Jump to content
XPEnology Community

SSL сертификат XPEnology


Recommended Posts

Всем привет. Вкурил тут на днях тему самоподписанных SSL сертификатов для XPEnology и их использования. Скажу, что это большой good при удаленной работе с персональным NAS-ом, лишенный недостатков использования платных доверенных центров сертификации. Тема о создании и обслуживании собственного центра сертификации и генерации самоподписанных сертификатов.

Основные тезисы:

- Собственный центр сертификации на XPEnology + Программа XCA (и др.): автономный менеджер сертификатов и центр сертификации

- Установка публичного сертификата в Windows и хранилище Firefox

- Репликация и резервирование на удаленный XPEnology по зашифрованному каналу с использованием собственного SSL сертификата.

Приглашаю к обсуждению темы.

Edited by Guest
Link to comment
Share on other sites

я делаю серты в startssl - на год бесплатно и wosign - на 2 года бесплатно

обе конторы дают возможность до 5 субдоменов вписать

таким образом сделал себе серты для

mydomen.ru

http://www.mydomen.ru

ftp.mydomen.ru

mail.mydomen.ru

ilo.mydomen.ru

и на 2 года забыл про серты вообще

а самоподписные это фуфуфу - ну я их приму, а другой человек получит в браузере сообщение что не заверен и в стопор встанет

Link to comment
Share on other sites

Официальный сервис quickconnect предоставляет свой SSL сертификат.

Подключатся очень просто http://.quickconnect.to/webman/index.cgi (Должно произойти перенаправление на HTTPS)

Для использования сервиса нужно сгенерировать "правильный" серийный номер(и возможно MAC адрес) иначе будет ругаться что слишком много людей зарегистрировались под серийным номером(или что то в этом духе)

 

Рекомендую поставить двух-ступенчатый логин. (Google Authenticator)

Link to comment
Share on other sites

Подробную бы инструкцию как это сделать, а то выдал этот сайт архив с файлами, и чего делать с ним непонятно. :wink:

Ну сперва надо было сгенерировать запрос на подписание сертификата, потом на указанных мной сайтах сгенерировать сам сертификат подгрузив запрос. Затем из полученного архива импортировать сертификат, ключ, промежуточный сертификат обратно в синолоджи.

Link to comment
Share on other sites

я делаю серты в startssl - на год бесплатно и wosign - на 2 года бесплатно

обе конторы дают возможность до 5 субдоменов вписать

таким образом сделал себе серты для

mydomen.ru

http://www.mydomen.ru

ftp.mydomen.ru

mail.mydomen.ru

ilo.mydomen.ru

и на 2 года забыл про серты вообще

а самоподписные это фуфуфу - ну я их приму, а другой человек получит в браузере сообщение что не заверен и в стопор встанет

 

Я так понимаю что в любом случае нужно регистрировать домен? без него не получить? У меня есть белый ip, хотел к нему подключаться через ssl.

на StartSSL так и не смог без домена получить серт, подскажите пожалуйста...

Link to comment
Share on other sites

я делаю серты в startssl - на год бесплатно и wosign - на 2 года бесплатно

обе конторы дают возможность до 5 субдоменов вписать

таким образом сделал себе серты для

mydomen.ru

http://www.mydomen.ru

 

ftp.mydomen.ru

mail.mydomen.ru

ilo.mydomen.ru

и на 2 года забыл про серты вообще

а самоподписные это фуфуфу - ну я их приму, а другой человек получит в браузере сообщение что не заверен и в стопор встанет

 

Не согласен про самоподписные. Не фу, зависит от поставленной цели, имхо, случайным людям нефига по NAS-ам ходить. А не случайным достаточно ваш собственный "Пупкин и ко. CA" корневой серт. установить в систему и MITM-атака уже не страшна, т.к. всегда будете знать, что попали на свой NAS.

При использовании самоподписного корневого сертификата CA, вы полностью контролируете весь процесс обслуживания сертификатов, но да совсем посторонние будут иметь проблемы с доступом. А не совсем посторонним можно ca.crt рассылать :smile:

Кстати ca.crt уже идет в архиве клиентских настроек OpenVPN.

 

Про китайские бесплатные серты я тоже читал, думал. У них тоже есть подводные камни: платный отзыв, серверный ключ даже может на стороне храниться (хотя не обязательно).

Edited by Guest
Link to comment
Share on other sites

я делаю серты в startssl - на год бесплатно и wosign - на 2 года бесплатно

обе конторы дают возможность до 5 субдоменов вписать

таким образом сделал себе серты для

mydomen.ru

http://www.mydomen.ru

ftp.mydomen.ru

mail.mydomen.ru

ilo.mydomen.ru

и на 2 года забыл про серты вообще

а самоподписные это фуфуфу - ну я их приму, а другой человек получит в браузере сообщение что не заверен и в стопор встанет

 

Я так понимаю что в любом случае нужно регистрировать домен? без него не получить? У меня есть белый ip, хотел к нему подключаться через ssl.

