DSM Lets'Encrypt Zertifikat für andere Applikationen nutzen - How to?

henning65 · 17. Dez 2019

Guten Abend

Ich benötige Hilfe bei der Nutzung des Lets'Encrypt Zertifikates und würde mich freuen von Euren Erfahrungen zu profitieren!

Also: Ich nutze eine DS918+ mit DSM 6.4. Ich habe eine eigene Domain bei Selfhost angemeldet und diese leitet entsprechend auf meine IP. Auf der NAS "holt" die DSM von Lets'Encrypt für die Domain ein Zertifikat.

Nach Lektüre hier im Forum und nach Nachfrage beim Support kenne ich auch den Speicherpfad zum Zertifikat. Aber ich habe keine Ahnung, wie ich darauf zugreifen kann.

Mein Ziel
Ich möchte via Docker bestimmte Applikationen auf die NAS bringen und mit dem Zertifikat sichern. Dies ist mir auch schon "händisch" gelungen (Zertifikat exportiert, dann die Dateien wieder hochgeladen und im Docker "eingehängt"). Ich möchte gerne, dass
a) Die Application im Docker auf den Speicherort des Zertifikates zugreifen und die entsprechende Datei lesen kann (ich vermute aber, dass dies nicht geht?!?) --- ODER
b) ein Skript erstellen, dass dafür sorgt, dass das AKTUELLE Zertifikat aus der versteckten DS918+ Datenstruktur regelmäßig an einen Speicherort synchronisiert wird, der vom Docker gelesen werden kann. (Bitte habt ein wenig Geduld bei der Erläuterung ich bin ein GUI user - shell Befehle sind mir fremd...)

Meine Bitte
a) wie kann ich auf die "versteckten" Dateien zugreifen? und
b) wie müsste ggf. das Skript aussehen?

Herzlichen Dank für Eure Hilfe

Henning

Anzeige · 17. Dez 2019

Hallo henning65,

Bücher und Hardware zum Thema gibt es bei Amazon: DSM Lets'Encrypt Zertifikat für andere Applikationen nutzen - How to?

Fusion · 18. Dez 2019

DSM 6.4 hätte ich auch gerne.

Reicht es dir nicht, wenn du z.B. einen Reverse Proxy (Systemsteuerung > Anwendungsportal > Reverse Proxy) vorschaltest und auf den per Docker realisierten Dienst leitest (geht eventuell nur, wenn die Docker Container via Host-Netzwerk und nicht via Bridge eingebunden sind)?
Dann würde die Synology einfach weiterhin die Zertifikate verwalten.

Oder alternativ umgekehrt einen Docker Container ala Traefik nehmen und den das ganze erledigen lassen mit den Certs und proxy und dort die anderen Container anbinden.

Thorfinn · 30. Dez 2019

Wenn das eh alles auf derselben IP und derselben domain läuft:
auch von hier: "Reverse Proxy" ist dein Freund.
Dann können sogar die Dockercontainer intern unverschlüsselt laufen (spart Ressourcen!) und werden erst am Proxy verschlüsselt.

henning65 · 01. Jan 2020

Frohes 2020 zusammen & Danke an Fusion und Thorfinn für die Rückmeldung

tatsächlich habe ich jetzt auch gelernt, dass ich das Zertifikat gar nicht direkt einbinden muss. Allerdings bin ich immer noch ein wenig unschlüssig, welche der Lösungen eigentlich die Beste ist.
a) Zugriff auf das Zertifikat (wie oben beschrieben und wie von Fusion / Thorfinn kommentiert nicht umbedingt notwendig / die beste Lösung)

b) Synology Reverse Proxy zwischengeschaltet. Dann hätte ich folgenden Datenfluss:
USER xyz --https://subdomain.meineDomain.tld--internet-->>Router-->>NAS_mit_Synology-Reverse-Proxy--http://local.IP

ort123-->>Docker (so verstehe ich es jedenfalls)
Ich habe es so verstanden, das die Daten dann in der gleichen "Qualität", wie bei einem VPN-Tunnel verschlüsselt sind (VPN "nur" zusätzlich verschlüsselt, wer die echte Zieladresse ist (muss zugeben, den Teil verstehe ich noch nicht richtig))
PROBLEM: Ich möchte als Docker Applikation calibre und Booksonic installieren. Bei beiden Applikationen kann man mehrere USER einrichten, die dann ggf. auch innerhalb der Applikation unterschiedliche Rechte erhalten. Sobald ich aber Versuche den Revers Proxy zu nutzen (Systemsteuerung / Anwendungsportal / Reverse Proxy; Subdomains sind "eigentlich" definiert.) scheitere ich.
Booksonic: nach Einstellung im Reverse Proxy erhalte ich a) Fehler 404 oder b) "Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden." Die Nutzung mit Reverse Proxy gelingt mir bislang in keiner Einstellung. Ich habe leider keine Ahnung was ich hier eigentlich falsch mache.
Calibre: Innerhalb des Calibre-Dockers kann man einstellen, dass mehrere USER / UserPasswörter zugelassen bzw. erwartet werden. Sobald ich dies aktiviere, kann ich mich nicht mehr via Reverse Proxy einloggen (Fehlermeldung: "Failed to parse header line"). Die Anmeldung als einzelner User funktioniert hingegen (allerdings sind in diesem Szenario durch den Docker die Rechte des Users automatisch auf read-only beschränkt).

c) Vermutlich wäre VPN "eigentlich" die beste Wahl - allerdings bin ich mir hier unsicher und habe auch noch keine Tests gemacht.

Die Bereitstellung der eBook Datenbank Calibre und der Hörbuch Datenbank Booksonic für mehrere USER ist ein gewünschtes Feature. Dabei müsste sicher gestellt sein, das die USER unterschiedliche Rechte erhalten.
Bei Calibre sind Änderungen über das web-Interface wünschenswert (zB. Metadaten), alternativ bietet Calibre eh einen zweiten "Eingang", der dann den Zugriff auf die Datenbank ermöglicht.
Bei Booksonic gibt für mich bislang keine Möglichkeit, den Internet-Zugriff via https zu schützen. Zudem ist es bei Hörbüchern natürlich sehr wünschenswert, wenn der Lese-Status (bookmark) gespeichert wird. Dafür braucht der Client Zugriff.

Wie könnt ihr helfen?
Im Wesentlichen wäre es mir eine große Hilfe eine Rückmeldung zu erhalten, ob ich eine Umsetzung via Reverse Proxy oder VPN anstreben soll.
Im Weiteren wären Rückmeldungen zu meinen Problemen bei der Nutzung von Reverse Proxy sehr hilfreich - vermutlich werde ich ähnliche Probleme bei VPN lösen müssen!
Zumindest eine Möglichkeit zum Schutz von Booksonic wäre notwendig.

Herzlichen Dank für eure Hilfe!