synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяУправление Системой › Проблема с сертификатом

Проблема с сертификатом

ajmal · 08.05.2018

Добрый день уважаемые знатоки!

Хотел спросить вашего совета. Я применил некоторые изменения, которые рекомендовало мне приложение Security Advisor. В общем, я изменил параметры протокола и теперь все браузеры ругаются на "ненадежность" при попытке зайти в DSM. Как это выглядит вы можете увидеть по ссылке ниже. Скорее всего проблема с сертификатом безопасности. Что необходимо сделать, чтобы устранить данную проблему? Заранее благодарю за ответ!

скриншот

LokGavb · 08.05.2018

я как-то не помню, что именно мне помогло - или я просто подавлял панику в каждом отдельном браузере, или мне помог сертификат от let's encrypt , который я получил на закладке Безопасность - Сертификат

Siroc-co · 08.05.2018
Добрый день уважаемые знатоки!

Хотел спросить вашего совета. Я применил некоторые изменения, которые рекомендовало мне приложение Security Advisor. В общем, я изменил параметры протокола и теперь все браузеры ругаются на "ненадежность" при попытке зайти в DSM. Как это выглядит вы можете увидеть по ссылке ниже. Скорее всего проблема с сертификатом безопасности. Что необходимо сделать, чтобы устранить данную проблему? Заранее благодарю за ответ!

скриншот

Хм... Назовите мне хотя бы один центр выдачи сертификатов, который бы дал сертификат на https://192.168.178.48 .Или это пример? Посмотрите, что в сертификате. Кем выдан, кому выдан, и сверьте с адресом по которому идёте. Скорее всего слетели привязки - для какого домена какой сертификат вешать. Скорее всего кроме полученного сертификата есть и дефолтный от Synology, и скорее всего именно он прописался к доменам.

P.S. У меня сертификаты слетают постоянно, когда let's encrypt их обновляет каждые три месяца.

P.S.S. Кстати, let's encrypt теперь даёт сертификат сразу на все поддомены (wildcard). Как у Synology с этим? Как этот сертификат получить?

lll · 08.05.2018

:unsure:

P.S.S. Кстати, let's encrypt теперь даёт сертификат сразу на все поддомены (wildcard). Как у Synology с этим? Как этот сертификат получить?

* в имени домена ввести невозможно

ent · 08.05.2018
Хм... Назовите мне хотя бы один центр выдачи сертификатов, который бы дал сертификат на https://192.168.178.48

А как вам такое?

 

ajmal · 08.05.2018

Пытаюсь получить сертификат от Lets Encrypt, а система не пропускает... получается получить на IP невозможно?

Скрин

ent · 08.05.2018
Пытаюсь получить сертификат от Lets Encrypt, а система не пропускает... получается получить на IP невозможно?

Скрин

Вы вводите URI, а надо имя домена, например ajmall.ru. К стати он не занят, купите его.

ajmal · 08.05.2018
Вы вводите URI, а надо имя домена, например ajmall.ru. К стати он не занят, купите его.

 

Но у меня проблема не с доменом, а именно с тем, что при попытке войти по локальной сети используя IP, все браузеры ругаются на безопасность. Этого раньше не было, до тех пор пока не сменил протокол с 0.0.0.0:5000 на 0.0.0.0:6543 по рекомендации Security Advisor. Через mydomain.quickconnect.com пропускает без проблем, видимо сертификат напрямую привязян к домену Synology. Надеюсь понятно объяснил :)

ent · 09.05.2018

Используйте http://192.168 вместо https://192.168. Или купите домен и создайте сертификат от Let's Encrypt по всем правилам и используйте уже https://имядомена.ru

ajmal · 09.05.2018
Используйте http://192.168 вместо https://192.168. Или купите домен и создайте сертификат от Let's Encrypt по всем правилам и используйте уже https://имядомена.ru

То есть получается, если я привяжу домен к IP, то не придеться пользоваться mydomain.quickconnect.com? Или это просто, чтобы IP не использовать? Можно ли будет подключаться через интернет к серверу через этот домен, потому что по IP я могу подключаться только локально cейчас. Можно ли использовать поддомен? Простите возможно за глупые вопросы.

sanrega · 09.05.2018

Если у вас белый статический IP и вы знаете как в роутере пробросить 80,443,5000,5001 порты на NAS, то да - QC будет не нужен. Поддомен использовать можно.

ent · 09.05.2018

По поводу поддоменов читайте условия сертификата Let's Encrypt для сино.

ajmal · 09.05.2018
Если у вас белый статический IP и вы знаете как в роутере пробросить 80,443,5000,5001 порты на NAS, то да - QC будет не нужен. Поддомен использовать можно.

