Gratis SSL-certificaat instellen voor Synology NAS

Marco den Teuling23 mei, 2018• min. leestijd

Als je veilig met je NAS wilt communiceren zonder al die waarschuwingen van een browser, ligt het gebruik van een SSL-certificaat voor de hand. Let’s Encrypt biedt een gratis SSL-certificaat. Bij de NAS-systemen van Synology kan dat met een paar muisklikken ingesteld worden omdat er in de firmware al een Let’s-Encrypt-client ingebouwd is.

Veel NAS-systemen bieden diensten zoals remote configuratie of toegang tot de bestanden via een browser – en dat kan ook van buitenaf via internet. Dat moet dan – als je het al wilt – alleen via HTTPS gebeuren. Tot nu toe leidde dat meestal tot de beroemde certificaatfoutmeldingen in de browsers omdat de gebruikte TLS-certificaten in de regel niet door een vertrouwde CA ondertekend zijn. Met Let’s Encrypt houdt niets je echter tegen om de apparaten zelfstandig een door browsers erkend certificaat op te laten halen. Dat is gratis, vergt amper rekenkracht en is daardoor ook door embedded systemen makkelijk te realiseren. Bij QNAP en Synology is in de firmware al een Let’s-Encrypt-client geïntegreerd.

Om te toegang tot een Synology-NAS met firmware vanaf DSM 6 te beveiligen met een Let’s-Encrypt-certificaat, ga je met de browser naar de webinterface van het apparaat (bijvoorbeeld http://<NASnaam>: 5000). Log in met je admin-account en open het Configuratiescherm. Als dat met de Basismodus werkt, ga je rechtsboven over naar de ‘Geavanceerde modus’. Klik dan op het pictogram Beveiliging en vervolgens op het tabblad Certificaat op de knop Toevoegen. De bovenste optie ‘Een nieuw certificaat toevoegen’ is dan waarschijnlijk geselecteerd, dus kun je meteen door met Volgende. Geef een goede beschrijving (bijvoorbeeld ‘Let’s Encrypt’), selecteer eronder ‘Krijg een certificaat van Let’s Encrypt’ en klik weer op Volgende. Bij de Domeinnaam typ je vervolgens de domeinnaam in waarvoor het certificaat moet gaan gelden.

Toewijzen SSL-certificaat

Het is op dat moment belangrijk dat je Synology-NAS met die domeinnaam op poort 80 bereikbaar is via internet, zodat de Let’s-Encrypt-client kan voldoen aan de challenge. Dat betekent dat je in je router tijdelijk een portforwarding van poort 80 extern naar port 80 op de NAS moet instellen. En als je dan toch bezig bent, stel dan meteen ook de poorten in voor de diensten die je op je NAS naar buiten toe ter beschikking wilt stellen. Bij E-mail geef je een e-mailadres op dat bij Let’s Encrypt opgeslagen zal worden als behorende bij dat domein. Bij ‘Onderwerp alternatieve naam’ (een ietwat letterlijke vertaling van ‘Subject Alternative Name’) kun je meer domeinen opgeven waar het het certificaat voor moet gelden (bijvoorbeeld subdomeinen voor diensten als de mailserver). Na een klik op Toepassen wordt het LE-certificaat vervolgens aangemaakt en gecertificeerd.

Daarna kun je het nieuwe certificaat in het Configuratiescherm bij Beveiliging op het tabblad Certificaat configureren. Als je op de knop Configureren klikt, kun je aangeven voor welke doeleinden de NAS het certificaat moet gebruiken. Bij het item Systeemstandaard kun je het bijvoorbeeld gebruiken voor de configuratie-interface van de NAS, die standaard op poort 5001 wacht op versleutelde verbindingen (https://<NAS-naam>:5001). Het is zinvol om het LE-certificaat tot standaard te verklaren en het voorgeïnstalleerde Synology.com-certificaat, dat door de browser als niet veilig wordt bestempeld, buitenspel te zetten. Selecteer het LE-certificaar en klik op Bewerken. Vervolgens zet je een vinkje voor ‘Instellen als standaardcertificaat’ en klik je op OK.

