DSM 6.x und darunter DMS 7 selbst unterzeichnetes Zertifikat erstellen

[Reck]

Hallo
unter DMS 6 konnte mal sich noch ein Zertifikat selber erstellen.
Wie schaffe ich das in der DMS7 damit ich diese für den Localen zugriff benuten kann.
Ein Lets encrypt Zertifikat ist schon eingerichtet.

 

[Benares]

Im Prinzip geht das immer noch. Schau mal hier. Ich hab damals an dem Artikel sogar mitgeschrieben. Am Prinzip hat sich da kaum was geändert, außer den Bits vielleicht (1024 -> 8192)
Im letzten Teil "Austausch der Dateien" ist es eher komfortabler geworden. Man kann die jetzt einfach importieren.

 

[EDvonSchleck]

Warum willst du ein selbst signiertes Zertifikat haben, wenn du schon ein LE Zertifikat hast?

 

[Benares]

Rein für intern ist sowas immer gut. Ein Zertifikat mit Gültigkeit von 10 Jahren mit den Namen aller internen Geräte als "Alternate Names".

 

[EDvonSchleck]

Man könnte aber auch die Domain intern kreisen lassen, mit einem DNS-Server, Pi-Hole oder AdGuard. Dann hat man auch keine Fehlermeldungen mehr. Wenn es noch ein Wildcard-Zertifikat ist, kann man entsprechende Anwendungen oder Domains damit versorgen, ohne neue zu beantragen. Für ich eindeutig die bessere Variante.

 

[Benares]

Ich meinte eher sowas in der Art:

halt einfach eins, das auch für alle Kurznamen gilt, die man intern so verwendet.

 

[EDvonSchleck]

Das ist ja richtig, nur löst es nicht die übliche Fehlermeldung. Dein Zertifikat ist doch nicht ein selbst signiertes Zertifikat.
Das selbst signierte Zertifikat wird doch automatisch ersetzt, wenn man ein LE oder ähnliches nutzt. Auch sind die selbst signierten Zertifikate nur noch 1 Jahr gültig.

Ich würde es gleich richtig machen > https://www.synology-forum.de/threa...abe-fritz-box-integration.106559/post-1038180
auch mit kostenloser DynDNS > https://www.synology-forum.de/threa...der-fritzbox-installieren.103085/post-1039052

das ganze automatisch ohne Portfreigaben oder Skript, mit Docker (einfacher) oder ohne Docker (komplizierter)

 

[Benares]

Dein Zertifikat ist doch nicht ein selbst signiertes Zertifikat.

Klar ist es das. Man muss doch nur einmalig in certmgr.msc als vertrauenswürdig registrieren, schon hat man 10 Jahre seine Ruhe.
Das ganze LE-Geraffel ist doch eher für externe Zugriffe interessant.

 

[heavy]

Oder man ruft sein nas einfach ohne S auf dann hat man den Stress auch nicht. Macht im Privaten Umfeld eh keinen Sinn.

 

[EDvonSchleck]

@Benares. Du hast doch eine Domain mit dem Zertifikat verknüpft. Das ist doch nicht das Standard-Zertifikat von Synology. Die 10 Jahre gelten aktuell nicht mehr, das ist von Synology nur noch 1 Jahr. Man kann auf dem Bild erkennen, dass es nicht von Synology ausgestellt. Auch wenn es nicht direkt zu lesen ist – das kann man aber erkennen.

Klar ist es das. Man muss doch nur einmalig in certmgr.msc als vertrauenswürdig registrieren, schon hat man 10 Jahre seine Ruhe.

Du meinst in den Endgeräten?

Oder man ruft sein nas einfach ohne S auf dann hat man den Stress auch nicht. Macht im Privaten Umfeld eh keinen Sinn.

Einige Anwendungen oder Container benötigen das Zertifikat. Selbst ausgestellte Zertifikate sind gerade bei mobilen Endgeräte ein Problem. Dort gibt es die Fehlermeldung meist nicht. Mann muss ggf. manuell das Zertifikat auf jedem Gerät installieren. Ich erspare mir das Ganze mit meiner eigenen Domain für 1,68 € im Jahr und brauche mich um nichts kümmern. Wobei es auch umsonst geht, sieh 2. Link in #7.

 

[Benares]

@heavy
Neuerdings füllen aber Browser wie Chrome die Passworte nicht mehr automatisch aus, wenn es sich nicht um einen https-Zugriff handelt. Von daher macht es auch intern durchaus Sinn.

 

[Benares]

@EDvonSchleck, schau dir mal den in #2 verlinkten Artikel aus dem Wiki an. Damit lässt sich so ziemlich alles machen Klar muss man irgendwas als Haupt-Domain angeben, aber nur die Liste der Alternate Names ist wichtig.

