Business Active Backup for Business --> Agent stellt Dienst wegen geändertem Zertifikat ein.

[story]

Hallo zusammen,

ich nutze Active Backup for Business und habe ein Zertifikat auf meiner Diskstation von Lets Encrypt zertifiziert. Dies funktioniert auch wunderbar wenn ich die Adresse meiner Diskstation in Browser eingebe.

Seit einigen Monaten nutze ich nun den Active Backup for Business Agent auf 3 Clients. Jedesmal wenn sich nun das Zertifikat erneut, stellen die Agents auf den Clients den Dienst ein weil sie das Zertifikat für unsicher halten weil es sich geändert hat. Ich muss dann immer in jedem Agent erst wieder sagen das er dem Zertifikat vertrauen kann und dann funktioniert es wieder bis sich das Zertifikat erneuert.

Dazu muss ich sagen ich habe nicht die öffentliche Adresse in den Agent eingegeben (z.B. xxxxxxx.synology.me bei der das Zertifikat funktioniert) sondern den Hostname oder auch schon die LAN IP der Diskstation. Da die Internet Leitung Performance mäßig einfach zu schwach für so viele Backup Daten.

Ich habe es auch schon versucht mit einem selbst zertifizierten Zertifikat das ich auf den Hostnamen ausgestellt habe. Und als Dienst den Actrive Backup zugewiesen.

Funktioniert leider alles nicht und so langsam gehen mir die Ideen aus.

Weiß hier jemand die Lösung?
Kann man den Active Backup etwa nur über die öffentliche Adresse verwenden?
Wie sichert man dann PCs die Offline sind mit dem Agent?

Vielen Dank jetzt schon für euere Hilfe.

 

[Graydens251084]

Hi

Konntest du das Problem beheben, ich steh vor dem gleichen

lg

 

[blurrrr]

Ein Zertifikat beglaubigt lediglich den FQDN ("host.domain.tld") und "nichts" anderes (weder IP-Adressen, noch interne Namen). Spricht man das ganze über den regulären FQDN an, welcher im Zertifikat angegeben wurde, wird neuen Zertifikaten auch automatisch vertraut (nicht, weil dem Zertifikat vertraut wird, sondern der darüberstehenden Zertifizierungsstelle).

Nimmt man nun selbstsignierte Zertifikate, werden diesen erstmal nicht vertraut (das muss man normalerweise händisch anstossen). Selbiges gilt dann auch für ein FQDN-LE-Zertifikat, wenn man den Host rein "intern" anspricht (ohne passende interne DNS-Records):

Interner Name wird angesprochen, FQDN-LE-Zertifikat wird angezeigt, passt nicht zum Namen, somit "unsicher" -> muss man manuell bestätigen. Das mag dann eine Weile halten, weil man gesagt hat: "Jou, ist ok, merk Dir das und jut ist", sicher. Allerdings nur genau SO lange, bis das Zertifikat erneuert wird, denn dann ist es ein "anderes" Zertifikat und muss wieder händisch bestätigt werden.

Alternativ nimmt man ein selbstgebasteltes mit einer entsprechend langen Laufzeit (1 Jahr oder länger), damit man sich das ständige bestätigen erspart.

 

[derek]

Hi,

ich nutze und kenne Active Backup for Business nicht, aber evtl. wäre das ein Ansatz:
Sind es Windows Clients?
Benötigen diese Zugriff auf xxxxxxx.synology.me, weil diese evtl. auch außerhalb des LANs verwendet werden und auf Dienste die unter xxxxxxx.synology.me laufen zugreifen?
Wenn nein, dann wäre evtl. es für euch eine Möglichkeit in der hosts Datei (https://de.wikipedia.org/wiki/Hosts_(Datei)) dafür einen Eintrag anzulegen und xxxxxxx.synology.me auf die interne IP des NAS einzustellen.

VG
Derek

 

[Graydens251084]

Dankeschön für die ausführliche Erklärung

 

[Perry2000]

Passiert hier leider auch.
10 WIN Arbeitsstationen und 3 Server.
Immer mal wieder Vertrauen und wenn man es übersieht, wird ohne Warnung nicht mehr gesichert......
Kann es echt nicht sein.

 

[niklas]

Warum nehmt ihr für das Active Backup nicht das Zertifikat von Synology?
Wenn das eh nur im internen Netz verwendet wird, und es ist bis 2037 gültig.

Grüße

 

[SoniX]

@blurrrr

Nutze kein Active Backup, aber bei mir wars genau das gleiche Thema mit Drive (oder wie das damals auch hieß) und ich hatte von extern mit Domainnamen gesichert. Alle drei Monate nach einem Zertifikatswechsel stiegen mir alle PCs aus und ich musste zu jedem hingehen und das gültige Zertifikat bestätigen und den Sync wieder starten. War mir auf Dauer dann aber auch zu dumm.

