Allgemeine Fragen zu Zertifikaten

[tommytom79]

Hallo!

Ich habe schon einige Jahre ein NAS und mich hat jedes mal gestört, wenn ich auf mein NAS extern über https://xxxxx.synology.me:5001 zugreifen will, dass immer die Meldung kommt, dass die Seite unsicher ist. Nachdem ich nun ein 2. NAS bekommen habe, beschäftigte ich mich jetzt intensiver damit und würde das Problem gerne lösen.
Wenn ich im DSM unter Systemsteuerung - Sicherheit - Zertifikat nachschaue, steht dort nichts von meinem Hostnamen https://xxxxx.synology.me:5001, sondern lediglich synology.com.
Liegt hier etwa das Problem? Müsste ich manuell ein Let's encrypt Zertifkat hochladen?
Wenn ja, ich habe gelesen, dass das nach 3 Monaten abläuft. Stimmt das?
Wenn ja, habe ich weiters gelesen, dass man ein Script basteln kann, dass automatisch nach 3 Monaten diese Zertifikat aktualisiert. Dafür muss aber beim Router der Port 80 bzw. 443 geöffnet sein. Hier hätte ich aber nun das Problem, dass ich 2 NAS habe und man einen Port ja nur einmal vergeben kann.

Ich hoffe, dass mir jemand helfen kann.

 

[theexciter]

Ein wenig spät, aber besser als nie:

1. Warum willst du von Extern auf dein NAS zugreifen?
2. Du musst erst ein passendes Zertifikat erstellen, ich empfehle dafür den DYN-DNS Dienst SPDYN.de
3. Du musst dann Port 80 für das enstsprechende NAS auf deinem Router freigeben, mit Port 443 klappt es bei mir z.b. nicht - ich mache das alle 3 Monate von Hand, da ich Port 80 nicht dauerhaft nach draussen offen lassen möchte...
4. Du gibst dann halt Port 80 kurz für das eine NAS und danach für das andere frei - ob LE da mitmacht, müsste man testen...

 

[synfor]

2. Seit wann erstellt spdns.org Zertifikate? Abgesehen davon ist spdns.org hier im Moment nicht erreichbar (Timeout)

 

[theexciter]

Ich hätte es deutlicher schreiben können ja, um MIT dem eigenen NAS ein Zertifikat zu generieren, benötigt man einen DYN-DNS Dienst wenn man keine feste IP hat.

Man kann den eigenen DYN-DNS Dienst von Synology verwenden oder SPDYN.de - spdns.org war falsch, ist nur eine Domain die für DDNS von denen angeboten wird...

Besser?
Edit:

Hinweis​

---

Seit dem 01.07.2020 ist die Erstellung von neuen Accounts nur noch für Securepoint-Reseller möglich. Die Funktion von bestehenden Accounts ist nicht eingeschränkt. Bitte besuchen Sie regelmäßig unser Support-Forum für Neuigkeiten.

 

[IPiNix]

In diesem Falle ist es einfach.
Wenn du bereits eine Synology DDNS-Adresse hast, so kannst du unter Sicherheit->Zertifikate ein Lets Encyrpt-Zertifikat erstellen.
Dazu einfach die Synology-DDNS-Adresse eintragen.
Hierbei müssen die Port 80 und 443 offen sein, damit das Zertifikat erstellt werden kann, sowie auch automatisch erneuert werden kann.
Bei der Firewall muss ggf. bei den Geo-Blocking darauf geachtet werden, das IP-Adressen aus den USA (US) erreichbar bleiben.
Dieses Zertifikat von Synology-DDNS (xxxxxx.synology.me ect.) dann auch auf Standard setzten.

Bei dem 2. NAS müsste man ggf. das Zertifikat manuell importieren. Bzl. der Firewall in der Fritzbox, sollte es funktionieren das man auf 2 Geräte die Ports 80,443 öffnen kann, was allerdings dazu führen könnte, das Aufrufe fehlgeleitet werden. Dazu müsste man ggf. mit Portumleitungen arbeiten.

Interessant wäre auch zu wissen, wozu das 2.NAS genutzt werden soll. Vielleicht macht es auch eine externe Freigabe unnötig.

 

[theexciter]

Wozu eigentlich beide Ports?
In dem PopUp steht ja 80 oder 443 wenn ich mich recht erinnere, bei mir klappt es aber nur mit Port 80 schon allein, leider nicht allein mit Port 443, weshalb die automatische Erneuerung des Zertifikats nicht klappt, da ich Port 80 nicht dauerhaft offen lasse...

Die FritzBox wird es nur machen, wenn die Ports nur jeweilig für ein Gerät geöffnet werden, ansonsten meckert sie

 

[Ulfhednir]

Wozu eigentlich beide Ports?

Das dürfte wohl ein Missverständnis sein.

Firewall Configuration​

To use Let’s Encrypt, you need to allow outbound port 443 traffic from the machines running your ACME client. We don’t publish the IP ranges for our ACME service, and they will change without notice.

For the “http-01” ACME challenge, you need to allow inbound port 80 traffic. We don’t publish the IP ranges from which we perform validation, and they will change without notice.

Note: We recommend always allowing plain HTTP access to your web server, with a redirect to HTTPS. This provides a better user experience than a web server that refuses or drops port 80 connections, and provides the same level of security.

For all challenges, you need to allow inbound port 53 traffic (TCP and UDP) to your authoritative DNS servers.

siehe: https://letsencrypt.org/docs/integration-guide/
Heißt: Du musst dafür Sorge tragen, dass HTTP (80) eingehend geöffnet ist. HTTPS (443) macht ja auch keinen Sinn, wenn an der Gegenstelle noch kein Zertifikat vorliegt. Die Übermittlung der Daten bzw. die ACME Challenge wird dann von der DS verschlüsselt übertragen.

Zwecks offen lassen von Port 80 offen lassen, wäre das hier noch für dich relevant:
https://letsencrypt.org/de/docs/allow-port-80/

 

[Fusion]

Für synology.me Adressen braucht es vermutlich gar kein offenen Port mehr für die Ausstellung eines LE Zertifikats, wenn Synology hier auf dns-01 challenge gewechselt ist.
Weiß jetzt nicht ob man einmalig das Zertifikat neu erstellen oder eine neue Email verwenden muss damit synology das im Hintergrund ändert, falls man schon ein Zertifikat hat und mit http-01 challenge (Port 80) damals angefangen hat, oder ob synology das in jedem Fall gewechselt hat.