Ottenere un certificato digitale per HTTPS con Let's Encrypt

Usare il NAS come Web Server (Drupal, Joomla, WordPress ...)
Rispondi
gokus80
Utente
Utente
Messaggi: 4
Iscritto il: domenica 5 maggio 2019, 12:42

Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da gokus80 » domenica 5 maggio 2019, 13:12

Salve a tutti,

sto provando invano da qualche ora ad ottenere un certificato firmato con Let's Encrypt ma mi restituisce sempre lo stesso messaggio:
"Impossibile connettersi a Let's Encrypt. Verificare che DiskStation e il router presentino la porta 80 aperta per la convalida del dominio
Let's Encrypt da Internet. Tutte le altre comunicazioni con Let's Encrypt vanno su HTTPS e manterranno DiskStation protetto"

premetto che non sapendo se andava bene il dominio ddns personale xxxxx.no-ip.info ho creato anche un dominio xxxxx.synology.me (allegato 1) e infatti accedendo al portale synology nel mio account vedo come nell'allegato 2.
qualcuno puo aiutarmi gentilmente?
Non sono proprio un esperto...mi cimento!
Grazie anticipatamente
Allegati
account.gif
allegato 2
account.gif (124.29 KiB) Visto 321 volte
ddns.gif
allegato 1
ddns.gif (147.94 KiB) Visto 321 volte

Avatar utente
burghy86
Moderatore
Moderatore
Messaggi: 9290
Iscritto il: martedì 11 settembre 2012, 18:59

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da burghy86 » domenica 5 maggio 2019, 13:22

Apri la porta 80 sul router che punti al nas e riprova
ATTENZIONE PRIMA DI POSTARE
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio

siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
  • UPS: apc
  • GTW: netgear dgn2200 o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j,ds210j,ds413j, ds215j, ds415+ dmv dal 5.2 alla 6. qnap ts212p ts22, all hd con wdred da 2/6tb
  • CLI: xpsp3, seven pro 64bit, win 8.1 64bit, mac, win 10
    [altro]
  • 3 smartphone android, un iphone5,lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3

gokus80
Utente
Utente
Messaggi: 4
Iscritto il: domenica 5 maggio 2019, 12:42

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da gokus80 » domenica 5 maggio 2019, 15:03

burghy86 ha scritto:
domenica 5 maggio 2019, 13:22
Apri la porta 80 sul router che punti al nas e riprova
Grazei, sei stato gentilissimo, mi ha creato il certificato.
In seguito ho attivato l'HTTPS e il reindirizzamento da HTTP a HTTPS.
Svuoto la cache browser e riavvio il nas, accedo via browser al nas e comunque mi da sempre gli avvisi sulla sicurezza come in allegato.
Quando clicco su "certificato (nono valido)" mi fa vedere il certificato e lìemittente che lo ha rilasciato, e nello stato mi dice "valido"
Ho sbagliato qualche cosa?
Posso chiudere la porta 80 sul router?
Grazie mille di nuovo
Allegati
ssl.jpg
ssl.jpg (67.33 KiB) Visto 315 volte

Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1728
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da dMajo » lunedì 6 maggio 2019, 1:15

no, la porta 80 deve rimanere aperta in quanto i certificati hanno validità di 90gg e vengono rinnovati automaticamente dal NAS prima della scaenza.

per vedere la connessione valida nel browser devi accedere con il nome FQDN corrispondente a quello del certificato e non con l'indirizzo IP.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2862Vac(3.9.0): Multiwan 2xVDSL(200M/30M,1+8IP)+USB4G :o
  • SWC: Netgear GS728TPv2 (PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2(23824u4),32GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.2(23824u4),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
    • DS1815+, DS1513+
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6

xenical
Utente
Utente
Messaggi: 40
Iscritto il: lunedì 28 luglio 2014, 6:39

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da xenical » martedì 14 maggio 2019, 10:50

dMajo ha scritto:
lunedì 6 maggio 2019, 1:15
per vedere la connessione valida nel browser devi accedere con il nome FQDN corrispondente a quello del certificato e non con l'indirizzo IP.
Saresti cosi gentile da spiegare come fare?

Perche´pure io ho ottenuto il rinnovo del certificato tramite Let's Encrypt ma quando mi collego al NAS continua ad apparire "non sicuro".
Situazione analoga mi si presenta quando mi collego al router Fritzbox mi compare "non sicuro" (nonostante abbia seguito questa guida https://mille.click/fritzbox-zertifikat ... -besitzer/ per importare il certificato del NAS all´interno del Fritzbox).