 

[blurrrr]

@SoniX : Die LE-Zertifikate? Denen sollte doch sowieso automatisch vertraut werden, wenn der Host korrekt angesprochen wird (lt. Hostname/Alt-Name im Zertifikat)?

 

[Fusion]

Das schon, aber am Anfang haben sie entweder noch den Hash oder was anderes mit kontrolliert, dass der zyklische Wechsel auch moniert / bestätigt werden musste.
Das hatte ich jetzt aber schon ne ganze Weile nicht mehr. Kann mich jedenfalls nicht erinnern, dass ich 2020 jemals was an der Drive Verbindung ändern musste.

 

[SoniX]

Gibts hier schon eine Lösung?

Inzwischen nutze ich auch Active Backup. Natürlich intern und habe keine Lust dass extern freizugeben. Das Zertifikat läuft aber klarerweise auf die Domain und nicht auf die IP. Und alle drei Monate stellen dann alle Clienten einfach still und heimlich das Backup ein.

Das muss man doch lösen können!?

Zumindest eine Fehlermeldung wenn der Client nicht sichert weil etwas nicht passt?

 

[NSFH]

Das gleiche passiert übrigens auch bei der App DS FILE. Fehlermeldung: Ist ungültig da selbstsigniert oder kompromittiert.
Nach kostenpflichtiger Verlängerung des Zertifikats musste DS FILE überall deinstalliert werden und nach der Neuinstallation lief es wieder.

 

[blurrrr]

Geil... da simma wieder... Premium-Produkt und so... Schön, dass man bei Firmen einfach eine MDM nutzen kann, App runterschmeissen und wieder installieren, was aber vermutlich nicht dabei helfen wird, dass die gespeicherten Userdaten wieder weg sind und man mitunter noch zig Anrufe bekommt, weil die User ihre Zugangsdaten nicht mehr kennen? Verhalten sich schon wie Microsoft, sorgen auch immer für Arbeitsbeschaffungsmaßnahmen damit den Admins nicht langweilig wird ?

 

[Jagnix]

Ist nur eine abgewandelte Form von "Wer schreibt der bleibt" .

 

[Perry2000]

Bei uns war es heute auch wieder so weit. 10 PCs und 3 Server wurden nicht mehr gesichert, da angeblich das Zertifikat geändert hat.
Also an 13 Orten das Zertifikat VOR Ort neu bestätigen und alles wieder gut bis zum nächsten Mal.
Kann es eigentlich nicht sein dass das alle paar Wochen gemacht werden muss und man es vor Allem nicht einmal merkt, da keinerlei Fehlermeldung.
Wenigsten weiss ich jetzt dass kein Benutzer im Corona Zwangs Urlaub ist

 

[zweibein]

Warum nehmt ihr für das Active Backup nicht das Zertifikat von Synology?
Wenn das eh nur im internen Netz verwendet wird, und es ist bis 2037 gültig.

Geht das denn irgendwie, dass man mehrere Zertifikate benutzt - eine für den Zugriff von aussen über den eigenen Domainnamen und ein Synology-Zertifikat für den internen Zugriff?

 

[Heidi]

NICE. nette Idee. @zweibein ja das geht. Habe ich selbst zwar noch nie versucht, werde ich aber hiermit mal machen (und in 3 Monaten sehen wir weiter )

Geh in der Systemsteuerung auf Sicherheit - Zertifikat. Dort auf Konfigurieren, da kannst du den einzelnen APPs die unterschiedlichen Zertifikate zuweisen:

 

[zweibein]

Ja genau das habe ich gestern auch geschafft, aber wir sehen wohl erst in paar Monaten, ob Active Backup wirklich das selbst signierte Zertifikat für die lokale Adresse genommen hat... bin noch nicht sicher, ob ich richtig erstellt habe, da ja die lokale Adresse eigentlich keine Domain-Adresse ist (hier habe ich nur den NAS-Namen (ohne private domain-Endung) angegeben. Die Zertifikate machen mich noch wahnsinnig...

 

[Graydens251084]

Hi Leute

Wenn ich das jetzt richtig verfolgt habe, versuchen wir unter Konfigurieren bei "Active Backup for Business" das normale synology.com Zertifikat einzustellen?

Wie habt ihr bei euren Geräten eigentlich die IP eingegeben > lokale IP oder DDNS?

lg Gray

 

[Catwiesel71]

warum richtet ihr dann nicht Split-DNS ein. Einfach eine neue Domain im DNS anlegen und die nötigen Einträge anlegen, alle anderen davon dann raus ins Internet. Funktioniert einwandfrei. Dann einfach die offiziell Adresse im Client verwenden und gut ist, selbst nach einer Erneuerung des Zertifikates funktioniert es. Selbst nutze ich das schon lange und läuft einwandfrei.