Ottenere un certificato digitale per HTTPS con Let's Encrypt

Usare il NAS come Web Server (Drupal, Joomla, WordPress ...)
gokus80
Utente
Utente
Messaggi: 4
Iscritto il: domenica 5 maggio 2019, 12:42

Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da gokus80 »

Salve a tutti,

sto provando invano da qualche ora ad ottenere un certificato firmato con Let's Encrypt ma mi restituisce sempre lo stesso messaggio:
"Impossibile connettersi a Let's Encrypt. Verificare che DiskStation e il router presentino la porta 80 aperta per la convalida del dominio
Let's Encrypt da Internet. Tutte le altre comunicazioni con Let's Encrypt vanno su HTTPS e manterranno DiskStation protetto"

premetto che non sapendo se andava bene il dominio ddns personale xxxxx.no-ip.info ho creato anche un dominio xxxxx.synology.me (allegato 1) e infatti accedendo al portale synology nel mio account vedo come nell'allegato 2.
qualcuno puo aiutarmi gentilmente?
Non sono proprio un esperto...mi cimento!
Grazie anticipatamente
Allegati
allegato 2
allegato 2
account.gif (124.29 KiB) Visto 8107 volte
allegato 1
allegato 1
ddns.gif (147.94 KiB) Visto 8107 volte
burghy86
Moderatore
Moderatore
Messaggi: 11358
Iscritto il: martedì 11 settembre 2012, 18:59

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da burghy86 »

Apri la porta 80 sul router che punti al nas e riprova
NUOVO CANALE DISCORD
PARTECIPATE NUMEROSI:

https://discord.gg/McP3d4m2pG



Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio

siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
  • UPS: apc
  • GTW: fritzbox o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j, ds415+ 720+ dmv dal 6.2 alla 7. qnap ts212p ts22, all hd con wdred/ironwolf da 2/6tb
  • CLI: win 10, win11 e ubuntu
    [altro]
  • 3 smartphone android, lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
gokus80
Utente
Utente
Messaggi: 4
Iscritto il: domenica 5 maggio 2019, 12:42

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da gokus80 »

burghy86 ha scritto: domenica 5 maggio 2019, 13:22 Apri la porta 80 sul router che punti al nas e riprova
Grazei, sei stato gentilissimo, mi ha creato il certificato.
In seguito ho attivato l'HTTPS e il reindirizzamento da HTTP a HTTPS.
Svuoto la cache browser e riavvio il nas, accedo via browser al nas e comunque mi da sempre gli avvisi sulla sicurezza come in allegato.
Quando clicco su "certificato (nono valido)" mi fa vedere il certificato e lìemittente che lo ha rilasciato, e nello stato mi dice "valido"
Ho sbagliato qualche cosa?
Posso chiudere la porta 80 sul router?
Grazie mille di nuovo
Allegati
ssl.jpg
ssl.jpg (67.33 KiB) Visto 8101 volte
Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1962
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da dMajo »

no, la porta 80 deve rimanere aperta in quanto i certificati hanno validità di 90gg e vengono rinnovati automaticamente dal NAS prima della scaenza.

per vedere la connessione valida nel browser devi accedere con il nome FQDN corrispondente a quello del certificato e non con l'indirizzo IP.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M) :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
    • RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
    • DS1513+(4GB); DS115j
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E5: NET9 PC:W9,M0,L6

www.alldataee.com
xenical
Utente
Utente
Messaggi: 40
Iscritto il: lunedì 28 luglio 2014, 6:39

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da xenical »

dMajo ha scritto: lunedì 6 maggio 2019, 1:15 per vedere la connessione valida nel browser devi accedere con il nome FQDN corrispondente a quello del certificato e non con l'indirizzo IP.
Saresti cosi gentile da spiegare come fare?

Perche´pure io ho ottenuto il rinnovo del certificato tramite Let's Encrypt ma quando mi collego al NAS continua ad apparire "non sicuro".
Situazione analoga mi si presenta quando mi collego al router Fritzbox mi compare "non sicuro" (nonostante abbia seguito questa guida https://mille.click/fritzbox-zertifikat ... -besitzer/ per importare il certificato del NAS all´interno del Fritzbox).