Unica differenza e che se miccolego al nas la scritta non sicuro compare in rosso e https e´barrato, mentre su fritzbox e´in grigio
  • UPS:
  • GTW: Friz!Box 7950 ISP: VDSL Deutsch Telekom (130 M/40 M) IP: Public
  • SWC: TP-Link TL-SG108E
  • NAS: DS 218 Play (DSM 6.2.2-24922); R0(2xWDRed Pro 6TB) - DS 214 Play (6.2.2-24922); R1(2xWDRed 2TB) - DS 213j (6.2.2-24922); R1(2xWDRed 1TB)
  • CLI: PC Windows 10 Pro x64 - Laptop Lenovo Windows 10 x64 - Beelink M1 MiniPC
  • ALTRO:
  • iPad Pro, Galaxy S8
  • EXP: E4 - NET4 - PC:W8,M6,L4

Avatar utente
fullspeed
Utente
Utente
Messaggi: 838
Iscritto il: lunedì 21 settembre 2015, 16:18
Località: Ad Sextum Lapidem

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da fullspeed » martedì 14 maggio 2019, 17:55

dMajo ha scritto:
lunedì 6 maggio 2019, 1:15
per vedere la connessione valida nel browser devi accedere con il nome FQDN corrispondente a quello del certificato e non con l'indirizzo IP.
xenical ha scritto:
martedì 14 maggio 2019, 10:50
Saresti cosi gentile da spiegare come fare?
FQDN = Fully Qualified Domain Name

cioè il nome di dominio completo per il quale è stato generato il certificato, ad esempio www.miodominio.it

quindi il browser dovrà puntare a https://www.miodominio.it

è chiaro che il nome www.miodominio.it dovrà essere risolto nell'indirizzo IP pubblico del tuo router (e qui entra in gioco il DDNS) se accedi da fuori.

se accedi da fuori direttamente con l'indirizzo IP pubblico del router otterrai il medesimo errore, perché il browser controlla la corrispondenza tra quanto scritto nella URL ed il nome nel certificato.

anche se accedi dalla tua LAN interna direttamente con l'indirizzo IP interno del NAS otterrai il medesimo errore, perché il browser controlla la corrispondenza tra quanto scritto nella URL ed il nome nel certificato.

io ho configurato il NAS anche come DNS server della mia rete e ho fatto in modo che risolva il FQDN in questione nell'indirizzo interno del NAS, quindi mi funziona tutto sempre sia da dentro (DNS interno) che da fuori (DDNS)
  • UPS: APC Back-UPS 700VA (BX700UI)
  • GTW: Modem Telecom Fibra (Release Modem: AGVTF_5.3.3); AP Tp-Link EAP245; ISP: TIM (100M/20M); IP: Public
  • SWC: Tp-Link TL-SG3210 JetStream
  • NAS: DS215j (DSM 5.2-5967 Update 9); 512MB; R1(2x HGST DeskStar NAS 3TB); LAN: 1x 1Gb/s
  • CLI: Ubuntu Linux 18.04.01 LTS & 16.04.5 LTS & 14.04.5 LTS; Apple Macbook Air (macOS Mojave); Microsoft Windows 10
    Altro: WETEK Hub (LibreElec 8.2.5, Kodi 17.6 Krypton), WETEK Play w/DVB-S2 tuner (LibreElec 8.2.5, Kodi 17.6 Krypton), Amazon Fire TV Stick, Yamaha RX-V481, Denon DRA-N4, 3x Android Phones, 1x iPhone, 1x iPad Air, 2x Amazon Kindle Fire HD
  • EXP: E5 - NET8 PC:W4,M4,L8

xenical
Utente
Utente
Messaggi: 40
Iscritto il: lunedì 28 luglio 2014, 6:39

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da xenical » martedì 14 maggio 2019, 18:16

OK grazie.

Quindi se ho correttamente inteso, avendo io importato il certificato all´interno del Router fritzbox (e a patto di configuralo correttamente come gestore DNS della rete interna) dovrei aver risolto il problema.

