Geldig SSL Certificaat installeren in Synology DSM 6.0

Geen geldig SSL CertificaatElke Synology NAS komt standaard met een SSL Certificaat. Dit SSL certificaat is een generiek SSL certificaat zonder informatie over de domeinnaam, waardoor je standaard een dikke foutmelding krijgt als je de NAS via https benadert. Op zich kun je deze foutmelding prima negeren en het SSL certificaat aan de vertrouwde certificaten toevoegen, maar voor de netheid is een volledig SSL certificaat toch wel leuker.

In DSM 6.0 kun je gebruik maken van Let’s Encrypt om een gratis certificaat aan te maken. Direct vanuit DSM. Als dat lukt raad ik je aan om het op die manier te doen, want dat werkt heel snel en eenvoudig. Alleen je mailadres en domeinnaam invullen is in principe voldoende. Voor Let’s Encrypt moet echter wel poort 80 openstaan en de webserver package moet geïnstalleerd en gestart zijn (bij aanmaken en bij vernieuwen wat elke 90 dagen automatisch plaatsvindt). Mocht dat geen optie zijn, bijvoorbeeld omdat je poort 80 al voor een andere server in gebruik hebt, of mocht je een foutmelding krijgen bij het maken van een certificaat (zoals ik), dan kun je ook een certificaat aanmaken via Startssl.com. Dat is iets meer werk, maar je hoeft er verder geen specifieke poorten voor open te hebben staan. Als je dus bijvoorbeeld alleen DSM of FileStation via https wilt kunnen gebruiken dan is StartSSL wellicht een betere optie dan Let’s Encrypt.

Hieronder laat ik stap voor stap zien hoe je zo’n SSL certificaat via Startssl.com aanmaakt en installeert op de NAS. Als je een beetje doorklikt ben je met een minuut of 5 klaar 😉

Wat heb je nodig?

  • Een Synology NAS met DSM 6.0 of nieuwer (hoewel het ook wel werkt op lagere versies, maar daar is deze handleiding niet op gericht)
  • Een eigen domeinnaam (dus geen quickconnect of dyndns etc., maar echt jouwdomein.nl) welke verwijst naar je NAS.
  • Je moet mail kunnen ontvangen op postmaster@jouwdomein.nl, hostmaster@jouwdomein.nl of webmaster@jouwdomein.nl. Een eenvoudige forward naar je normale mail adres is natuurlijk prima.

Het enige wat je hoeft te doen is onderstaande screenshots stap voor stap volgen. De handleiding is zeer uitgebreid maar laat je daar zeker niet door afschrikken. Dat is alleen maar omdat van elke stap een screenshot is toegevoegd zodat ook gebruikers zonder ervaring met deze materie in principe zonder problemen een certificaat kunnen installeren. 

SSL Certificaat maken: aan de slag

Meld je aan op de NAS. Open het Configuratiescherm en klik rechtsboven Geavanceerde modus aan om alle opties zichtbaar te maken.

Schermafbeelding 2016-04-04 om 10.23.06

Klik vervolgens op Beveiliging.

Schermafbeelding 2016-04-04 om 10.23.13

Open het tabblad Certificaat en klik vervolgens op Toevoegen.

Schermafbeelding 2016-04-04 om 10.23.30

Kies de bovenste optie: Een CSR (Certificate Signing Request) aanmaken en klik Volgende.

Schermafbeelding 2016-04-04 om 10.23.38

Vul in het volgende scherm de gegevens van je domeinnaam in en klik op Volgende.

Schermafbeelding 2016-04-04 om 10.24.40

Klik in het volgende scherm op Downloaden. Je downloadt nu een Archive.zip. Pak deze uit. Je hebt daarna 2 bestanden: server.csr en server.key. Deze hebben we verderop weer nodig.

Schermafbeelding 2016-04-04 om 10.24.47

Ga nu in (een nieuw tabblad in) je browser naar www.startssl.com en klik Start Now for Free SSL Certificate.

