/index.cgi
Was ook onveilig.

Ik kan alleen maar klikken op "Doorgaan naar <DDNS-NAAM>.synology.me (onveilig)"

Geldt dus ook als ik een Wildcard cert. heb)
Maar dan krijg ik natuurlijk:
"Doorgaan naar pietje.<DDNS-NAAM>.synology.me (onveilig).

Hoe krijg ik dit nu wel werkend ?

Overigens, getest met Chrome en IE.

Achtergrond:
Zelf heb ik nooit Certificaten gebruikt op 1 van m'n NASsen, omdat deze alleen benaderd worden lokaal of met een OpenVPN (draaide ook op een niet Synology Router).
Nu is het zover, dat ik wel een certificaat wil hebben, voor m'n Router, die ik dan met VPN Plus > SSL VPN of WebVPN wil werken en ik dacht, even een certificaat maken en gebruiken.

Het is nog in Test fase om te zien of ik wel SSL- of WebVPN wil gaan gebruiken en als dat zo is, dan wel met een Certificaat.

[Hofstede]

Probeer je dit van extern? Als je de NAS lokaal benaderd dan matcht de lokale URL niet met het adres dat in het certificaat staat.
Overigens beschouwen veel moderne browsers self-signed certificaten ook als onveilig.
Meestal kun je in de browser ook wel opvragen waarom hij een certificaat als onveilig beschouwd.

[Birdy]

Sorry, vergeten te vermelden, het is zowel op LAN als WAN.

Meestal kun je in de browser ook wel opvragen waarom hij een certificaat als onveilig beschouwd.

Wat ik kan opvragen (voorbeeld = Chrome):

[Hofstede]

De ERR_CERT_AUTHORITY_INVALID zegt het al. Je certificaat is niet door een gecertificeerde instantie aangemaakt en wordt door de browser als onveilig beschouwd.

Is ook wel logisch natuurlijk. Zou niet goed zijn als jij een geldig certificaat aan kon maken voor het synology.me domein.

[Birdy]

Dus, het "Self-signed certificate" gemaakt op de Router wordt niet als echt gezien, dat is nu duidelijk.
Ik heb begrepen, dat een Let's Encrypt Certificaat wel als echt wordt gezien echter, SRM kent geen Let's Encrypt, vreemd, of niet ?

[Hofstede]

Ik ken de router niet, die zal dat nog niet ondersteunen.
Maar (wat ik al in mijn vorige bericht heb aangevuld), jij zult geen geldig certificaat kunnen aanmaken voor synology.me. Ook niet met LetsEncrypt.Dat kan alleen de eigenaar van het domein, dus Synology.

Je zult dus eerst een eigen domeinnaam moeten registreren voor jezelf en daar een passend certificaat voor kopen.

Overigens kost een 3 jaar geldig domeincertificaat tegenwoordig ongeveer 20 euro. Vandaar dat ik niet eens de moeite neem om met al die “gratis” certificaat diensten te werken.

[Briolet]

Bij self signed moet je zelf het root certificaat in je browser importeren. Bij Let's encrypt gebruik je een root die Chrome er al in gezet heeft.

En waarschijnlijk zit er waarschijnlijk nog een inconsistentie in hoe Synology de certificaten maakt. Ik heb er ooit een bugmelding voor gemaakt, maar er nooit een serieus antwoord op gekregen.

Een certificaat heeft twee velden voor domeinnamen. Helemaal in het begin staat er altijd één. Bij een multidomein certificaat staat de domeinen ook nog in het SAN veld. Echter, de eerste naam moet daar dan herhaald worden omdat browsers dan niet meer neer dat eerste veld behoren te kijken.

Bij de aanmaak van een Let's Encrypt certificaat, hoef je daar als gebruiker niet aan te denken, maar bij een self-signed certificaat moet je de eerste domeinnaam bij het aanmaken herhalen in het "alternate' veld, anders mist hij in je certificaat.
Vooral deze inconsistentie is vervelend. Tenzij Synology dit verbeterd heeft sinds mijn testen.

[Briolet]

… jij zult geen geldig certificaat kunnen aanmaken voor synology.me. Ook niet met LetsEncrypt.Dat kan alleen de eigenaar van het domein, dus Synology.

Met self-signed kan dat wel, want daar is geen controle op.

