Als ‘langverwacht’ vervolg op het artikel Comodo SSL certificaat voor je Synology NAS Deel 1, vandaag uitleg over hoe je snel en voordelig aan een officieel certificaat komt.
Maar waarom is dat ook alweer handig? Een self-signed certificaat wordt niet herkend door browsers en andere applicaties, en zorgt daardoor voor vervelende waarschuwingen. Een commercieel certificaat wordt ondertekend door een rootcertificaat van een CA (certificaatuitgever). Een browser heeft een lijst met rootcertificaten die hij vertrouwt, waardoor hij alle certificaten ondertekend door zo’n rootcertificaat ook vertrouwt. En daar betaal je dus voor, maar gelukkig hoeft dit niet veel te zijn: voor €8 per jaar heb je al een volledig vertrouwd certificaat dat zorgt voor een versleutelde verbinding volgens de laatste eisen.
Een tweede voordeel kan zijn dat een commercieel certificaat bedrijfsgegevens kan bevatten, en hierdoor richting bezoekers een identiteitsgarantie geeft. Maar dit is natuurlijk alleen relevant als je een bedrijf én een website hebt.
Wat heb ik nodig voor een certificaat aanvraag?
Voor het aanvragen van een certificaat heb je een aantal dingen nodig:
- Een eigen domeinnaam
Een SSL Certificaat wordt altijd uitgegeven op basis van een domeinnaam. Je kunt alleen een SSL-certificaat aanvragen voor een domeinnaam dat in je bezit is, een certificaat voor gebruiker.synology.nl is dus alleen aan te vragen door Synology zelf. Je zult dan ook een eigen domeinnaam moeten hebben wanneer je jouw Synology van een SSL-certificaat wilt voorzien. Je kunt al voor een paar euro een .nl domein registreren. - Een vast IP-adres of een dynamische hostnaam bij b.v. Synology
Wanneer je een eigen domein hebt, kun je een hostnaam bedenken om te gebruiken met de Synology, bijvoorbeeld ‘ mijn-nas.domeinnaam.nl’. Hiervoor kun je dan bij de partij waar je het domein hebt afgenomen een extra DNS A record aanmaken, dat naar het vaste, publieke IP-adres van jouw NAS (Internetverbinding) verwijst, of een alias (CNAME) naar de hostnaam die je hebt geregistreerd bij de DDNS optie in jouw NAS (̈*.synology.me). Het resultaat ziet er dan ongeveer uit als hieronder;
mijn-nas.domeinnaam.nl. IN A 10.20.30.40
of
mijn-nas.domeinnaam.nl. IN CNAME mijn-nas.synology.me. - Een CSR
Nu je een eigen domeinnaam hebt, kun je op basis hiervan een Certificate Signing Request (CSR) aanmaken. Dit is een stukje gecodeerde tekst met daarin informatie over je server en het aan te vragen certificaat. Tijdens het maken van de CSR wordt ook je private key gegenereerd. Het aanmaken van een CSR verschilt per versie:
*DSM4
*DSM5
Wanneer je alle stappen hebt doorlopen, wordt er een download gestart waarin naast het CSR ook een private key te vinden is. Het CSR heb je nodig om de bestelling van een certificaat te kunnen doen, en de private key zul je nodig hebben om het ontvangen certificaat te installeren. Bewaar deze goed, op een veilige plekǃ Zoals de naam al doet vermoeden, is de private key ook echt privé, het garandeert de veiligheid van jouw certificaat.
Nu de aanvraag nog
Als je bovenstaande punten voor elkaar hebt, rest alleen de online aanvraag nog. Je geeft hierbij de CSR en je gegevens op. Vervolgens controleert de CA of je controle hebt over het domein waarvoor je een certificaat aanvraagt. Hiervoor kun je kiezen uit 3 methoden: e-mail-validering, hierbij wordt er een e-mail gestuurd naar admin@, administrator@, hostmaster@, postmaster@ of webmaster@jedomein die je kunt bevestigen via een link in de e-mail.
CNAME-validering, hierbij volg je een instructie voor het plaatsen van een CNAME-record in je DNS.
Bestand upload, hierbij volg je een instructie voor het uploaden van een bestand naar je webserver.
Als je toegang is bewezen, ontvang je het certificaat (de door Comodo ondertekende public key) als .crt bestand per e-mail. Deze installeer je samen met de bovenliggende rootcertificaten, die ook worden meegezonden in de e-mail.
