Let’s Encrypt certificaat in DSM 6.0 9

Wilko van Faassen10 maart 201610 maart 20169 Reacties

Zoals ik al in het blog over domeinnamen en certificaten schreef is een eigen domeinnaam en certificaat erg handig om in te loggen op je Synology DiskStation via het internet. Hiervoor moet je een eigen domeinnaam en certificaat aanschaffen. In DSM 6.0 zit een optie om een Let's Encypt certificaat aan te vragen.

Let's Encrypt is een organisatie wat tot doel heeft om gratis certificaten beschikbaar te stellen voor iedereen. Synology ondersteunt dit om dit automatisch te laten aan te maken via een wizard. Het is ook mogelijk om dit aan te vragen voor DDNS (b.v. mijnnas.synology.me)

aanvragen let's encrypt certificaat

Zorg er voor dat je Synology op poort 80 en 443 te bereiken is via het Internet. en volg dan de volgende stappen.

Configuratiescherm --> Beveiliging --> Certificaat
Hier staat bij mij als een certificaat, dit zal dus niet bij iedereen het geval zijn
Klik op Toevoegen, kies Een nieuw certificaat toevoegen en klik op Volgende
In het volgende scherm kies voor 'Krijg een certificaat van let's Encrypt'
vink aan 'Instellen als standaardcertificaat' en klik op Volgende
Vul in het volgende scherm in bij:
Domeinnaam: de naam waarop je de synology benaderd.
In dit voorbeeld is dat shadowfax-test.synology.me
E-mail: je eigen e-mail adres
Onderwerp alternative naam: Overige domeinnamen (dit is niet verplicht)
(IP-adressen werken niet)
klik op Toepassen
Het certificaat wordt nu aangevraagd en de webserver herstart.Als alles goed gaat staat deze tussen de certificaten.
In de balk zal waarschijnlijk nog een waarschuwing staan dat het certificaat niet goed is. Dit los je op door de browser te sluiten en herstarten.

Let's Encrypt certificaten zijn drie maanden geldig. Ze willen graag dat deze automatische vernieuw worden. Het is op dit moment niet duidelijk of DSM dit ook doet. Anders moet je dit handmatig doen.

Ik heb deze instructie gemaakt in DSM 6.0 RC. Ik vermoed dat dit niet veel zal veranderen met de officiele versie van DSM 6.0. Mocht dit nog wel zo zijn zal ik de blog aanpassen.

Mocht je nog vragen hebben of ondersteuning willen bij het veilig toegankelijk maken en installeren van een certificaat kun je altijd contact opnemen.

DSM 6 Beta 3

Wilko van Faassen23 februari 201610 maart 20163 Reacties

Sinds een paar maand is het mogelijk om DSM 6.0 Beta te installeren op de DiskStation. Ik raad dit nog niet aan als je afhankelijk bent van je NAS, want support en updates zijn trager dan bij een normale versie van DSM. hierdoor kun je in de problemen komen. B.V. de laatste security-patch voor DSM5.2 is nog vrijgegeven voor DSM 6.0 beta.

Zelf heb ik DSM 6.0 beta geïnstalleerd op een test DS115J. hierdoor kan ik na hartenlust spelen en Synology lastig vallen met Bugs en vragen.

Met het testen ben ik een aantal mooie nieuwe en verbeterde functies tegengekomen. Ik zal als DSM 6.0 uitkomt hierover meer blogs schrijven.

Dit zijn o.a:

Hyper Backup
een mooi vervanger voor Time Backup

Makkelijk bladeren door de tijd naar opgeslagen bestanden en mappen

Een Spreadsheet programma.

Ondersteuning voor Let's Encrypt waardoor iedereen een gratis SSL-certificaat kan aanvragen. Dit werkt ook voor de standaard DDNS-naam van Synology :).

https://shadowfax-test.synology.me/

Cloud Station 4

Met vele verbeteringen o.a een Backup-functie

En nog meer:

Makkelijk externen mensen bestanden laten uploaden via File Station
2-Staps authenticatie in de APPs, maar mee dit een echte nuttig functie wordt
en nog veel meer:
https://www.synology.com/nl-nl/dsm/6.0beta/ReleaseNote

Eigen domeinnaam en certificaat 2

Wilko van Faassen18 februari 201528 februari 20172 Reacties

Zie ook het blog: Let’s Encrypt certificaat in DSM 6.0

Als je van af het internet inlogt op je Synology DiskStation is het verstandig om dit te doen met beveiligde HTTPS-verbinding, het bekende slotje.