Schermafbeelding 2016-04-04 om 10.25.29

Klik vervolgens op Sign-up. Je kunt ongetwijfeld ook gelijk bovenin de balk op Sign-up klikken overigens, maar ik had geen zin om de screenshots opnieuw te maken 😉

Schermafbeelding 2016-04-04 om 10.25.40

Kies je land en vul je email adres in en klik Send verification code. Je ontvangt nu een mail met deze code welke je in het daaropvolgende scherm invult.

Schermafbeelding 2016-04-04 om 10.27.33

StartSSL installeert nu een certificaat in je browser. Deze is nodig om later weer in te kunnen loggen. Het is overigens niet onverstandig hiervan een backup te maken, want je certificaat is een jaar geldig. Daarna moet je weer inloggen om het certificaat te vernieuwen.

Schermafbeelding 2016-04-04 om 10.29.00

Nadat het certificaat is geïnstalleerd kom je weer op de voorpagina. Klik weer op Start Now for Free SSL Certificate.

Schermafbeelding 2016-04-04 om 10.29.17

Deze keer klikken we echter op Authenticate.

Schermafbeelding 2016-04-04 om 10.29.26

Vul het email adres in welke je hebt gebruikt bij de sign-up en klik Send One Time Password (wat is het toch met die hoofdletters?).

Schermafbeelding 2016-04-04 om 10.29.42

Je ontvangt wederom een mail met een code. Deze code copy-paste je in het daarvoor bedoelde veld en je klikt op Login.

Schermafbeelding 2016-04-04 om 10.29.51

Na deze ietwat omslachtige, maar veilige methode om een account aan te maken ben je nu eindelijk ingelogd. Klik op tabblad Validations Wizard, selecteer Domain Validations (for SSL certificate) en klik Continue.

Schermafbeelding 2016-04-04 om 10.34.51

Vul vervolgens je domeinnaam in zonder voorvoegsels etc. Alleen jouwdomein.nl dus. Klik Continue.

Schermafbeelding 2016-04-04 om 10.35.04

Kies vervolgens het mailadres waar je toegang toe hebt (zie “Wat heb je nodig” aan het begin van deze handleiding) en klik Send Validation Code. Je ontvangt weer een code per mail welke je invult in het veld Verification Code. Klik vervolgens op Validation.

Schermafbeelding 2016-04-04 om 10.35.13

Hiermee is geverifieerd of je de eigenaar bent van deze domeinnaam. Klik vervolgens op To “Order SSL Certificate”.

Schermafbeelding 2016-04-04 om 10.35.39

Vul in het tekstveld maximaal 5 volledige hostnamen in (bijv. iets.jouwdomein.nl, ietsanders.jouwdomein.nl, jouwnas.jouwdomein.nl etc., zolang het maar eindigt op .jouwdomein.nl). In het voorbeeld gebruik ik testnas.mobile-harddisk.nl. Vul hier uiteraard wel de URL in waarmee je je NAS kunt benaderen. Als je je NAS ook gebruikt voor een website vul je hier dus ook www.jouwdomein.nl in.

Schermafbeelding 2016-04-04 om 10.36.10

Scroll iets naar beneden en selecteer de optie Generated by Myself (.cer PEM format certificate). Open nu server.csr uit het begin van de handleiding in een teksteditor (notepad of iets dergelijks) en kopieer de volledige inhoud van dit bestand, inclusief de —BEGIN en —END regels in het tekstveld op startssl.com en klik Submit.

Schermafbeelding 2016-04-04 om 10.36.18

Klik in het volgende scherm op de link here om je certificaat te downloaden. Je krijgt nu wederom een .zip bestand welke je uit moet pakken. Vervolgens tref je nog een aantal .zip bestanden aan. Pak het bestand met de naam ApacheServer.zip uit.

Schermafbeelding 2016-04-04 om 10.36.55

Ga weer terug naar de NAS (Configuratiescherm –> Beveiliging –> Certificaat) en klik op Toevoegen.

Schermafbeelding 2016-04-04 om 10.37.19

Kies Een nieuw certificaat toevoegen en klik Volgende.

Schermafbeelding 2016-04-04 om 10.37.30

Geef je SSL certificaat een naam. Maakt niet uit wat, want dit is voor jezelf. Kies Certificaat importeren en kies Instellen als standaardcertificaat.