на StartSSL так и не смог без домена получить серт, подскажите пожалуйста...

 

Если сторонний серт от доверенного центра (бесплатный китайский и иже с ними) то на IP нельзя, только на домен.

Если свой собственный, то можно и на IP, можно и на IP в локальной сетке и на короткие имена в локальной сетке (сравните ds.blabla.ru и ds в лок. сети).

Link to comment
Share on other sites

Не согласен про самоподписные. Не фу, зависит от поставленной цели, имхо, случайным людям нефига по NAS-ам ходить. А не случайным достаточно ваш собственный "Пупкин и ко. CA" корневой серт. установить в систему и MITM-атака уже не страшна, т.к. всегда будете знать, что попали на свой NAS.

При использовании самоподписного корневого сертификата CA, вы полностью контролируете весь процесс обслуживания сертификатов, но да совсем посторонние будут иметь проблемы с доступом. А не совсем посторонним можно ca.crt рассылать :smile:

Кстати ca.crt уже идет в архиве клиентских настроек OpenVPN.

 

Про китайские бесплатные серты я тоже читал, думал. У них тоже есть подводные камни: платный отзыв, серверный ключ даже может на стороне храниться (хотя не обязательно).

Если у тебя насом пользуются несколько человек и им не в падлу в своих браузерах добавить в доверенные твой сертификат, то гораздо прозе прямо в сино выпустить самоподписной серт чем городить огород с удостоверяющим центром и тд. - тем более что это вообще не требует сколько нибудь усилий и установки стороннего софта

Все делается в панеле сертификат.

А вот у меня насом пользуются довольно много человек - в среднем от 20 постоянных и до 100 периодических.

Link to comment
Share on other sites

letsencrypt-logo-horizontal.svg

успешно провёл тестирование сервиса и тем самым завершил бета-фазу.

контракты по финансирванию проекта продлены на следующие три года, основатели и платиновые спонсоры Akamai и Cicso, также поддянулось HP Enterprise как золотой спонсор, тем самым выглядит всё вполне даже серьёзно, проект не зависит от рекламных сборов и не нуждается во всяких сомнительных завлекательных акциях.

 

Что касается установки то всё проходит очень просто, 90 дней так и осталось пока, но обновляется без проблем и даже автоматом.

Преемущество перед startssl и ко. это то что заверяются и ddns домены тем самым пустить через ssl внешний доступ сино штатными средствами не проблема

Link to comment
Share on other sites

Подробную бы инструкцию как это сделать, а то выдал этот сайт архив с файлами, и чего делать с ним непонятно. :wink:

Ну сперва надо было сгенерировать запрос на подписание сертификата, потом на указанных мной сайтах сгенерировать сам сертификат подгрузив запрос. Затем из полученного архива импортировать сертификат, ключ, промежуточный сертификат обратно в синолоджи.

 

Подписал вчера на WoSign для своего домена на 2 года - все великолепно!

Link to comment
Share on other sites

  • 6 months later...

Освоил Let's Encrypt. Причем через DNS challenge для FreeDNS.afraid.org в автоматическом режиме. Но вот вопрос, а куда в DSM 6 нужно класть сертификат и ключ в атоматическом режиме, если я не хочу пользоваться средствами встроенного в DSM 6 менджера сертификатов, т.к мне такой вариант не подходит. Т.е. у меня есть на стороне автоматическая процедура получения сертов от Let's Encrypt через свой скрипт, и я хочу автоматизировать процедуру импорта их в DSM?

Link to comment
Share on other sites

  • 7 months later...
Но вот вопрос, а куда в DSM 6 нужно класть сертификат и ключ в атоматическом режиме?

$ sudo -i

 

Репозиторий сертификатов находится тут:

/usr/syno/etc/certificate/_archive/

 

Смотрим в какой папке лежат сертификаты

# cat /usr/syno/etc/certificate/_archive/DEFAULT

zquwX5

 

значит сертификаты лежат тут:

/usr/syno/etc/certificate/_archive/zquwX5/

Link to comment
Share on other sites

  • 2 weeks later...

Привет, поставил SSL на нас.... .. просто установите. на пк веб сервер.. и делайте по видео ссылки дам..... прошло все успешно... просто берем файлы и подключаем их

Установка бесплатного сертификата Let's Encrypt за 2 минуты на хостинг

Mh4Q73lRVj9ZI3lIpe3oOq58ewRuC-aNY3VJgdpoFBwBqlD7wUPfrUi1YyoJLwFQsHE9tCNb-Auk5kx7oPrW-A%3D%3D?uid=0&filename=2017-06-11_11-45-23.jpg&disposition=inline&hash=&limit=0&content_type=image%2Fjpeg&fsize=18271&hid=36591b2ddfb659f454b72d515e9ce912&media_type=image&tknv=v2&etag=aeeb2dfc885235fa4e6960accf96955b

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...