Chupakabra Posted April 12, 2016 #1 Posted April 12, 2016 (edited) Всем привет. Вкурил тут на днях тему самоподписанных SSL сертификатов для XPEnology и их использования. Скажу, что это большой good при удаленной работе с персональным NAS-ом, лишенный недостатков использования платных доверенных центров сертификации. Тема о создании и обслуживании собственного центра сертификации и генерации самоподписанных сертификатов. Основные тезисы: - Собственный центр сертификации на XPEnology + Программа XCA (и др.): автономный менеджер сертификатов и центр сертификации - Установка публичного сертификата в Windows и хранилище Firefox - Репликация и резервирование на удаленный XPEnology по зашифрованному каналу с использованием собственного SSL сертификата. Приглашаю к обсуждению темы. Edited October 22, 2016 by Guest Quote
-iliya- Posted April 12, 2016 #2 Posted April 12, 2016 я делаю серты в startssl - на год бесплатно и wosign - на 2 года бесплатно обе конторы дают возможность до 5 субдоменов вписать таким образом сделал себе серты для mydomen.ru http://www.mydomen.ru ftp.mydomen.ru mail.mydomen.ru ilo.mydomen.ru и на 2 года забыл про серты вообще а самоподписные это фуфуфу - ну я их приму, а другой человек получит в браузере сообщение что не заверен и в стопор встанет Quote
kwest Posted April 13, 2016 #3 Posted April 13, 2016 Подробную бы инструкцию как это сделать, а то выдал этот сайт архив с файлами, и чего делать с ним непонятно. Quote
jadie Posted April 13, 2016 #4 Posted April 13, 2016 Официальный сервис quickconnect предоставляет свой SSL сертификат. Подключатся очень просто http://.quickconnect.to/webman/index.cgi (Должно произойти перенаправление на HTTPS) Для использования сервиса нужно сгенерировать "правильный" серийный номер(и возможно MAC адрес) иначе будет ругаться что слишком много людей зарегистрировались под серийным номером(или что то в этом духе) Рекомендую поставить двух-ступенчатый логин. (Google Authenticator) Quote
-iliya- Posted April 13, 2016 #5 Posted April 13, 2016 Подробную бы инструкцию как это сделать, а то выдал этот сайт архив с файлами, и чего делать с ним непонятно. Ну сперва надо было сгенерировать запрос на подписание сертификата, потом на указанных мной сайтах сгенерировать сам сертификат подгрузив запрос. Затем из полученного архива импортировать сертификат, ключ, промежуточный сертификат обратно в синолоджи. Quote
Sepro Posted April 13, 2016 #6 Posted April 13, 2016 я делаю серты в startssl - на год бесплатно и wosign - на 2 года бесплатнообе конторы дают возможность до 5 субдоменов вписать таким образом сделал себе серты для mydomen.ru http://www.mydomen.ru ftp.mydomen.ru mail.mydomen.ru ilo.mydomen.ru и на 2 года забыл про серты вообще а самоподписные это фуфуфу - ну я их приму, а другой человек получит в браузере сообщение что не заверен и в стопор встанет Я так понимаю что в любом случае нужно регистрировать домен? без него не получить? У меня есть белый ip, хотел к нему подключаться через ssl. на StartSSL так и не смог без домена получить серт, подскажите пожалуйста... Quote
Chupakabra Posted April 13, 2016 Author #7 Posted April 13, 2016 (edited) я делаю серты в startssl - на год бесплатно и wosign - на 2 года бесплатнообе конторы дают возможность до 5 субдоменов вписать таким образом сделал себе серты для mydomen.ru http://www.mydomen.ru ftp.mydomen.ru mail.mydomen.ru ilo.mydomen.ru и на 2 года забыл про серты вообще а самоподписные это фуфуфу - ну я их приму, а другой человек получит в браузере сообщение что не заверен и в стопор встанет Не согласен про самоподписные. Не фу, зависит от поставленной цели, имхо, случайным людям нефига по NAS-ам ходить. А не случайным достаточно ваш собственный "Пупкин и ко. CA" корневой серт. установить в систему и MITM-атака уже не страшна, т.к. всегда будете знать, что попали на свой NAS. При использовании самоподписного корневого сертификата CA, вы полностью контролируете весь процесс обслуживания сертификатов, но да совсем посторонние будут иметь проблемы с доступом. А не совсем посторонним можно ca.crt рассылать Кстати ca.crt уже идет в архиве клиентских настроек OpenVPN. Про китайские бесплатные серты я тоже читал, думал. У них тоже есть подводные камни: платный отзыв, серверный ключ даже может на стороне храниться (хотя не обязательно). Edited April 13, 2016 by Guest Quote
