Gratis SSL-certificaat instellen voor Synology NAS

Marco den Teuling
12

Als je veilig met je NAS wilt communiceren zonder al die waarschuwingen van een browser, ligt het gebruik van een SSL-certificaat voor de hand. Let’s Encrypt biedt een gratis SSL-certificaat. Bij de NAS-systemen van Synology kan dat met een paar muisklikken ingesteld worden omdat er in de firmware al een Let’s-Encrypt-client ingebouwd is.

Veel NAS-systemen bieden diensten zoals remote configuratie of toegang tot de bestanden via een browser – en dat kan ook van buitenaf via internet. Dat moet dan – als je het al wilt – alleen via HTTPS gebeuren. Tot nu toe leidde dat meestal tot de beroemde certificaatfoutmeldingen in de browsers omdat de gebruikte TLS-certificaten in de regel niet door een vertrouwde CA ondertekend zijn. Met Let’s Encrypt houdt niets je echter tegen om de apparaten zelfstandig een door browsers erkend certificaat op te laten halen. Dat is gratis, vergt amper rekenkracht en is daardoor ook door embedded systemen makkelijk te realiseren. Bij QNAP en Synology is in de firmware al een Let’s-Encrypt-client geïntegreerd.

Om te toegang tot een Synology-NAS met firmware vanaf DSM 6 te beveiligen met een Let’s-Encrypt-certificaat, ga je met de browser naar de webinterface van het apparaat (bijvoorbeeld http://<NASnaam>: 5000). Log in met je admin-account en open het Configuratiescherm. Als dat met de Basismodus werkt, ga je rechtsboven over naar de ‘Geavanceerde modus’. Klik dan op het pictogram Beveiliging en vervolgens op het tabblad Certificaat op de knop Toevoegen. De bovenste optie ‘Een nieuw certificaat toevoegen’ is dan waarschijnlijk geselecteerd, dus kun je meteen door met Volgende. Geef een goede beschrijving (bijvoorbeeld ‘Let’s Encrypt’), selecteer eronder ‘Krijg een certificaat van Let’s Encrypt’ en klik weer op Volgende. Bij de Domeinnaam typ je vervolgens de domeinnaam in waarvoor het certificaat moet gaan gelden.

SSL-certificaat NAS instellen Synology

Toewijzen SSL-certificaat

Het is op dat moment belangrijk dat je Synology-NAS met die domeinnaam op poort 80 bereikbaar is via internet, zodat de Let’s-Encrypt-client kan voldoen aan de challenge (zie ook c’t magazine, uitgave 4). Dat betekent dat je in je router tijdelijk een portforwarding van poort 80 extern naar port 80 op de NAS moet instellen. En als je dan toch bezig bent, stel dan meteen ook de poorten in voor de diensten die je op je NAS naar buiten toe ter beschikking wilt stellen. Bij E-mail geef je een e-mailadres op dat bij Let’s Encrypt opgeslagen zal worden als behorende bij dat domein. Bij ‘Onderwerp alternatieve naam’ (een ietwat letterlijke vertaling van ‘Subject Alternative Name’) kun je meer domeinen opgeven waar het het certificaat voor moet gelden (bijvoorbeeld subdomeinen voor diensten als de mailserver). Na een klik op Toepassen wordt het LE-certificaat vervolgens aangemaakt en gecertificeerd.

Daarna kun je het nieuwe certificaat in het Configuratiescherm bij Beveiliging op het tabblad Certificaat configureren. Als je op de knop Configureren klikt, kun je aangeven voor welke doeleinden de NAS het certificaat moet gebruiken. Bij het item Systeemstandaard kun je het bijvoorbeeld gebruiken voor de configuratie-interface van de NAS, die standaard op poort 5001 wacht op versleutelde verbindingen (https://<NAS-naam>:5001). Het is zinvol om het LE-certificaat tot standaard te verklaren en het voorgeïnstalleerde Synology.com-certificaat, dat door de browser als niet veilig wordt bestempeld, buitenspel te zetten. Selecteer het LE-certificaar en klik op Bewerken. Vervolgens zet je een vinkje voor ‘Instellen als standaardcertificaat’ en klik je op OK.