Een Synology-NAS kan niet alleen eigen diensten beveiligen met een LE-certificaat, maar als zogeheten reverse-proxy als prettig bijeffect ook de verbindingen van andere apparaten. De NAS werkt dan als HTTP(S)-proxy die het verkeer van andere servers met TLS versleuteld doorgeeft aan de client. Die functie zit bij het Configuratiescherm bij Toepassingsportaal op het tabblad ‘Reverse Proxy’.

In c’t 4/2018 gaan we uitgebreider in op Let’s Encrypt en het ACME-protocol en lees je verder hoe je een gratis SSL-certificaat inzet voor je router, Docker of Apache web-server. Ook voor Microsoft IIS kun je Let’s Encrypt gebruiken.

(Ronald Eikenberg / Noud van Kruysbergen, c’t magazine 4/2018)

Meer over Let's Encrypt lees je in c't apr/2018

Bekijk nu

Marco den TeulingHad als eerste eigen computer ooit een 16-bit systeem, waar van de 48 kilobyte toch echt niet ‘genoeg voor iedereen’ was. Sleutelt graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen. Vindt ‘Software as a Service’ een onbedoeld ironische naamgeving.

Synology DS1618+ NAS voor professioneel thuisgebruik

De Synology DS1618+ is een NAS voor de veeleisende thuisgebruiker.

reviews•Back-ups NAS Netwerken Opslagmedia

03/10/2018

Let’s Encrypt gratis SSL-certificaat voor IIS instellen

Microsoft biedt met Internet Information Services de enige grote niet-opensource webserver. Het heeft even geduurd voordat de certificaten van Let's E...

workshops•SSL

26/05/2018

Softlink

16 Praat mee

Abonneer

nieuwsteoudste

Lezer

Kees van Maanen

Hallo, Ondanks de instellingen van Gratis SSL-certificaat instellen voor Synology NAS blijf ik toch zien dat mijn NAS browser niet veilig is. https is doorgestreept en staat in het rood.

Graag wat hulp hier mee.

Auteur

Marco den Teuling

Was je NAS wel bereikbaar vanaf internet terwijl je het certificaat aanvroeg?

Lezer

Kees van Maanen

Ja hij was helemaal bereikbaar.

Lezer

Vincent

gebruik je poort 5000 of poort 5001?

Lezer

Kees

ik gebruik poort 5001

Lezer

Eva

Goed en duidelijk verhaal. Ik loop echter vast bij het invullen van de domein naam; waar kan ik die vinden? Het invullen van https:// wordt niet geaccepteerd. Wanneer ik het quickconnect adres wat ik voor mijn NAS heb ingesteld gebruik kom ik wel een stap verder, maar wordt achteraf de melding gegeven dat dit geen geldig domein is.

Lezer

Inco

Eva je domein naam is zonder http en www dus in mijn geval rmo-techniek.nl

Lezer

Eva

Dat begrijp ik. Ik weet alleen niet precies wat mijn domeinnaam zou moeten zijn. ik heb een quickconnect adres, of ip adres gevolgd door :5011 maar beide opties (daarbij weggelaten https:// en www) accepteert hij niet als zijnde domeinnaam.
Moet ik eerst aanmelden bij een domein (onder control panel – Domain/LDAP)? Dit heb ik namelijk geprobeerd, maar krijg dan de melding “failed to join domain. Pleas check the DNS server settings and make sure the domain is registered on the DNS server.”

Lezer

Vincent

Quickconnect staat hier los van. Je kan een DDNS adres van synology aanmaken bij de instellingen in DSM, onder het kopje externe toegang.