Dit is makkelijk geregeld op de DiskStation onder Configuratie scherm --> Netwerk --> DSM-instellingen. Hier kun je aanvinken Https-verbinding inschakelen. en zelfs HTTP-verbindingen automatische omleiden naar HTTPS, zodat alle verbindingen vanzelf worden omgeleid naar HTTPS.

Synology gebruikt hiervoor de standaardpoorten 5000 en 5001 voor respectievelijk HTTP en HTTPS. Dit is ook aan te passen als je dit wenselijk vindt.

Als je inlogt op je Diskstation via het aangemaakte Synology DDNS Hostnaam (in te stellen onder Externe toegang) of IP-adres krijg je een melding van je internet browers:

Internet Explorer: Er is een probleem met het beveiligingscertificaat van deze website
Google Chrome: Je verbinding is niet privé

Deze meldingen komen doordat je verbinding maakt met de Synology Diskstation met een zelfondertekende certificaat. De data die heen en weer wordt verstuurt tussen je browser en de DiskStation is beveiligt en kan niet worden gelezen. De browser geeft de melding, omdat er niet gecontroleerd kan worden of de server (Synology DiskStation is dit geval) ook echt is wie hij beweert wie hij is.

Als je van deze melding af wilt moet je een paar dingen aanschaffen.

eigen domeinnaam: kosten voor .nl domeinnaam zit rond de €10,- per jaar.
een certificaat: kosten zitten tussen de €13 voor 1 jaar en €34 voor 3 jaar. (langer raad ik persoonlijk af i.v.m. beveiliging ontwikkelingen)

Als je een eigen domeinnaam hebt kun je een DNS verwijzing op een host-naam (b.v. nas.mijndomein.nl) maken naar je externe IP-adres van de router (als de poortverwijzingen zijn gemaakt in de router). Je kunt er ook voor kiezen om een CNAME aan te maken en deze te verwijzen naar de DDNS hostnaam (b.v. mijnnas.synology.me) van de Synology DDNS.

Het certificaat kun je aanvragen/aanmaken op de DiskStation onder Beveiliging --> Certificaat Hierin vul je de benodigde gegevens in, zoals de host-naam (nas.mijndomein.nl), land, woonplaats. De DiskStation zal dan een CSR (Certificate Signing Request) aanmaken en een persoonlijk sleutel. Bewaar de sleutel goed en veilig.

De CSR moet je uploaden naar de website waar je het certificaat koopt. Er wordt dan meestal een e-mail gestuurd naar het postmaster adres van de domein. (postmaster@mijndomein.nl) te validatie. Als dit allemaal goed is gegaan kun je het certificaat en een intermediair certificaat (CA) downloaden. De persoonlijke sleutel, certificaat en Intermediair certificaat moet je uploaden via de knop Certificaat importeren onder Beveiliging.

Het zijn redelijk wat handelingen die je moet doen. Shadowfax ICT kan u daar altijd mee ondersteunen. Ik kan domeinnamen en certificaten aanvragen en voor u beheren. Neem vrijblijvend contact op via de e-mail.

Door: Wilko van Faassen

Heartbleed bug 2

Wilko van Faassen12 april 201426 februari 20152 Reacties

Afgelopen week was is bekend geworden dat er een probleem zit in de software van OpenSSL. Dit is een stuk software wat op veel website voor de SSL (HTTPS) beveiliging verzorgd. Bij de meeste mensen beter bekend als het slotje in je browser.

De media heeft hier (terecht) veel aandacht aan besteed.

Diefstal wachtwoorden mogelijk door beveiligingslek in OpenSSL

Beveiligde website met slotje blijkt niet zo veilig

OpenSSL in Synology software

Synology maakt ook gebruik van OpenSSL in DSM en is hierdoor ook kwetsbaar. Er is ondertussen een update voor DSM 5.0 uit gebracht. Het dringende advies is ook om deze z.s.m. te installeren.

Advies van Synology:

Update naar DSM 5.0-4458 Update 2
Configuratie scherm - Bijwerken en herstellen
Vervang de certificaten
Configuratie scherm - Beveiliging - Certificaat en maak een nieuw certificaat aan of vraag een nieuwe aan bij uw certificaat leverancier en installeer deze.
Als voorzorgsmaatregel, verander je wachtwoorden.
Er zijn geen aanwijzigen dat de dat deze bug gebruikt is om data te benaderen.

De DiskStations beheerd door Shadowfax ICT zijn voorzien van de laatste updates en een nieuw certificaat is aangevraagd.

Voor ondersteuning kunt u contact opnemen met Shadowfax ICT

Door: Wilko van faassen