Ottenere un certificato digitale per HTTPS con Let's Encrypt

[gokus80]

Salve a tutti,

sto provando invano da qualche ora ad ottenere un certificato firmato con Let's Encrypt ma mi restituisce sempre lo stesso messaggio:
"Impossibile connettersi a Let's Encrypt. Verificare che DiskStation e il router presentino la porta 80 aperta per la convalida del dominio
Let's Encrypt da Internet. Tutte le altre comunicazioni con Let's Encrypt vanno su HTTPS e manterranno DiskStation protetto"

premetto che non sapendo se andava bene il dominio ddns personale xxxxx.no-ip.info ho creato anche un dominio xxxxx.synology.me (allegato 1) e infatti accedendo al portale synology nel mio account vedo come nell'allegato 2.
qualcuno puo aiutarmi gentilmente?
Non sono proprio un esperto...mi cimento!
Grazie anticipatamente

[burghy86]

Apri la porta 80 sul router che punti al nas e riprova

[gokus80]

Apri la porta 80 sul router che punti al nas e riprova

Grazei, sei stato gentilissimo, mi ha creato il certificato.
In seguito ho attivato l'HTTPS e il reindirizzamento da HTTP a HTTPS.
Svuoto la cache browser e riavvio il nas, accedo via browser al nas e comunque mi da sempre gli avvisi sulla sicurezza come in allegato.
Quando clicco su "certificato (nono valido)" mi fa vedere il certificato e lìemittente che lo ha rilasciato, e nello stato mi dice "valido"
Ho sbagliato qualche cosa?
Posso chiudere la porta 80 sul router?
Grazie mille di nuovo

[dMajo]

no, la porta 80 deve rimanere aperta in quanto i certificati hanno validità di 90gg e vengono rinnovati automaticamente dal NAS prima della scaenza.

per vedere la connessione valida nel browser devi accedere con il nome FQDN corrispondente a quello del certificato e non con l'indirizzo IP.

[xenical]

per vedere la connessione valida nel browser devi accedere con il nome FQDN corrispondente a quello del certificato e non con l'indirizzo IP.

Saresti cosi gentile da spiegare come fare?

Perche´pure io ho ottenuto il rinnovo del certificato tramite Let's Encrypt ma quando mi collego al NAS continua ad apparire "non sicuro".
Situazione analoga mi si presenta quando mi collego al router Fritzbox mi compare "non sicuro" (nonostante abbia seguito questa guida https://mille.click/fritzbox-zertifikat ... -besitzer/ per importare il certificato del NAS all´interno del Fritzbox).

Unica differenza e che se miccolego al nas la scritta non sicuro compare in rosso e https e´barrato, mentre su fritzbox e´in grigio

[fullspeed]

per vedere la connessione valida nel browser devi accedere con il nome FQDN corrispondente a quello del certificato e non con l'indirizzo IP.

Saresti cosi gentile da spiegare come fare?

FQDN = Fully Qualified Domain Name

cioè il nome di dominio completo per il quale è stato generato il certificato, ad esempio www.miodominio.it

quindi il browser dovrà puntare a https://www.miodominio.it

è chiaro che il nome www.miodominio.it dovrà essere risolto nell'indirizzo IP pubblico del tuo router (e qui entra in gioco il DDNS) se accedi da fuori.

se accedi da fuori direttamente con l'indirizzo IP pubblico del router otterrai il medesimo errore, perché il browser controlla la corrispondenza tra quanto scritto nella URL ed il nome nel certificato.

anche se accedi dalla tua LAN interna direttamente con l'indirizzo IP interno del NAS otterrai il medesimo errore, perché il browser controlla la corrispondenza tra quanto scritto nella URL ed il nome nel certificato.

io ho configurato il NAS anche come DNS server della mia rete e ho fatto in modo che risolva il FQDN in questione nell'indirizzo interno del NAS, quindi mi funziona tutto sempre sia da dentro (DNS interno) che da fuori (DDNS)

[xenical]

OK grazie.

Quindi se ho correttamente inteso, avendo io importato il certificato all´interno del Router fritzbox (e a patto di configuralo correttamente come gestore DNS della rete interna) dovrei aver risolto il problema.

Ora vedo come fare.

[dMajo]

Il certificato deve essere installato sul server web (presumo il nas).
Sul nas per il sito ti conviene creare un host virtuale con il nome del dominio certificato e assegnargli il certificato ottenuto da LetsEncrypt.
PS: Il nas riesce a gestire/rinnovare in automatico più certificati per diversi domini. E li serve anche correttamente con il proprio server web usando i host virtuali.

Se il router ha un server DNS configura il dominio, per il quale hai ottenuto il certificato, affinche punti al ip locale del tuo nas.
Puoi anche installare e configurare il server DNS sul nas e configurare il router affinche assegni come 1°DNS l'ip locale del nas e come 2°dns quello locale del router (che sicuramente agisce anche da proxy DNS)

[fullspeed]

OK grazie.

Quindi se ho correttamente inteso, avendo io importato il certificato all´interno del Router fritzbox (e a patto di configuralo correttamente come gestore DNS della rete interna) dovrei aver risolto il problema.

Ora vedo come fare.

deduco che il certificato ti serva per il web server interno al router e con il quale lo amministri via browser, e non per il nas.

[dMajo]

E' superfluo installare un certificato nel router:
1. qualsiasi certificato, anche quello auto-firmato/auto-generato, solitamente già presente nel router, farà da chiave di crittografia per il traffico https
2. non ha senso spendere soldi, o bruciare un certificato letsencrypt (che li eroga in numero limitato allo stesso soggetto), solo per evitare la lamentela del browser dovuta al certificato auto-prodotto (ovvero non firmato da un'autorità emittente certificata/riconosciuta, ma comunque in grado di svolgere in identico modo il compito di crittografica per la sessione ssl/https)
3. Le pagine di configurazione del router non dovrebbero MAI essere esposte sulla WAN o in extremis comunque blindate ad uno max due IP statici della sede remota. L'accesso " da ovunque" va fatto via VPN!!!