Chupakabra Posted April 13, 2016 Author #8 Posted April 13, 2016 я делаю серты в startssl - на год бесплатно и wosign - на 2 года бесплатнообе конторы дают возможность до 5 субдоменов вписать таким образом сделал себе серты для mydomen.ru http://www.mydomen.ru ftp.mydomen.ru mail.mydomen.ru ilo.mydomen.ru и на 2 года забыл про серты вообще а самоподписные это фуфуфу - ну я их приму, а другой человек получит в браузере сообщение что не заверен и в стопор встанет Я так понимаю что в любом случае нужно регистрировать домен? без него не получить? У меня есть белый ip, хотел к нему подключаться через ssl. на StartSSL так и не смог без домена получить серт, подскажите пожалуйста... Если сторонний серт от доверенного центра (бесплатный китайский и иже с ними) то на IP нельзя, только на домен. Если свой собственный, то можно и на IP, можно и на IP в локальной сетке и на короткие имена в локальной сетке (сравните ds.blabla.ru и ds в лок. сети). Quote
-iliya- Posted April 13, 2016 #9 Posted April 13, 2016 Не согласен про самоподписные. Не фу, зависит от поставленной цели, имхо, случайным людям нефига по NAS-ам ходить. А не случайным достаточно ваш собственный "Пупкин и ко. CA" корневой серт. установить в систему и MITM-атака уже не страшна, т.к. всегда будете знать, что попали на свой NAS. При использовании самоподписного корневого сертификата CA, вы полностью контролируете весь процесс обслуживания сертификатов, но да совсем посторонние будут иметь проблемы с доступом. А не совсем посторонним можно ca.crt рассылать Кстати ca.crt уже идет в архиве клиентских настроек OpenVPN. Про китайские бесплатные серты я тоже читал, думал. У них тоже есть подводные камни: платный отзыв, серверный ключ даже может на стороне храниться (хотя не обязательно). Если у тебя насом пользуются несколько человек и им не в падлу в своих браузерах добавить в доверенные твой сертификат, то гораздо прозе прямо в сино выпустить самоподписной серт чем городить огород с удостоверяющим центром и тд. - тем более что это вообще не требует сколько нибудь усилий и установки стороннего софта Все делается в панеле сертификат. А вот у меня насом пользуются довольно много человек - в среднем от 20 постоянных и до 100 периодических. Quote
Bob the Builder Posted April 13, 2016 #10 Posted April 13, 2016 успешно провёл тестирование сервиса и тем самым завершил бета-фазу. контракты по финансирванию проекта продлены на следующие три года, основатели и платиновые спонсоры Akamai и Cicso, также поддянулось HP Enterprise как золотой спонсор, тем самым выглядит всё вполне даже серьёзно, проект не зависит от рекламных сборов и не нуждается во всяких сомнительных завлекательных акциях. Что касается установки то всё проходит очень просто, 90 дней так и осталось пока, но обновляется без проблем и даже автоматом. Преемущество перед startssl и ко. это то что заверяются и ddns домены тем самым пустить через ssl внешний доступ сино штатными средствами не проблема Quote
pasden Posted April 14, 2016 #11 Posted April 14, 2016 Подробную бы инструкцию как это сделать, а то выдал этот сайт архив с файлами, и чего делать с ним непонятно. Ну сперва надо было сгенерировать запрос на подписание сертификата, потом на указанных мной сайтах сгенерировать сам сертификат подгрузив запрос. Затем из полученного архива импортировать сертификат, ключ, промежуточный сертификат обратно в синолоджи. Подписал вчера на WoSign для своего домена на 2 года - все великолепно! Quote
Chupakabra Posted October 22, 2016 Author #12 Posted October 22, 2016 Освоил Let's Encrypt. Причем через DNS challenge для FreeDNS.afraid.org в автоматическом режиме. Но вот вопрос, а куда в DSM 6 нужно класть сертификат и ключ в атоматическом режиме, если я не хочу пользоваться средствами встроенного в DSM 6 менджера сертификатов, т.к мне такой вариант не подходит. Т.е. у меня есть на стороне автоматическая процедура получения сертов от Let's Encrypt через свой скрипт, и я хочу автоматизировать процедуру импорта их в DSM? Quote
pasden Posted May 28, 2017 #13 Posted May 28, 2017 Но вот вопрос, а куда в DSM 6 нужно класть сертификат и ключ в атоматическом режиме? $ sudo -i Репозиторий сертификатов находится тут: /usr/syno/etc/certificate/_archive/ Смотрим в какой папке лежат сертификаты # cat /usr/syno/etc/certificate/_archive/DEFAULT zquwX5 значит сертификаты лежат тут: /usr/syno/etc/certificate/_archive/zquwX5/ Quote
asterixd Posted June 11, 2017 #14 Posted June 11, 2017 Привет, поставил SSL на нас.... .. просто установите. на пк веб сервер.. и делайте по видео ссылки дам..... прошло все успешно... просто берем файлы и подключаем их Установка бесплатного сертификата Let's Encrypt за 2 минуты на хостинг Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.