Unica differenza e che se miccolego al nas la scritta non sicuro compare in rosso e https e´barrato, mentre su fritzbox e´in grigio
  • UPS:
  • GTW: Friz!Box 7950 ISP: VDSL Deutsch Telekom (130 M/40 M) IP: Public
  • SWC: TP-Link TL-SG108E
  • NAS: DS 218 Play (DSM 6.2.2-24922); R0(2xWDRed Pro 6TB) - DS 214 Play (6.2.2-24922); R1(2xWDRed 2TB) - DS 213j (6.2.2-24922); R1(2xWDRed 1TB)
  • CLI: PC Windows 10 Pro x64 - Laptop Lenovo Windows 10 x64 - Beelink M1 MiniPC
  • ALTRO:
  • iPad Pro, Galaxy S8
  • EXP: E4 - NET4 - PC:W8,M6,L4
Avatar utente
fullspeed
Utente
Utente
Messaggi: 1027
Iscritto il: lunedì 21 settembre 2015, 16:18
Località: Ad Sextum Lapidem

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da fullspeed »

dMajo ha scritto: lunedì 6 maggio 2019, 1:15 per vedere la connessione valida nel browser devi accedere con il nome FQDN corrispondente a quello del certificato e non con l'indirizzo IP.
xenical ha scritto: martedì 14 maggio 2019, 10:50 Saresti cosi gentile da spiegare come fare?
FQDN = Fully Qualified Domain Name

cioè il nome di dominio completo per il quale è stato generato il certificato, ad esempio www.miodominio.it

quindi il browser dovrà puntare a https://www.miodominio.it

è chiaro che il nome www.miodominio.it dovrà essere risolto nell'indirizzo IP pubblico del tuo router (e qui entra in gioco il DDNS) se accedi da fuori.

se accedi da fuori direttamente con l'indirizzo IP pubblico del router otterrai il medesimo errore, perché il browser controlla la corrispondenza tra quanto scritto nella URL ed il nome nel certificato.

anche se accedi dalla tua LAN interna direttamente con l'indirizzo IP interno del NAS otterrai il medesimo errore, perché il browser controlla la corrispondenza tra quanto scritto nella URL ed il nome nel certificato.

io ho configurato il NAS anche come DNS server della mia rete e ho fatto in modo che risolva il FQDN in questione nell'indirizzo interno del NAS, quindi mi funziona tutto sempre sia da dentro (DNS interno) che da fuori (DDNS)
"If two people always agree, one of them is useless. If they always disagree, both are useless." (Mark Twain)
  • UPS: APC Back-UPS 700VA (BX700UI)
  • ISP: Pianeta Fibra FTTH (1000M/1000M); IP: Public
  • Switch/Router PPPoE: Asus RT-AX53U (OpenWrt 22.03.5)
  • NAS: DS220+ (DSM 7.1.1-42962 Update 5); 6GB; R1(2x Toshiba N300 4TB); 2x 1Gb/s
  • NAS: DS215j (DSM 6.2.4-25556 Update 7); 512MB; R1(2x HGST DeskStar NAS 3TB); 1x 1Gb/s
  • CLI: Ubuntu Linux 22.04 LTS & 20.04 LTS; Apple Macbook Air (macOS Catalina); Microsoft Windows 10
    Altro: WETEK Hub (LibreElec 9.2.7, Kodi 18.9 Leia), Amazon Fire TV Stick, Yamaha RX-V481, Denon DRA-N4
  • EXP: E5 - NET8 PC:W4,M4,L8
xenical
Utente
Utente
Messaggi: 40
Iscritto il: lunedì 28 luglio 2014, 6:39

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da xenical »

OK grazie.

Quindi se ho correttamente inteso, avendo io importato il certificato all´interno del Router fritzbox (e a patto di configuralo correttamente come gestore DNS della rete interna) dovrei aver risolto il problema.

