Auteur Topic: Self-signed certificate.  (gelezen 7234 keer)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7982
  • Berichten: 43.997
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Self-signed certificate.
« Gepost op: 04 november 2017, 20:35:41 »
Ik heb een "Self-signed certificate" gemaakt, met en zonder wildcard, getest echter, het wil maar niet werken dus, ik ben hier dus de weg even kwijt.

Nu ziet het er zo uit, met wildcard:



Ik ga dus naar m'n Router:
Is dus onveilig.

Had ook een "Self-signed certificate" gemaakt zonder wildcard en het adres was dan: https://<DDNS-NAAM>.synology.me:8001/webman/index.cgi
Was ook onveilig.

Ik kan alleen maar klikken op "Doorgaan naar <DDNS-NAAM>.synology.me (onveilig)"

Geldt dus ook als ik een Wildcard cert. heb)
Maar dan krijg ik natuurlijk:
"Doorgaan naar pietje.<DDNS-NAAM>.synology.me (onveilig).

Hoe krijg ik dit nu wel werkend ?

Overigens, getest met Chrome en IE.

Achtergrond:
Zelf heb ik nooit Certificaten gebruikt op 1 van m'n NASsen, omdat deze alleen benaderd worden lokaal of met een OpenVPN (draaide ook op een niet Synology Router).
Nu is het zover, dat ik wel een certificaat wil hebben, voor m'n Router, die ik dan met VPN Plus > SSL VPN of WebVPN wil werken en ik dacht, even een certificaat maken en gebruiken.

Het is nog in Test fase om te zien of ik wel SSL- of WebVPN wil gaan gebruiken en als dat zo is, dan wel met een Certificaat. ;D


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65373                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1455
  • Berichten: 6.095
Re: Self-signed certificate.
« Reactie #1 Gepost op: 04 november 2017, 20:40:30 »
Probeer je dit van extern? Als je de NAS lokaal benaderd dan matcht de lokale URL niet met het adres dat in het certificaat staat.
Overigens beschouwen veel moderne browsers self-signed certificaten ook als onveilig.
Meestal kun je in de browser ook wel opvragen waarom hij een certificaat als onveilig beschouwd.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7982
  • Berichten: 43.997
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Self-signed certificate.
« Reactie #2 Gepost op: 04 november 2017, 21:09:18 »
Sorry, vergeten te vermelden, het is zowel op LAN als WAN.

Citaat
Meestal kun je in de browser ook wel opvragen waarom hij een certificaat als onveilig beschouwd.
Wat ik kan opvragen (voorbeeld = Chrome):





CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65373                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1455
  • Berichten: 6.095
Self-signed certificate.
« Reactie #3 Gepost op: 04 november 2017, 21:36:07 »
De ERR_CERT_AUTHORITY_INVALID zegt het al. Je certificaat is niet door een gecertificeerde instantie aangemaakt en wordt door de browser als onveilig beschouwd.

Is ook wel logisch natuurlijk. Zou niet goed zijn als jij een geldig certificaat aan kon maken voor het synology.me domein.


Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7982
  • Berichten: 43.997
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Self-signed certificate.
« Reactie #4 Gepost op: 04 november 2017, 21:41:38 »
Dus, het "Self-signed certificate" gemaakt op de Router wordt niet als echt gezien, dat is nu duidelijk.
Ik heb begrepen, dat een Let's Encrypt Certificaat wel als echt wordt gezien echter, SRM kent geen Let's Encrypt, vreemd, of niet ?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65373                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1455
  • Berichten: 6.095
Self-signed certificate.
« Reactie #5 Gepost op: 04 november 2017, 21:48:10 »
Ik ken de router niet, die zal dat nog niet ondersteunen.
Maar (wat ik al in mijn vorige bericht heb aangevuld), jij zult geen geldig certificaat kunnen aanmaken voor synology.me. Ook niet met LetsEncrypt.Dat kan alleen de eigenaar van het domein, dus Synology.

Je zult dus eerst een eigen domeinnaam moeten registreren voor jezelf en daar een passend certificaat voor kopen.