Lezer

pieterj62

Goed punt, daar loop ik ook tegenaan. Wordt nergens duidelijk gemaakt. We hebben gewoon een NAS gekocht, HOEZO domeinnaam? Een NAS kan toch functioneren als cloud zonder naam? Voor ingewijden waarschijnlijk overduidelijk, maar voor newbies als ik totaal onduidelijk.

Lezer

Inco

Waar ik mee zit is dat het certificaat poort 5000 en 5001 niet pakt wil de Drive applicatie delen met anderen maar krijg deze melding

http://www.msw-techniek.nl:5001 gebruikt een ongeldig beveiligingscertificaat.

Het certificaat is alleen geldig voor msw-techniek.nl.

Foutcode: SSL_ERROR_BAD_CERT_DOMAIN

iemand enig idee

Lezer

Vincent

Volgens mij is poort 5000 http en 5001 https. Dus voor poort 5001 https in het adres opnemen.

Lezer

Vincent

Ik het het getest met https://www.msw-techniek.nl:5001 en ik kwam in het inlogscherm van je DSM. Het werkt dus goed. Veel plezier.

Lezer

Marion

Hoi Vincent,
Ik ben een heel end, alleen we hebben geen router, alleen de box van KPN. Kan je dan de poort ook forwarden?

Lezer

Hugo

Hoi Marco, Dank voor je uitleg! Is het ook nodig/veiliger om https met een certificaat te gebruiken als je de NAS alleen intern gebruikt? Met intern bedoel ik alleen in wifi binnenshuis en in de NAS geen externe toegang (FTP etc.) hebt toegestaan. Als dat veilig (genoeg) is, hoef ik me niet verder te verdiepen in Let’s Encrypt (want dat lukt namelijk niet…) Dank voor reactie!

Auteur

Marco den Teuling

Een versleutelde verbinding is altijd veiliger. Zonder een certificaat van een CA zoals Let’s Encrypt gebruikt de NAS een eigen (self-signed) certificaat voor https. Dat is in principe even veilig maar je moet bij zo’n certificaat in de browser waarschuwingen wegklikken (en dat leert weer onveilig gedrag aan). Sommige browsers accepteren zo’n verbinding niet eens.

Cookie	Looptijd	Omschrijving
AnalyticsSyncHistory	1 month	No description
bc_view	1 year	No description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-socialmedia	1 year	No description
cxexp	30 minutes	No description available.
cxid	session	No description available.
iutk	5 months 27 days	This cookie is used by Issuu analytic system. The cookies is used to gather information regarding visitor activity on Issuu products.
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
li_gc	2 years	No description
li_sugr	3 months	No description available.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
ROUTEID	session	This cookie is used for directing the users to the same server.
SERVERID	past	This cookie is used to assign the user to a specific server, thus to provide a improved and faster server time. It remembers which server had delivered the last page on to the browser. It also helps in load balancing.
SessionID	session	No description
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-1134343-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Looptijd	Omschrijving
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
GoogleAdServingTest	session	No description
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
uuid	session	To optimize ad relevance by collecting visitor data from multiple websites such as what pages have been loaded.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.

Cookie	Looptijd	Omschrijving
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
CONSENT	16 years 2 months 19 days 17 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

Gratis SSL-certificaat instellen voor Synology NAS

Toewijzen SSL-certificaat

Meer over Let's Encrypt lees je in c't apr/2018

Lees ook

Synology DS1618+ NAS voor professioneel thuisgebruik

Let’s Encrypt gratis SSL-certificaat voor IIS instellen

Lees ook

Softlink

Blijf op de hoogte!

Gratis SSL-certificaat instellen voor Synology NAS

Toewijzen SSL-certificaat

Meer over Let's Encrypt lees je in c't apr/2018

Meer over

Deel dit artikel

Lees ook

Synology DS1618+ NAS voor professioneel thuisgebruik

Let’s Encrypt gratis SSL-certificaat voor IIS instellen

Lees ook

Softlink

Blijf op de hoogte!