Als je veilig met je NAS wilt communiceren zonder al die waarschuwingen van een browser, ligt het gebruik van een SSL-certificaat voor de hand. Let’s Encrypt biedt een gratis SSL-certificaat. Bij de NAS-systemen van Synology kan dat met een paar muisklikken ingesteld worden omdat er in de firmware al een Let’s-Encrypt-client ingebouwd is.
Lees verder na de advertentie
Veel NAS-systemen bieden diensten zoals remote configuratie of toegang tot de bestanden via een browser – en dat kan ook van buitenaf via internet. Dat moet dan – als je het al wilt – alleen via HTTPS gebeuren. Tot nu toe leidde dat meestal tot de beroemde certificaatfoutmeldingen in de browsers omdat de gebruikte TLS-certificaten in de regel niet door een vertrouwde CA ondertekend zijn. Met Let’s Encrypt houdt niets je echter tegen om de apparaten zelfstandig een door browsers erkend certificaat op te laten halen. Dat is gratis, vergt amper rekenkracht en is daardoor ook door embedded systemen makkelijk te realiseren. Bij QNAP en Synology is in de firmware al een Let’s-Encrypt-client geïntegreerd.
Om te toegang tot een Synology-NAS met firmware vanaf DSM 6 te beveiligen met een Let’s-Encrypt-certificaat, ga je met de browser naar de webinterface van het apparaat (bijvoorbeeld http://<NASnaam>: 5000). Log in met je admin-account en open het Configuratiescherm. Als dat met de Basismodus werkt, ga je rechtsboven over naar de ‘Geavanceerde modus’. Klik dan op het pictogram Beveiliging en vervolgens op het tabblad Certificaat op de knop Toevoegen. De bovenste optie ‘Een nieuw certificaat toevoegen’ is dan waarschijnlijk geselecteerd, dus kun je meteen door met Volgende. Geef een goede beschrijving (bijvoorbeeld ‘Let’s Encrypt’), selecteer eronder ‘Krijg een certificaat van Let’s Encrypt’ en klik weer op Volgende. Bij de Domeinnaam typ je vervolgens de domeinnaam in waarvoor het certificaat moet gaan gelden.
Tip!
Ontworpen voor creators en professionals: configureer jouw eigen ASUS ProArt P16 nu.
Toewijzen SSL-certificaat
Het is op dat moment belangrijk dat je Synology-NAS met die domeinnaam op poort 80 bereikbaar is via internet, zodat de Let’s-Encrypt-client kan voldoen aan de challenge. Dat betekent dat je in je router tijdelijk een portforwarding van poort 80 extern naar port 80 op de NAS moet instellen. En als je dan toch bezig bent, stel dan meteen ook de poorten in voor de diensten die je op je NAS naar buiten toe ter beschikking wilt stellen. Bij E-mail geef je een e-mailadres op dat bij Let’s Encrypt opgeslagen zal worden als behorende bij dat domein. Bij ‘Onderwerp alternatieve naam’ (een ietwat letterlijke vertaling van ‘Subject Alternative Name’) kun je meer domeinen opgeven waar het het certificaat voor moet gelden (bijvoorbeeld subdomeinen voor diensten als de mailserver). Na een klik op Toepassen wordt het LE-certificaat vervolgens aangemaakt en gecertificeerd.
Daarna kun je het nieuwe certificaat in het Configuratiescherm bij Beveiliging op het tabblad Certificaat configureren. Als je op de knop Configureren klikt, kun je aangeven voor welke doeleinden de NAS het certificaat moet gebruiken. Bij het item Systeemstandaard kun je het bijvoorbeeld gebruiken voor de configuratie-interface van de NAS, die standaard op poort 5001 wacht op versleutelde verbindingen (https://<NAS-naam>:5001). Het is zinvol om het LE-certificaat tot standaard te verklaren en het voorgeïnstalleerde Synology.com-certificaat, dat door de browser als niet veilig wordt bestempeld, buitenspel te zetten. Selecteer het LE-certificaar en klik op Bewerken. Vervolgens zet je een vinkje voor ‘Instellen als standaardcertificaat’ en klik je op OK.
Een Synology-NAS kan niet alleen eigen diensten beveiligen met een LE-certificaat, maar als zogeheten reverse-proxy als prettig bijeffect ook de verbindingen van andere apparaten. De NAS werkt dan als HTTP(S)-proxy die het verkeer van andere servers met TLS versleuteld doorgeeft aan de client. Die functie zit bij het Configuratiescherm bij Toepassingsportaal op het tabblad ‘Reverse Proxy’.