Een Synology-NAS kan niet alleen eigen diensten beveiligen met een LE-certificaat, maar als zogeheten reverse-proxy als prettig bijeffect ook de verbindingen van andere apparaten. De NAS werkt dan als HTTP(S)-proxy die het verkeer van andere servers met TLS versleuteld doorgeeft aan de client. Die functie zit bij het Configuratiescherm bij Toepassingsportaal op het tabblad ‘Reverse Proxy’.

In c’t 4/2018 gaan we uitgebreider in op Let’s Encrypt en het ACME-protocol en lees je verder hoe je een gratis SSL-certificaat inzet voor je router, Docker of Apache web-server. Ook voor Microsoft IIS kun je Let’s Encrypt gebruiken.

(Ronald Eikenberg / Noud van Kruysbergen, c’t magazine 4/2018)

Meer over Let's Encrypt lees je in c't magazine apr/2018

Meer over

NASSSL

Deel dit artikel

Lees ook

Synology DS1618+ NAS voor professioneel thuisgebruik

De Synology DS1618+ is een NAS voor de veeleisende thuisgebruiker.

Let’s Encrypt gratis SSL-certificaat voor IIS instellen

Microsoft biedt met Internet Information Services de enige grote niet-opensource webserver. Het heeft even geduurd voordat de certificaten van Let's E...

12 Praat mee

12

avatar
  Abonneer  
nieuwsteoudste
Laat het mij weten wanneer er
Kees van Maanen
Lezer
Kees van Maanen

Hallo, Ondanks de instellingen van Gratis SSL-certificaat instellen voor Synology NAS blijf ik toch zien dat mijn NAS browser niet veilig is. https is doorgestreept en staat in het rood.

Graag wat hulp hier mee.

Eva
Lezer
Eva

Goed en duidelijk verhaal. Ik loop echter vast bij het invullen van de domein naam; waar kan ik die vinden? Het invullen van https:// wordt niet geaccepteerd. Wanneer ik het quickconnect adres wat ik voor mijn NAS heb ingesteld gebruik kom ik wel een stap verder, maar wordt achteraf de melding gegeven dat dit geen geldig domein is.

Inco
Lezer
Inco

Eva je domein naam is zonder http en www dus in mijn geval rmo-techniek.nl

Eva
Lezer
Eva

Dat begrijp ik. Ik weet alleen niet precies wat mijn domeinnaam zou moeten zijn. ik heb een quickconnect adres, of ip adres gevolgd door :5011 maar beide opties (daarbij weggelaten https:// en www) accepteert hij niet als zijnde domeinnaam.
Moet ik eerst aanmelden bij een domein (onder control panel – Domain/LDAP)? Dit heb ik namelijk geprobeerd, maar krijg dan de melding “failed to join domain. Pleas check the DNS server settings and make sure the domain is registered on the DNS server.”

Vincent
Lezer
Vincent

Quickconnect staat hier los van. Je kan een DDNS adres van synology aanmaken bij de instellingen in DSM, onder het kopje externe toegang.

Inco
Lezer
Inco

Waar ik mee zit is dat het certificaat poort 5000 en 5001 niet pakt wil de Drive applicatie delen met anderen maar krijg deze melding

http://www.msw-techniek.nl:5001 gebruikt een ongeldig beveiligingscertificaat.

Het certificaat is alleen geldig voor msw-techniek.nl.

Foutcode: SSL_ERROR_BAD_CERT_DOMAIN

iemand enig idee

Vincent
Lezer
Vincent

Volgens mij is poort 5000 http en 5001 https. Dus voor poort 5001 https in het adres opnemen.

Vincent
Lezer
Vincent

Ik het het getest met https://www.msw-techniek.nl:5001 en ik kwam in het inlogscherm van je DSM. Het werkt dus goed. Veel plezier.

Marion
Lezer
Marion

Hoi Vincent,
Ik ben een heel end, alleen we hebben geen router, alleen de box van KPN. Kan je dan de poort ook forwarden?