Ora vedo come fare.
  • UPS:
  • GTW: Friz!Box 7950 ISP: VDSL Deutsch Telekom (130 M/40 M) IP: Public
  • SWC: TP-Link TL-SG108E
  • NAS: DS 218 Play (DSM 6.2.2-24922); R0(2xWDRed Pro 6TB) - DS 214 Play (6.2.2-24922); R1(2xWDRed 2TB) - DS 213j (6.2.2-24922); R1(2xWDRed 1TB)
  • CLI: PC Windows 10 Pro x64 - Laptop Lenovo Windows 10 x64 - Beelink M1 MiniPC
  • ALTRO:
  • iPad Pro, Galaxy S8
  • EXP: E4 - NET4 - PC:W8,M6,L4
Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1962
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da dMajo »

Il certificato deve essere installato sul server web (presumo il nas).
Sul nas per il sito ti conviene creare un host virtuale con il nome del dominio certificato e assegnargli il certificato ottenuto da LetsEncrypt.
PS: Il nas riesce a gestire/rinnovare in automatico più certificati per diversi domini. E li serve anche correttamente con il proprio server web usando i host virtuali.

Se il router ha un server DNS configura il dominio, per il quale hai ottenuto il certificato, affinche punti al ip locale del tuo nas.
Puoi anche installare e configurare il server DNS sul nas e configurare il router affinche assegni come 1°DNS l'ip locale del nas e come 2°dns quello locale del router (che sicuramente agisce anche da proxy DNS)
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M) :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
    • RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
    • DS1513+(4GB); DS115j
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E5: NET9 PC:W9,M0,L6

www.alldataee.com
Avatar utente
fullspeed
Utente
Utente
Messaggi: 1027
Iscritto il: lunedì 21 settembre 2015, 16:18
Località: Ad Sextum Lapidem

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da fullspeed »

xenical ha scritto: martedì 14 maggio 2019, 18:16 OK grazie.

Quindi se ho correttamente inteso, avendo io importato il certificato all´interno del Router fritzbox (e a patto di configuralo correttamente come gestore DNS della rete interna) dovrei aver risolto il problema.

Ora vedo come fare.
deduco che il certificato ti serva per il web server interno al router e con il quale lo amministri via browser, e non per il nas.
"If two people always agree, one of them is useless. If they always disagree, both are useless." (Mark Twain)
  • UPS: APC Back-UPS 700VA (BX700UI)
  • ISP: Pianeta Fibra FTTH (1000M/1000M); IP: Public
  • Switch/Router PPPoE: Asus RT-AX53U (OpenWrt 22.03.5)
  • NAS: DS220+ (DSM 7.1.1-42962 Update 5); 6GB; R1(2x Toshiba N300 4TB); 2x 1Gb/s
  • NAS: DS215j (DSM 6.2.4-25556 Update 7); 512MB; R1(2x HGST DeskStar NAS 3TB); 1x 1Gb/s
  • CLI: Ubuntu Linux 22.04 LTS & 20.04 LTS; Apple Macbook Air (macOS Catalina); Microsoft Windows 10
    Altro: WETEK Hub (LibreElec 9.2.7, Kodi 18.9 Leia), Amazon Fire TV Stick, Yamaha RX-V481, Denon DRA-N4
  • EXP: E5 - NET8 PC:W4,M4,L8
Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1962
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Ottenere un certificato digitale per HTTPS con Let's Encrypt

Messaggio da dMajo »

E' superfluo installare un certificato nel router:
1. qualsiasi certificato, anche quello auto-firmato/auto-generato, solitamente già presente nel router, farà da chiave di crittografia per il traffico https
2. non ha senso spendere soldi, o bruciare un certificato letsencrypt (che li eroga in numero limitato allo stesso soggetto), solo per evitare la lamentela del browser dovuta al certificato auto-prodotto (ovvero non firmato da un'autorità emittente certificata/riconosciuta, ma comunque in grado di svolgere in identico modo il compito di crittografica per la sessione ssl/https)
3. Le pagine di configurazione del router non dovrebbero MAI essere esposte sulla WAN o in extremis comunque blindate ad uno max due IP statici della sede remota. L'accesso " da ovunque" va fatto via VPN!!!
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M) :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
    • RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
    • DS1513+(4GB); DS115j
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E5: NET9 PC:W9,M0,L6

www.alldataee.com
Rispondi

Torna a “Web Server (Web Station)”