In c’t 4/2018 gaan we uitgebreider in op Let’s Encrypt en het ACME-protocol en lees je verder hoe je een gratis SSL-certificaat inzet voor je router, Docker of Apache web-server. Ook voor Microsoft IIS kun je Let’s Encrypt gebruiken.
(Ronald Eikenberg / Noud van Kruysbergen, c’t magazine 4/2018)
- Ontdek hoe je veilig blijft zonder nieuwe pc te kopen.
- Big Tech onder de loep
- Alles over Wi-Fi 8
Tip!
Ben je opzoek naar nieuwe hardware, software of accessoires?
Je vindt het in onze computerwinkel!
Hallo, Ondanks de instellingen van Gratis SSL-certificaat instellen voor Synology NAS blijf ik toch zien dat mijn NAS browser niet veilig is. https is doorgestreept en staat in het rood.
Graag wat hulp hier mee.
Was je NAS wel bereikbaar vanaf internet terwijl je het certificaat aanvroeg?
Ja hij was helemaal bereikbaar.
gebruik je poort 5000 of poort 5001?
ik gebruik poort 5001
Goed en duidelijk verhaal. Ik loop echter vast bij het invullen van de domein naam; waar kan ik die vinden? Het invullen van https:// wordt niet geaccepteerd. Wanneer ik het quickconnect adres wat ik voor mijn NAS heb ingesteld gebruik kom ik wel een stap verder, maar wordt achteraf de melding gegeven dat dit geen geldig domein is.
Eva je domein naam is zonder http en www dus in mijn geval rmo-techniek.nl
Dat begrijp ik. Ik weet alleen niet precies wat mijn domeinnaam zou moeten zijn. ik heb een quickconnect adres, of ip adres gevolgd door :5011 maar beide opties (daarbij weggelaten https:// en www) accepteert hij niet als zijnde domeinnaam.
Moet ik eerst aanmelden bij een domein (onder control panel – Domain/LDAP)? Dit heb ik namelijk geprobeerd, maar krijg dan de melding “failed to join domain. Pleas check the DNS server settings and make sure the domain is registered on the DNS server.”
Quickconnect staat hier los van. Je kan een DDNS adres van synology aanmaken bij de instellingen in DSM, onder het kopje externe toegang.
Goed punt, daar loop ik ook tegenaan. Wordt nergens duidelijk gemaakt. We hebben gewoon een NAS gekocht, HOEZO domeinnaam? Een NAS kan toch functioneren als cloud zonder naam? Voor ingewijden waarschijnlijk overduidelijk, maar voor newbies als ik totaal onduidelijk.
Waar ik mee zit is dat het certificaat poort 5000 en 5001 niet pakt wil de Drive applicatie delen met anderen maar krijg deze melding
http://www.msw-techniek.nl:5001 gebruikt een ongeldig beveiligingscertificaat.
Het certificaat is alleen geldig voor msw-techniek.nl.
Foutcode: SSL_ERROR_BAD_CERT_DOMAIN
iemand enig idee
Volgens mij is poort 5000 http en 5001 https. Dus voor poort 5001 https in het adres opnemen.
Ik het het getest met https://www.msw-techniek.nl:5001 en ik kwam in het inlogscherm van je DSM. Het werkt dus goed. Veel plezier.
Hoi Vincent,
Ik ben een heel end, alleen we hebben geen router, alleen de box van KPN. Kan je dan de poort ook forwarden?
Hoi Marco, Dank voor je uitleg! Is het ook nodig/veiliger om https met een certificaat te gebruiken als je de NAS alleen intern gebruikt? Met intern bedoel ik alleen in wifi binnenshuis en in de NAS geen externe toegang (FTP etc.) hebt toegestaan. Als dat veilig (genoeg) is, hoef ik me niet verder te verdiepen in Let’s Encrypt (want dat lukt namelijk niet…) Dank voor reactie!
Een versleutelde verbinding is altijd veiliger. Zonder een certificaat van een CA zoals Let’s Encrypt gebruikt de NAS een eigen (self-signed) certificaat voor https. Dat is in principe even veilig maar je moet bij zo’n certificaat in de browser waarschuwingen wegklikken (en dat leert weer onveilig gedrag aan). Sommige browsers accepteren zo’n verbinding niet eens.