Ora vedo come fare.
  • UPS:
  • GTW: Friz!Box 7950 ISP: VDSL Deutsch Telekom (130 M/40 M) IP: Public
  • SWC: TP-Link TL-SG108E
  • NAS: DS 218 Play (DSM 6.2.2-24922); R0(2xWDRed Pro 6TB) - DS 214 Play (6.2.2-24922); R1(2xWDRed 2TB) - DS 213j (6.2.2-24922); R1(2xWDRed 1TB)
  • CLI: PC Windows 10 Pro x64 - Laptop Lenovo Windows 10 x64 - Beelink M1 MiniPC
  • ALTRO:
  • iPad Pro, Galaxy S8
  • EXP: E4 - NET4 - PC:W8,M6,L4

Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1728
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da dMajo » martedì 14 maggio 2019, 19:16

Il certificato deve essere installato sul server web (presumo il nas).
Sul nas per il sito ti conviene creare un host virtuale con il nome del dominio certificato e assegnargli il certificato ottenuto da LetsEncrypt.
PS: Il nas riesce a gestire/rinnovare in automatico più certificati per diversi domini. E li serve anche correttamente con il proprio server web usando i host virtuali.

Se il router ha un server DNS configura il dominio, per il quale hai ottenuto il certificato, affinche punti al ip locale del tuo nas.
Puoi anche installare e configurare il server DNS sul nas e configurare il router affinche assegni come 1°DNS l'ip locale del nas e come 2°dns quello locale del router (che sicuramente agisce anche da proxy DNS)
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2862Vac(3.9.0): Multiwan 2xVDSL(200M/30M,1+8IP)+USB4G :o
  • SWC: Netgear GS728TPv2 (PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2(23824u4),32GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.2(23824u4),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
    • DS1815+, DS1513+
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6

Avatar utente
fullspeed
Utente
Utente
Messaggi: 838
Iscritto il: lunedì 21 settembre 2015, 16:18
Località: Ad Sextum Lapidem

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da fullspeed » mercoledì 15 maggio 2019, 15:03

xenical ha scritto:
martedì 14 maggio 2019, 18:16
OK grazie.

Quindi se ho correttamente inteso, avendo io importato il certificato all´interno del Router fritzbox (e a patto di configuralo correttamente come gestore DNS della rete interna) dovrei aver risolto il problema.

Ora vedo come fare.
deduco che il certificato ti serva per il web server interno al router e con il quale lo amministri via browser, e non per il nas.
  • UPS: APC Back-UPS 700VA (BX700UI)
  • GTW: Modem Telecom Fibra (Release Modem: AGVTF_5.3.3); AP Tp-Link EAP245; ISP: TIM (100M/20M); IP: Public
  • SWC: Tp-Link TL-SG3210 JetStream
  • NAS: DS215j (DSM 5.2-5967 Update 9); 512MB; R1(2x HGST DeskStar NAS 3TB); LAN: 1x 1Gb/s
  • CLI: Ubuntu Linux 18.04.01 LTS & 16.04.5 LTS & 14.04.5 LTS; Apple Macbook Air (macOS Mojave); Microsoft Windows 10
    Altro: WETEK Hub (LibreElec 8.2.5, Kodi 17.6 Krypton), WETEK Play w/DVB-S2 tuner (LibreElec 8.2.5, Kodi 17.6 Krypton), Amazon Fire TV Stick, Yamaha RX-V481, Denon DRA-N4, 3x Android Phones, 1x iPhone, 1x iPad Air, 2x Amazon Kindle Fire HD
  • EXP: E5 - NET8 PC:W4,M4,L8

Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1728
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da dMajo » mercoledì 15 maggio 2019, 15:30

E' superfluo installare un certificato nel router:
1. qualsiasi certificato, anche quello auto-firmato/auto-generato, solitamente già presente nel router, farà da chiave di crittografia per il traffico https
2. non ha senso spendere soldi, o bruciare un certificato letsencrypt (che li eroga in numero limitato allo stesso soggetto), solo per evitare la lamentela del browser dovuta al certificato auto-prodotto (ovvero non firmato da un'autorità emittente certificata/riconosciuta, ma comunque in grado di svolgere in identico modo il compito di crittografica per la sessione ssl/https)
3. Le pagine di configurazione del router non dovrebbero MAI essere esposte sulla WAN o in extremis comunque blindate ad uno max due IP statici della sede remota. L'accesso " da ovunque" va fatto via VPN!!!
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2862Vac(3.9.0): Multiwan 2xVDSL(200M/30M,1+8IP)+USB4G :o
  • SWC: Netgear GS728TPv2 (PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2(23824u4),32GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.2(23824u4),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
    • DS1815+, DS1513+
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6

Rispondi

Torna a “Web Server (Web Station)”