DS220+, kein Zugang per https auf DSM-GUI

[Peter_Lehmann]

Guten Tag!

Nach dem Upgrade auf DSM 7.0 kein Zugriff mehr per https auf das GUI der DS220+ mehr möglich.
Fehlermeldung: SEC_ERROR_UNKNOWN_CRITICAL_EXTENSION, das bedeutet IMHO ein Fehler in dem von mir (noch unter DSM 6.x) installierten Zertifikat, erzeugt von meiner eigenen CA.
Diese Fehlermeldung kann ich auch nachvollziehen.
Leider habe ich im GUI den Zugang per http 5000) deaktiviert und lasse nur noch https 5001) zu. Und damit => siehe oben :-(
Allerdings habe ich wie bei allen meinen Gerätschaften einen funktionierenden Zugang per ssh.
Da die Geräte meines Heimnetzes grundsätzlich keinerlei Zugang aus dem Internet bekommen (alle Zugänge "nur" über mein Wireguard-VPN) fällt bei mir auch die Verwendung von LE-Zertifikaten aus.

Ich sehe jetzt für mich nur drei Möglichkeiten, um die DS per GUI zu erreichen.

1. Per ssh in irgend einer Konfiguration (nginx?) den http-Zugang wieder (bis zur Lösung des Problems) temporär zu aktivieren.
2. Per ssh das von der DS selbst generierte Zertifikat zu löschen und das Generieren eines neuen Zertifikates anzustoßen.
3. Per ssh oder scp an die richtige Stelle im Dateisystem ein neues Zertifikat zu kopieren.

Ich möchte nicht mit "unbekümmertem Probieren" meine Systemkonfiguration zerschießen, habe natürlich schon massenhaft Dateien durchsucht - ohne konkretes Ergebnis.
Ich habe dabei weder in der Konfiguration des nginx den richtigen Schalter zur Aktivierung von http, noch das Shellscript (?) zum Generieren eines neuen Zertifikates noch die Dateien meines damals importierten (und funktionierenden!) Zertifikates gefunden.

Ich bitte also um Hilfe, indem mir jemand für irgend eine der drei o.g. Möglichkeiten die relevanten Dateien nennt, wo ich eine Änderung vornehmen kann. Oder mir eine andere, bis jetzt von mir noch nicht erkannte, Möglichkeit nennt. (Dass ich alle auf der DS gespeicherten Dateien per NFS oder SMB auf meinen Rechner und dann auf meine alte DS213 kopieren und die DS220+ neu einrichten kann, weiß ich selbst - aber das ist für mich keine Lösung!)

Vielen Dank im Voraus!
MfG Peter

 

[Fusion]

Eventuell bei den Sicherheitseinstellungen "Hoch" statt "Medium" gehabt, das ist dann bei DSM 7 gleichbedeutend mit TLS1.3, vorher war es TLS1.2.
Aber ob das was damit zu tun hat, keine Ahnung.

Wie hast du den http Zugang "deaktiviert"?

mkcert auf der Konsole schreibt normal ein neues Syno Zertifikat.

Zertifikate liegen alle unterhalb von /usr/syno/etc/certificate/
Die normalen unter _archive und dort in Textdateien referenziert was in den Unterordnern alles liegt und was wo dazu gehört.

 

[Peter_Lehmann]

Hallo Fusion!

Danke für deine schnelle Antwort!
Mit großer Wahrscheinlichkeit war die Sicherheitseinstellung "Hoch", aber TLS1.3 dürfte meinem Firefox nichts ausmachen.
Im Unterschied zu meiner alten DS213j habe ich bei der DS220+ eingestellt, dass (aus dem Gedächtnis) http-Anfragen auf https:5001 umgeleitet werden. Letzteres zeigt ja auch der Browser an.
mkcert liefert die Meckermeldung:

chmod: cannot access '/usr/syno/etc/certificate/_archive//syno-ca-privkey.pem': No such file or directory
chmod: cannot access '/usr/syno/etc/certificate/_archive//syno-ca-cert.pem': No such file or directory

Stimmt auch, diese beiden Dateien sind nicht vorhanden. Ich gehe davon aus, dass das die ursprünglichen mitgelieferten Dateien von Synology waren. Warum die nicht mehr da sind, weiß ich nicht ... .

Aber mit deiner Hilfe habe ich dann unter:
/usr/syno/etc/certificate/system/default (und unter ../_archive/uFvkw2/ <= das muss wohl ein aktuelles Profil sein?)
meine vor 1/2 Jahr über das GUI importierten (und lange funktionierenden) Zertifikatsdateien gefunden (cert.pem, chain.pem und privkey.pem). Ds ist schon mal ein guter Ausgangspunkt für das weitere Vorgehen.
Entsprechend der o.g. Fehlermeldung im Browser (SEC_ERROR_UNKNOWN_CRITICAL_EXTENSION) und dem gockeln nach selbiger werde ich mal mit meiner XCA ein Zertifikat völlig ohne CRITICAL_EXTENSIONs erzeugen und dessen cert.pem und privkey.pem in den o.g. Ordner reinkopieren. Dieses Zertifikat sollte dann für jeden Verwendungszweck geeignet sein- mal sehen, was passiert ... .

Allerdings habe ich für heute genug und morgen hat der IT-Rentner wieder Zeit fürs Hobby ;-)

MfG Peter

 

[Peter_Lehmann]

Problem gelöst!

Hallo Fusion!
Da ich Dank deines Hinweises wusste, wo meine Zertifikatsdateien liegen, habe ich die cert.pem und die privkey.pem an beiden Fundstellen einfach durch Umbenennen versteckt (cert.pem_obsolet ...) und die Kiste neu gestartet. Dann wirkten versteckte Selbstheilungskräfte (vermutlich waren die benötigten "syno-ca-Dateien" irgendwo versteckt) und es wurde ein Zertifikat generiert, welches genau bis heute Gültigkeit hat.
Als erstes habe ich mal schnell die Weiterleitung auf https deaktiviert und heute werde ich dann in aller Ruhe ein neues Zertifikat generieren.

Nochmals vielen Dank!

MfG Peter

 

[_PP_]

Sorry, wenn ich das Uralt-Teil wieder hochhole - aber ich bin auf die gleiche Harke getreten ... nur brauche ich jetzt wirklich das Ausschalten der HTTPS-Umleitung ... hast du das herausgefunden? Gruß Peter

 

[plang.pl]

 

[_PP_]

Ah sorry - entscheidendes Detail vergessen - auf CLI natürlich!

 

[plang.pl]

Ist mir nicht bekannt. Kannst höchstens da mal reinschauen: https://global.download.synology.co...logy_DiskStation_Administration_CLI_Guide.pdf
Zertifikatswarnung überspringen ist nicht? Mal den einfachen Reset gemacht?

EDIT: Schon mal gegoogelt? https://community.synology.com/enu/forum/17/post/52374

 

[_PP_]

Das Suchergebnis ist für DSM6 .. nützt leider nüscht .. (ja, ich kann googlen, und ich hab auch einiges ausprobiert)