IP статичный. Если не сложно, можете пошагово объяснить, как это сделать? Буду премного благодарен.

sanrega · 09.05.2018

Пошагово не объясню, потому что шаги отличаются в зависимости от роутера. Поэтому просто гуглите "проброс портов на *тут название вашего роутера*"

Поддомен у вас уже есть? То есть такие слова как А-запись о чём-нибудь говорит? Если да, то шаги такие:

1) пробросить 80,443,5000,5001 порты на IP NAS

2) создать поддомен в управлении dns вашего регистратора в виде А-записи на ваш статичный белый(!) IP, вида subdomain.yourdomain.example

3) получить сертификат на поддомен от Letsencrypt

4)...

5) Profit!

ajmal · 09.05.2018
Пошагово не объясню, потому что шаги отличаются в зависимости от роутера. Поэтому просто гуглите "проброс портов на *тут название вашего роутера*"

Поддомен у вас уже есть? То есть такие слова как А-запись о чём-нибудь говорит? Если да, то шаги такие:

1) пробросить 80,443,5000,5001 порты на IP NAS

2) создать поддомен в управлении dns вашего регистратора в виде А-записи на ваш статичный белый(!) IP, вида subdomain.yourdomain.example

3) получить сертификат на поддомен от Letsencrypt

4)...

5) Profit!

Большое спасибо, надо пробовать.

Siroc-co · 10.05.2018
А как вам такое?

Да собственно никак. Страница не открывается. ERR_CONNECTION_RESET

Siroc-co · 10.05.2018
пока не сменил протокол с 0.0.0.0:5000 на 0.0.0.0:6543 по рекомендации Security Advisor.

Зачем что-то менять в NAS? Оставьте на NAS 5000, но на роутере в порт маппинге перебросьте его на 6543. Из вне вы будите идти по порту 6543, в локальной сети он так и останется 5000.

polanat · 10.05.2018
Зачем что-то менять в NAS? Оставьте на NAS 5000, но на роутере в порт маппинге перебросьте его на 6543. Из вне вы будите идти по порту 6543, в локальной сети он так и останется 5000.

И в чём выгоды от такого решения? Как по мне, уж лучше полностью сменить порт на кастомный. Большинство (если не все) роутеров поддерживают NAT Loopback и из локалки и из внешки на НАС можно заходить единообразно по доменному имени через один и тот же кастомный порт

sanrega · 10.05.2018
Да собственно никак. Страница не открывается. ERR_CONNECTION_RESET

Да всё нормально открывается:

http://images.vfl.ru/ii/1525957009/fb746f80/21687802_m.png

polanat · 10.05.2018
http://vfl.ru/fotos/fb746f8021687802.html

А где https ???

 

PS Вот что я действительно ценю в людях - так это чувство юмора!!!

sanrega · 10.05.2018

А вот мне тоже интересно стало куда делся https :blink: Значит, vfl вычёркиваем :lol:

polanat · 10.05.2018
А вот мне тоже интересно стало куда делся https :blink: Значит, vfl вычёркиваем :lol:

Куда делся? Вот сюда:

 

http://images.vfl.ru/ii/1525957009/fb746f80/21687802_m.png

Siroc-co · 10.05.2018
vJmKKzvHNTk.jpg
umount · 10.05.2018
Да собственно никак. Страница не открывается. ERR_CONNECTION_RESET

Открывается:

http://images.vfl.ru/ii/1525968983/530184df/21690488_m.png

ent · 10.05.2018

Я к чему пример этого ресурса дал. Ведь как то договорились Cloudflare с DigiSert и получили таки сертификат на IP 1.1.1.1. Значит можно...

vovik80 · 23.05.2021

Ребят, до какого-то времени не был проблем с сертификатом, а сейчас выдает сообщение ниже. 

IP серый, но это оч странно же? Какие еще варианты получить их серт есть? 

image.thumb.png.831dfdfa4e16cac9c31450e3b4b06938.png

 

kucher · 24.05.2021

https://letsencrypt.org/ru/docs/certificates-for-localhost/

https://qna.habr.com/q/549486

Сначала я получал ssl через sslfree, но потом меня достало каждые 3 месяца повторять процедуру на нескольких NAS + sslfree не даёт бесплатно получить/обновить сертификат, пока не истёк предыдущий. И я тогда перешёл на скрипт acme.sh.