Schermafbeelding 2016-04-04 om 10.37.45

Selecteer in het volgende scherm de drie benodigde bestanden:

  • Persoonlijke sleutel –> server.key uit de eerste download (archive.zip)
  • Certificaat –> 2_jouwdomein.crt uit de ApacheServer.zip
  • Intermediair certificaat–> 1_root_bundle.crt uit ApacheServer.zip

Klik OK.

Schermafbeelding 2016-04-04 om 10.38.26

Je ziet het certificaat nu in het rijtje staan. Klik nu op Configureren.

Schermafbeelding 2016-04-04 om 10.38.38

Selecteer nu twee keer het nieuwe certificaat (dus niet synology.com) uit de dropdown en klik vervolgens op OK.

Schermafbeelding 2016-04-04 om 10.41.14

De webserver herstart nu.  Dit duurt eventjes.

Schermafbeelding 2016-04-04 om 10.41.28

Tik vervolgens in je browser: https://jouwnas.jouwdomein.nl:5001 met s dus achter de http). Als het goed is zie je nu geen foutmelding meer, en zie je een (groen) slotje in de adresbalk staan. Gefeliciteerd. Je hebt zojuist een geldig SSL certificaat aangemaakt en geïnstalleerd.

Nu wel een geldig SSL Certificaat

Optioneel: SSL verbinding forceren

Als je wilt dat de NAS alleen nog via HTTPS gebruikt kan worden ga je in DSM naar Configuratiescherm –> Netwerk –> Tabblad DSM-instellingen en vink je de optie HTTP-verbindingen automatisch omleiden naar HTTPS aan.

Schermafbeelding 2016-04-04 om 10.43.22

32 gedachten over “Geldig SSL Certificaat installeren in Synology DSM 6.0

  1. Ik krijg alleen steevast een foutmelding als ik dat probeer. Bovenstaande procedure kan ook binnen een minuut of 5 en dan ben je weer een jaar onder de pannen. De certificaten van Let’s Encrypt zijn 90 dagen geldig las ik ergens. Heb je al ervaring kunnen opdoen met het vernieuwen van zo’n certificaat? Ben wel benieuwd.

  2. De enige keer dat ik een foutmelding kreeg als ik het certificaat probeerde aan te vragen via een ander adres. B.v. Het ip-adres.

    Met het (automatische) vernieuwen heb ik nog geen ervaring. Je krijgt wel een mail als het certificaat gaat verlopen.

    Veel mensen hebben geen domeinnaam en gebruiken de synology.me adressen.

  3. alweer een jaar geleden had ik op de “oude” manier mijn certificaat werkend. Nu moet ik hem verlengen, maar weet niet precies hoe dat moet. Ik heb wel een nieuw certificaat kunnen maken, maar krijg bij het installeren steeds dat certificaat en sleutel niet overeen komen. Weet iemand (of heeft iemand een vergelijkbare gebruiksaanwijzing voor) de oplossing?

  4. Geweldige instructie Björn, dank! Er zit volgens mij nog een klein foutje in; na de tweede screendump staat: ‘Open het tabblad Certificaat en klik vervolgens op Toevoegen.’. Volgens mij moet dat zijn; ‘Open het tabblad Certificaat en klik vervolgens op CSR.’.

    @Rob; ik heb net hetzelfde doorlopen. Je moet je certificaat opnieuw aanvragen. Je hoeft hiervoor in de DS niet alles opnieuw te doen, wel een nieuwe server.key en server.csr aanmaken. En je nieuwe certificaat in je DS zoals hierboven beschreven via configureren koppelen aan je services.

    Ik heb nog wel een probleempje; mijn oude certificaat had een alternatieve naam, de nieuwe niet. Dus oud was ‘www.naam.nl’ en ‘naam.nl’, de nieuwe alleen ‘www.naam.nl’.

  5. Even rustig de tijd genomen en stap voor stap alles opnieuw gedaan…….en het werkt weer. een nieuw certificaat voor een jaar! Bedankt voor deze prachtige stap voor stap uitleg. Hij is makkelijker dan de “oude”.