 

[heavy]

Von extern hab ich eine eigene Domain. Passwörter lass ich nicht automatisch ausfüllen, viel zu gefährlich (nicht nur wegen Hacker sondern auch wegen des Vergessens). Und da ich kein Problem mit dem Rebind Schutz habe rufe ich auch daheim von den Mobilgeräten per Domain die Daten ab.

 

[Stationary]

Kannst Du dem Gerät nicht einfach ein “altes” Zertifikat unterschieben? Auf meiner DS720+ ist Ruhe bis 2036…

 

[EDvonSchleck]

Trotzdem ist es doch kein vertrauenswürdiges Zertifikat.

Abschließend muss das Zertifikat noch auf den Client-Rechnern als "vertrauenswürdige Stammzertifizierungsstelle" installiert werden. Dazu kopiert man die Datei ca.crt auf den jeweiligen Rechner. Die Installation erfolgt unter Windows aus dem Explorer mit Rechtsklick -> Zertifikat installieren.

Auf den Aufwand, um nachher alle Clients damit auszustatten, verzichte ich gerne. Gerade bei Mobilteilen kann das nervig sein, das Zertifikat erst zu kopieren, einzufügen u.s.w. Gerade da es alternativen gibt, die noch nicht einmal etwas kosten müssen. Kann ja jeder machen wie er will - ich finde die Lösung nicht praktikabel und verlängern oder an den Ports spielen muss ich auch nicht!

Von extern hab ich eine eigene Domain. Passwörter lass ich nicht automatisch ausfüllen, viel zu gefährlich (nicht nur wegen Hacker sondern auch wegen des Vergessens). Und da ich kein Problem mit dem Rebind Schutz habe rufe ich auch daheim von den Mobilgeräten per Domain die Daten ab.

Trotzdem kannst du die Domain nutzen, um dir ein gültiges Zertifikat auszustellen und es intern zu nutzen.

Kannst Du dem Gerät nicht einfach ein “altes” Zertifikat unterschieben? Auf meiner DS720+ ist Ruhe bis 2036…

Sobald ein gültiges Zertifikat erstellt wird, wird das Zertifikat von Synology entfernt. Der TE benutzt ein LE Zertifikat. Wie kommst du auf 2036? Normal waren die alten Zertifikate 10 Jahre von Synology gültig. Aktuell sind diese auf ein Jahr heruntergesetzt.

 

[Benares]

@heavy
Ich hab gar keine Portweiterleitungen, höchsten bei Bedarf VPN im Einsatz. Von daher bin ich froh, dass auch Zugriffe wie z.B. https://ds1522 auf die lokalen Geräte als vertrauenswürdig gelten.

 

[Reck]

Hallo Benares
Danke für den Link.
Habe mir das angeschaut, meine Frage nun ist was geschieht mit meinen Zertifikaten die ich schon für meine DynDNS erstellt habe die werden dann überschrieben oder.

Eigentlich kann ich doch die erstellten Dateien / Zertifikate im Menü Sicherheit/Zertifikate importieren und so das erstellte dann dort importieren.
So erspare ich mir das darein kopieren, oder funktioniert das nicht?

 

[Benares]

Trotzdem ist es doch kein vertrauenswürdiges Zertifikat.

Klar ist es das. Seit wann sind Zertifizierungsstellen nur vertrauenswürdig, wenn sie vom Browser-Hersteller hinterlegt wurden?
Ich entscheide das lieber selbst.

@Reck
Du kannst beliebig viele Zertifikate auf der DS hinterlegen. Wichtig ist dann nur, welches davon in den Einstellungen welchem Dienst zugeordnet wurde.

 

[EDvonSchleck]

Ist es im eigentlichen Sinn nicht, deshalb kommt auch eine Fehlermeldung in den Browser? Wenn du jetzt andere Verbindungen von Apps benötigst, hast du ein Problem. Die werden unter Umständen ignoriert. Ein Beispiel ist dazu die Bitwarden-App oder Probleme bei der Synchronisierung von IOS/MacOS Kalender. Gerade bei MacOS (siehe Baikal Thread) gibt es Problem, wenn es kein gültiges Zertifikat gibt. Das Zertifikat nur auf den Browser zu beschränken, halte ich für falsch.

Auch unterscheiden die OS in vertrauenswürdige Aussteller (Zertifizierungsstelle) und nicht.

 

[ottosykora]

also irgendwie verstehe ich etwas nicht ganz
eigentlich sollten alle neuen Zertifikate nur noch 1 Jahr gültig sein und wenn sie länger gültig sind sollen sie von den Browsern abgelehnt werden. Zumindest so habe ich es verstanden.
Wie sagt man es dem Browser?