Self-signed certificate.

[Birdy]

Hm....toch morgen ook maar eens een Ticket inleggen, met de vraag: Wanneer is Let's Encrypt beschikbaar voor SRM)
Dat zou iedere Synology Router bezitter moeten doen, hoe meer Tickets hoe beter.

[Briolet]

Ik heb eens gekeken hoe een Certificate Signing Request werkt door hem eens uit te voeren.

Ik heb alles ingevuld op "birdy.synology.me", Je kunt hier maar één url opgeven, waarna de nas een "archive.zip" bestand aanmaakt. In die zip zitten dan twee bestanden. De een is de private key, die je nooit uit handen mag geven. De andere is een "server.csr" file. Deze file heeft de organisatie nodig die het certificaat ondertekent met hun root certificaat. #

Nu ben ik op de stoel van de ondertekenaar gaan zitten en heb hem zelf ondertekent met mijn self-signed root certificaat, die op mijn nas staat.  (Via die onderste optie waar je eerder naar verwees) De nas vraagt 3 dingen. Het pad naar het "server.csr" bestand. De geldigheidsduur en de url's die in het "alternatieve naam" veld moeten komen. De ondertekenaar van het certificaat voegt blijkbaar de gevraagde extra domeinnamen toe.

Vervolgens krijg je een certificaat die er zo uit ziet:



Hij is ondertekend door mijn root certificaat. Bij elke gebruiker dat dit root certificaat in zijn browser (of PC) installeert, zullen die "birdy" domeinnamen werken. Als dit ondertekenen door een extern bedrijf gebeurd, zal dit met een root zijn die al in je browser of PC staat.

De eerder gegenereerde private.key en het ontvangen certificaat importeer je vervolgens in de nas.

# Hier gaat het bij mensen vaker mis doordat ze de hele zip opsturen naar de uitgever van een certificaat en niet alleen de "csr" file.

[Birdy]

Ik heb toch maar eens een Ticket ingelegd, met de vraag wanneer Let's Encrypt beschibaar komt in SRM, antwoord:

Thank you for contacting Synology support.

Unfortunately there is no announced plan to support Let's Encrypt in SRM at the moment. I apologize for your inconvenience.
However, I have passed this message to our developers and product management group. They will have more research on such feature. Thank you for bringing this issue to our attention.
If you need to suggest more features, you could also submit the following form to let the PM team know your ideas:
https://www.synology.com/en-us/form/inquiry/feedback
Thank you.
 
Best Regards,
Andrew Chen

If you need to suggest more features, you could also submit the following form to let the PM team know your ideas

Ga ik ook maar eens doen.

Waarom ? Omdat:

1 - Ik vind dat deze optie JUIST op een Synology Router hoort te zijn.
2 - Let's Encrypt super handig is.
3 - Het gratis is (Ja, ik ben een gewone Nederlander.
4 - Het Certificaat op tijd automatisch vernieuwd wordt.
5 - Mijn NASsen niet altijd aanstaan en dus de mogelijkheid bestaat dat het Let's Encrypt Certificaat niet op tijd vernieuwd wordt.
6 - Ik niet wil hannesen, indien het Certificaat op een NAS is gemaakt, met het importeren van het Certificaat in SRM.

Als er meer Leden zijn die dit ook vinden, ga dan naar https://www.synology.com/en-us/form/inquiry/feedback en doe ook een request, hoe meer requests, hoe beter. 

[Briolet]

Punt 1 ben ik het helemaal mee eens. De router is dan wel niet het ideale apparaat waar je een webserver op draait, maar via reverse proxys kun je inkomende verbindingen naar allerlei andere apparaten op je netwerk doorsturen.

Je kunt b.v. een externe inlog via poort 443 op https://cam1.mijndomein.nl  doorsturen naar poort 80 van een IP camera op je LAN. Je kunt op die manier een camera via https benaderen terwijl de camera zelf misschien helemaal geen https ondersteunt.
Bij zo'n indirecte benadering via een reverse proxy staat het certificaat op de router.