  6. @Rob het is inderdaad een beetje makkelijker geworden.
    @Kees het zou kunnen dat je inderdaad gelijk op CSR kunt klikken als kortere route.

  7. In de voorwaarden voor een Startssl-certificaat staat vermeld dat het domein moet verwijzen.naar de NAS. Hoe doe je dat?

  8. @Arno; je hebt een domeinnaam nodig die verwijst naar het (externe) adres van je NAS. Dus bijvoorbeeld; ‘mijndomein.nl’ of ‘deNASvanArno.com’. Dankzij het certificaat kan je vervolgens je NAS benaderen via HTTPS zonder dat je een foutmelding over de betrouwbaarheid van de verbinding krijgt.
    Een domeinnaam vraag je aan bij een provider.

  9. @Kees Het gaat mij om de verwijzing zelf. Ik heb een domein. Ik heb een NAS. VIa DDNS kan ik mijn NAS van buitenaf bereiken. Er moet dus ergens bij het domein in technische zin een verwijzing komen naar het DDNS. Hoe doe ik dat?

  10. @Kees. Inmiddels op internet kunnen op welke wijze ik mijn domein kan koppelen aan mijn NAS. Dank voor je reactie.

  11. Top mijn oude StartSSl was al tijdje verlopen en de oude handleiding was niet meer actueel.
    Nu kan ik weer een jaar vooruit, bedankt.

    Enige waar ik wat ik fout deed was “Open het tabblad Certificaat en klik vervolgens op Toevoegen”
    Ik had in dit scherm direct links boven op toevoegen geklikt in plaats van CSR.
    Ik moest dit 3x lezen voordat ik doorhad wat ik fout deed, hierna was het zo gepiept.

  12. Vraagje,
    Moet je de subdomein testnas.mobile-harddisk.nl naar je thuis ip adres verwijzen? En moet dit bij de host provider waar je de domein hebt aangemaakt doorgeven?

  13. Super, dank! Dit stond al jaren op het lijstje om het een keer goed te regelen.

    Als tip: Open het tabblad Certificaat en klik vervolgens op Toevoegen –> om het .csr bestand aan te maken moet je in dit scherm op de knop CSR klikken en niet op toevoegen. Uit dat scherm is inmiddels de optie om je CSR aan te maken uitgehaald.

  14. Ik heb op de NAS een web-pagina gemaakt voor het versturen van een WOL-pakket naar een PC. Dit betreft een php-script, die ik vorig jaar nog kon gebruiken.
    Maar nu, met het nieuwe certificaat en vermoedelijk nieuwe versies van Chrome / IE, krijg ik een foutmelding.

    Chrome : “ERR_SSL_PROTOCOL_ERROR”
    IE : Deze pagina kan niet worden weergegeven => Schakel in Geavanceerde instellingen TLS 1.0, TLS 1.1 en TLS 1.2 in en probeer opnieuw verbinding te maken met https://xxxxx. Als dit probleem zich blijft voordoen, wordt er voor deze site mogelijk gebruikgemaakt van een protocol of coderingssuite als RC4 (koppeling voor informatie) die niet wordt ondersteund. Dit wordt als onveilig beschouwd. Neem contact op met de sitebeheerder.

    Iemand een idee hoe ik dit opgelost krijg???

  15. hallo,
    ik hoop dat iemand me kan helpen. ik heb via synology.me een validatie aagevraagd. heb alle stappen gevolgd maar bij verificatie email staan alleen emailadressen van webmaster en admin van synology.me . deze kan ik zelf niet bij. hoe kan ik dit oplossen. of mijn emailadres zelf invullen. hoop dat iemand me kan helpen

  16. Werkt super, alleen krijg ik nu een foutmelding bij het controleren van e-mail via mijn Iphone: “Controleren van SSL-server ‘imap.*******.nl’ niet mogelijk”. Wat heb ik fout gedaan?

  17. Heb je bij het aanmaken van het certificaat wel het subdomein imap.*****.nl toegevoegd? Zo niet, dan gewoon imap. weglaten en *****.nl als mailserver invullen.