Let's Encrypt kan dat niet, maar wel op je volledige ddns naam. Dus "birdy.synology.me" kan wel als dat de naam is. (En ook www.birdy.synology.me en cam.birdy.synology.me) Ik heb mijn ddns naam ook in het certificaat van Let's Encrypt staan.

Let's encrypt gaat volgend jaar wel een nieuwe api introduceren die wildcards gaat toestaan. Maar die api eist volgens mij ook dan je dan controle hebt op de het DNS record omdat je daar dan iets in moet zetten.
De huidige api blijft werken, maar wildcards zul je nooit kunnen gebruiken bij synolog.me

[Birdy]

Bij self signed moet je zelf het root certificaat in je browser importeren.

Ook dat heb ik gedaan, helpt niet.
Daarbij, is dat natuurlijk heel vervelend als je op verschillende PC's bezig bent.

Wat ik zou willen, is dat ik een certificaat heb/krijg die ik gewoon overal, zonder importeren, kan gebruiken dus, overal is het dan voor mij veilig, dus eigenlijk wat dit Forum ook heeft waarbij niemand een certificaat hoeft te importeren.

Wat ik dus nu (waarschijnlijk) begrijp:
- "Self-signed certificate" geen optie voor mij.
- "Let's Encrypt"is een optie echter, kan niet op de Router zelf gemaakt worden.
- Een geldig certificaat maken (CSR) echter, kan dit ook met m'n DDNS als domein ? Of een domeinnaam registreren ?

[Birdy]

Overigens, dit zijn de opties in de Router:

[Briolet]

Chrome werkt op de mac iets anders dan bij windows. Op de Mac beheert Chrome de certificaten niet zelf.  Als ik bij Chome kies om certificaten te beheren, dan opent hij het Sleutelhanger programma van de mac. (Vergelijkbaar met de credential manager bij windows). Ik heb daar mijn root certificaat in staan voor mijn 2e nas (Voor Let's Encrypt kan ik maar 1 poort 80 forwarden naar de hoofdnas)

Dit is het self-signed certificaat op mijn 2e nas:

[Birdy]

Dat is zeker anders.....

Terugkomende op mijn laatste bericht, betreffende die laatste optie, dit is wat de Help aangeeft:



Dus, wat ik begrijp, het bestaande Router certificaat (in eerder bericht) exporteren en deze naar CSR sturen om die officieel te maken en weer te importeren op de Router ?

[Briolet]

Ik heb dat nog nooit gedaan maar volgens mij gebruik je de laatste optie nadat je eerst geldig certificaat op je nas hebt staan. Als je die optie gebruikt vraagt hij nml waar het certificaat staat. Ik denk dat dit dan weer afgeleide certificaten zijn van het certificaat op je nas. Je koopt er 1 en de rest hang je daar weer onder. (Dus niet wat jij nu zoekt.)

Als die router geen Let;s Encrypt heeft, zou ik er inderdaad een kopen. Maar dan ook het geld uitgeven voor een domeinnaam. Kost jaarlijks iets van 10 euro voor een nl domein. Let er bij een gekocht certificaat dan wel op welke domeinnamen er in komen. Bij voorkeur een wildcard, maar dat kost vast meer.

[Birdy]

Oef....dus, optie 2 is dan de enige die overblijft ? (binnen de opties van de Router dan).
Is dit een betaalde Service ?

Of, anders gezegd, wat zou voor mij de beste optie kunnen zijn.
EDIT (23:23): Ik in Reactie #12 dat deze vraag is beantwoord (later toegevoegd dan kennelijk ).

Ik zie overigens, dat @Babylonia het zo gedaan heeft:

Re: Letsencrypt cert on Synology router
Postby Babylonia » Sat Jun 17, 2017 4:34 pm
I am using an official commercial SSL certificate (Comodo). The same certificate for SRM as DSM.
An SSL certificate is connected to a domain name, a domain name to WAN IP address.
As I have only one internet WAN IP address, it fits to every device behind it.

Bron.
Daar wordt ook gevraagd om Let's Encrypt op de Routers (natuurlijk).

[Birdy]

Hmmm, Birdy, je moet ook zelf eerst (goed) zoeken op het Forum als met vragen zit (doe ik ook wel altijd maar, dan voor anderen)

https://www.synology-forum.nl/synology-router/lets-encrypt-ssl-certificaat-srm/

Dat is misschien iets voor morgen...............