Overigens kost een 3 jaar geldig domeincertificaat tegenwoordig ongeveer 20 euro. Vandaar dat ik niet eens de moeite neem om met al die “gratis” certificaat diensten te werken.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: Self-signed certificate.
« Reactie #6 Gepost op: 04 november 2017, 21:51:00 »
Bij self signed moet je zelf het root certificaat in je browser importeren. Bij Let's encrypt gebruik je een root die Chrome er al in gezet heeft.

En waarschijnlijk zit er waarschijnlijk nog een inconsistentie in hoe Synology de certificaten maakt. Ik heb er ooit een bugmelding voor gemaakt, maar er nooit een serieus antwoord op gekregen.

Een certificaat heeft twee velden voor domeinnamen. Helemaal in het begin staat er altijd één. Bij een multidomein certificaat staat de domeinen ook nog in het SAN veld. Echter, de eerste naam moet daar dan herhaald worden omdat browsers dan niet meer neer dat eerste veld behoren te kijken.

Bij de aanmaak van een Let's Encrypt certificaat, hoef je daar als gebruiker niet aan te denken, maar bij een self-signed certificaat moet je de eerste domeinnaam bij het aanmaken herhalen in het "alternate' veld, anders mist hij in je certificaat.
Vooral deze inconsistentie is vervelend. Tenzij Synology dit verbeterd heeft sinds mijn testen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: Self-signed certificate.
« Reactie #7 Gepost op: 04 november 2017, 21:57:37 »
… jij zult geen geldig certificaat kunnen aanmaken voor synology.me. Ook niet met LetsEncrypt.Dat kan alleen de eigenaar van het domein, dus Synology.

Met self-signed kan dat wel, want daar is geen controle op.

Let's Encrypt kan dat niet, maar wel op je volledige ddns naam. Dus "birdy.synology.me" kan wel als dat de naam is. (En ook www.birdy.synology.me en cam.birdy.synology.me) Ik heb mijn ddns naam ook in het certificaat van Let's Encrypt staan.

Let's encrypt gaat volgend jaar wel een nieuwe api introduceren die wildcards gaat toestaan. Maar die api eist volgens mij ook dan je dan controle hebt op de het DNS record omdat je daar dan iets in moet zetten.
De huidige api blijft werken, maar wildcards zul je nooit kunnen gebruiken bij synolog.me
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7982
  • Berichten: 43.997
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Self-signed certificate.
« Reactie #8 Gepost op: 04 november 2017, 22:23:41 »
Bij self signed moet je zelf het root certificaat in je browser importeren.
Ook dat heb ik gedaan, helpt niet.
Daarbij, is dat natuurlijk heel vervelend als je op verschillende PC's bezig bent.

Wat ik zou willen, is dat ik een certificaat heb/krijg die ik gewoon overal, zonder importeren, kan gebruiken dus, overal is het dan voor mij veilig, dus eigenlijk wat dit Forum ook heeft waarbij niemand een certificaat hoeft te importeren.

Wat ik dus nu (waarschijnlijk) begrijp:
- "Self-signed certificate" geen optie voor mij.
- "Let's Encrypt"is een optie echter, kan niet op de Router zelf gemaakt worden.
- Een geldig certificaat maken (CSR) echter, kan dit ook met m'n DDNS als domein ? Of een domeinnaam registreren ?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65373                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7982
  • Berichten: 43.997
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Self-signed certificate.
« Reactie #9 Gepost op: 04 november 2017, 22:35:59 »
Overigens, dit zijn de opties in de Router:



CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65373                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: Self-signed certificate.
« Reactie #10 Gepost op: 04 november 2017, 22:36:26 »
Chrome werkt op de mac iets anders dan bij windows. Op de Mac beheert Chrome de certificaten niet zelf.  Als ik bij Chome kies om certificaten te beheren, dan opent hij het Sleutelhanger programma van de mac. (Vergelijkbaar met de credential manager bij windows). Ik heb daar mijn root certificaat in staan voor mijn 2e nas (Voor Let's Encrypt kan ik maar 1 poort 80 forwarden naar de hoofdnas)

Dit is het self-signed certificaat op mijn 2e nas:

  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7982
  • Berichten: 43.997
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Self-signed certificate.
« Reactie #11 Gepost op: 04 november 2017, 22:40:29 »
Dat is zeker anders..... (:

Terugkomende op mijn laatste bericht, betreffende die laatste optie, dit is wat de Help aangeeft:



Dus, wat ik begrijp, het bestaande Router certificaat (in eerder bericht) exporteren en deze naar CSR sturen om die officieel te maken en weer te importeren op de Router ?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65373                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: Self-signed certificate.
« Reactie #12 Gepost op: 04 november 2017, 22:56:36 »
Ik heb dat nog nooit gedaan maar volgens mij gebruik je de laatste optie nadat je eerst geldig certificaat op je nas hebt staan. Als je die optie gebruikt vraagt hij nml waar het certificaat staat. Ik denk dat dit dan weer afgeleide certificaten zijn van het certificaat op je nas. Je koopt er 1 en de rest hang je daar weer onder. (Dus niet wat jij nu zoekt.)

Als die router geen Let;s Encrypt heeft, zou ik er inderdaad een kopen. Maar dan ook het geld uitgeven voor een domeinnaam. Kost jaarlijks iets van 10 euro voor een nl domein. Let er bij een gekocht certificaat dan wel op welke domeinnamen er in komen. Bij voorkeur een wildcard, maar dat kost vast meer.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7982
  • Berichten: 43.997
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Self-signed certificate.
« Reactie #13 Gepost op: 04 november 2017, 23:10:34 »
Oef....dus, optie 2 is dan de enige die overblijft ? (binnen de opties van de Router dan).
Is dit een betaalde Service ?

Of, anders gezegd, wat zou voor mij de beste optie kunnen zijn.
EDIT (23:23): Ik in Reactie #12 dat deze vraag is beantwoord (later toegevoegd dan kennelijk ;) ).

Ik zie overigens, dat @Babylonia het zo gedaan heeft:

Citaat
Re: Letsencrypt cert on Synology router
Postby Babylonia » Sat Jun 17, 2017 4:34 pm
I am using an official commercial SSL certificate (Comodo). The same certificate for SRM as DSM.
An SSL certificate is connected to a domain name, a domain name to WAN IP address.
As I have only one internet WAN IP address, it fits to every device behind it.

Bron.
Daar wordt ook gevraagd om Let's Encrypt op de Routers (natuurlijk).


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65373                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7982
  • Berichten: 43.997
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Self-signed certificate.
« Reactie #14 Gepost op: 04 november 2017, 23:20:48 »
Hmmm, Birdy, je moet ook zelf eerst (goed) zoeken op het Forum als met vragen zit (doe ik ook wel altijd maar, dan voor anderen) :lol:

https://www.synology-forum.nl/synology-router/lets-encrypt-ssl-certificaat-srm/

Dat is misschien iets voor morgen............... ;D


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65373                                                                 MR2200ac  SRM 1.2.5-8227-11


 

Importing SSL Certificate

Gestart door bjornveltBoard Web Station

Reacties: 2
Gelezen: 3244
Laatste bericht 16 mei 2010, 21:22:11
door Björn
Owncloud: cURL error 60: SSL certificate problem: unable to get local issuer cer

Gestart door jphermansBoard Overige 3rd party packages

Reacties: 1
Gelezen: 2556
Laatste bericht 16 september 2015, 08:51:40
door Birdy
Let's encrypt renewal - hoe kan ik een verlopen certificate vernieuwen / deleten

Gestart door Henk148Board Synology DSM algemeen

Reacties: 11
Gelezen: 7778
Laatste bericht 19 maart 2017, 16:43:49
door Birdy
Copy certificate naar ander device mogelijk?

Gestart door MaynBoard VPN Server

Reacties: 3
Gelezen: 1278
Laatste bericht 06 juli 2019, 17:22:29
door Mayn
VERPLAATST: encrypt certificate

Gestart door BirdyBoard Netwerk algemeen

Reacties: 0
Gelezen: 633
Laatste bericht 10 augustus 2021, 14:03:02
door Birdy