  18. Ik krijg nu bij de laatste ios update 10.2.1 een SSL-fout bij het controleren van mijn mail op de iphone. Bedankt Apple…
    Weet iemand een betaalbaar SSL-alternatief waar Apple wel mee akkoord gaat ?

  19. Help!!

    heb het stappenplan helemaal uitgevoerd en na het opstarten van de server krijg ik de volgende foutcode:
    Fout tijdens het verbinden met 192.168.100.56:5001. Certificaat van peer is ingetrokken. Foutcode: SEC_ERROR_REVOKED_CERTIFICATE

    Nu komt ik echter niet meer in mijn nas. Weet iemand een oplossing hoe ik daar weer in kan komen?

  20. Hoi Zotteke,

    Heb je alleen maar een https poort open staan naar je synology? Overigens, normaal gesproken kan je bij een dergelijke waarschuwing vaak ook op “doorgaan” klikken.

    Als backup optie zou je nog kunnen proberen via synology assistent weer in je synology te komen.

    Lukt dat allemaal niet? Reser knop achter op je synology indrukken, admin account wordt gereset en poort 5000 is volgens mij automatisch weer beschikbaar.

  21. Ik heb het nu ook eindelijk een keer voor elkaar, via de wizard in DSM om een Let’s encrypt certificaat te verkrijgen wilde maar niet lukken. Helaas kwam ik er ook vrij snel achter dat Internet Explorer gewoon werkte maar dat Google Chrome nog steeds een foutmelding geeft, ik snapte er niets van totdat ik op de juiste woorden ging Googlen en erachter kwam dat Google StartSSL certificaten ook niet meer vertrouwd 🙁

    Misschien handig om helemaal bovenaan de pagina een waarschuwing te plaatsen…

    Maar alsnog bedankt voor de perfecte uitleg!

  22. Heldere uitleg. Bedankt!
    Certificaat succesvol geladen. Toch geeft Chrome een melding dat de site onveilig is. Mijn mobile telefoon geeft aan dat het certificaat geldig is. Wat kan hier fout gaan?

  23. De certificaten van Start.com werken niet meer vanaf Oktober 2016 omdat ze door Mozilla en nu ook Chrome niet meer vertrouwd worden. Enkel bij de Edge-browser werken ze nog voorlopig. Geen nood, van Comodo kan je voor 8 euro/jaar (20 euro/3jaar) excl. BTW een single domain certificaat bemachtigen. Je volgt hiervoor exact dezelfde procedure als boven beschreven. Ik heb mijn Comodo certificaat aangeschaft bij Xolphin (sslcertificaten.nl). Hiervoor moest ik mijn gegevens en domeinnaam opgeven en de server.csr bestand in het bestemde veld daarvoor kopiëren. Ze checken even of jij wel degelijk de eigenaar bent van de domeinnaam, en dan krijg je een zip-bestand toegestuurd (factuur volgt achteraf). Hetgeen dat je nodig hebt is uiteraard je eigen certificaat (domeinnaam.crt), je zelf gegenereerde server.key, en dan het root-certificaat. Hiervoor moet je in het zip-bestaand de map “Root Certificates” openen, en alle drie de certificaten (één Global en twee intermediate) openen in notepad en in een leeg venster in notepad ze alledrie achter elkaar plakken in deze volgorde :
    1) AddTrustExternalCARoot.crt
    2) ComodoRSAAddTrustCA.crt
    3) ComodoRSADomainValidationSecureServerCA.crt
    Sla dit samengesteld bestand op als Root-Bundle.crt
    In hetzelfde screenshot als hierboven “Certificaten Importeren” doe je nu het volgende :
    Persoonlijke sleutel –> server.key uit de eerste download (archive.zip) Certificaat –> domeinnaam.crt uit dommeinnaam.zip van Xolphin, en als laatste Intermediair certificaat–> Root-Bundle.crt dat je hierboven hebt samengesteld.
    Works like a charm !

    Lees verder op:

  24. Na 1 van de laatste DSM updates ging het verkrijgen van een gratis Let’s Encrypt certificaat voor mijn domein, via de wizard in DSM, zonder problemen, en ook nog voor 9 subdomeinen!

Een reactie plaatsen