Hi Kelly,
Thx voor de uitgebreide uitleg over hoe je voordelig en eenvoudig een SSL certificaat kunt aanmaken.
Een mooi vervolg op deel 1.
Ik probeer het zeker es uit door gebruik met mijn eigen domeinnaam. Ik zie wel hoe dat loopt met het IP adres van mijn internetverbinding. Het is zo dat ikzelf geen vast IP-adres heb vastgelegd bij mijn ISP, maar hier in België heb ik reeds gedurende 2,5 jaar een onveranderd IP-adres zonder daarvoor een abonnement te hebben afgesloten en eigenlijk een dynamisch IP toegewezen zou moeten krijgen. Ik lijk niet de enige te zijn, vermits tal van vrienden ook steeds eenzelfde vast IP-adres toegewezen hebben gekregen. Ik heb es horen vallen dat de ISP’s hier in België ertoe neigen om iedereen op die manier van een vast IP-adres te voorzien. Noch heb ik dit nagevraagd, noch is dit bevestigd. Op die manier kan ik wel bij de hosting service provider van mijn domeinnaam de URL forward instellen naar dit IP-adres.
Begrijp ik het goed uit de tweede bullet in het artikel dat zo’n certificaat enkel met een vast IP-adres lukt?
Groeten,
Coxwen
Hoi Coxwen,
Nee hoor, je kunt inderdaad of een vast IP gebruiken, of je eigen domein via CNAME koppelen aan een dynamische hostnaam (bijvoorbeeld via synology.me). Een voorbeeld voor hoe je dit kunt instellen staat verderop in de alinea.
Goede uitleg! Heb het zelf ook gedaan. En het werkt perfect! Verder ook goed gevoel dat je verbinding is beveiligd … 😉
Hi Aernout, het werkt inderdaad goed. Ik was alleen tegen wat problemen aangelopen bij het vernieuwen van het certificaat omdat ik mijn laptop opnieuw geïnstalleerd had. Door het gehannes met de supportdesk heb ik besloten een SSL certificaat aan te schaffen. Het is een stuk gemak/ondersteuning waar je voor betaald.
Als Nederlander kan het ook gratis 🙂 http://startssl.com en er is geen vast ip nodig, gewoon cnamen naar je synology.me adres.
Heb commodo even gebruikt (toen StartSSL nog geen certificaat wilde uitleveren ivm domeinnaamregistratie die nog geen 3 dagen out was 🙂 ).
Nadeel is dat het certificaat minder lang geldig is dan StartSSL.
Tipje bij het registreren, denk over het subdomein (één is gratis) waarvoor je het certificaat gaat aanvragen. Ik heb bijv. backup..nl verwezen naar de off-site backuplocatie. Op deze manier heb ik dus 2 x een https verbinding naar mń beide Syno’s.
dus het certificaat is uitgegeven voor backup..nl en geeft dus een trusted verbinding voor backup..nl en .nl. Maar dus niet test..nl.
Aangevraagd…
Het lijkt moeilijk, maar als je goed leest bij http://www.xolphin.nl/ zie je uitleg voor Synology DSM, en ook voor Synology SDM5, en deze is veel makkelijker !!
KvK hoeft niet, invullen Particulier (ik heb gebeld)
valideren via mail, en nu wachten (en betalen)
Ja t werkt
note: daar waar je 3 *.crt moet invoeren,
De 3e moet je van hun site halen, en het is nr 2 (PositiveSSL_Bundle.crt) nr1 werkt niet
Aangevraagd en geinstalleerd, super simpel.
Ik krijg alleen maar geen verbinding opgezet naar mn NAS 🙁
Hoi Chris,
Als je er niet uitkomt kun je even mailen naar support@sslcertificaten.nl, graag dan even aangeven om welk domein het gaat en wat het precies is.
Nu een jaar later….die van mij is verlopen
nu een certificaat vernieuwen.
Daar ging iets fout
Ik ben een document aan het maken hoe het wel zou moeten voor DSM versie 6.8.2-8451
op pagina: https://www.sslcertificaten.nl/support/Synology/Synology_DSM6_-_Aanmaken_CSR
staat wel iets maar dit is voor een oudere DSM versie (nu op 21sept2016)
Ik vermoed dat ze het wel aanpassen , heb nu al 2 dagen contact met ze (verloopt prettig)
Hans KS