DSM 7.2 https-Zertifikat alle paar Wochen "abgelaufen"

[Klassikfan]

Ich will jetzt wieder mehr auf die eigene "Cloud" setzen, also die DS zu Hause. Um gewisse Daten, wie Fotos, Passwortdatenbanken auf allen Geräten (PCs, Smartphones) synchron zu halten, benutze ich die entsprechenden Syno-Apps wie Drive, Drive-Client.

Diese greifen per https verschlüsselt zu. Und da geht das Problem los. Denn Synology bekommt es einfach nicht hin, ein dauerhaft gültiges https-Zertifikat zu organisieren. Alle paat Wochen/Monate ist es "abgelaufen", und ich muß auf JEDEM Gerät wieder alle Zugangsdaten eingeben (bei langen kryptischen Schlüsseln eine Herausforderung!), das "privat signierte Zertifikat" absegnen, und erst dann ist eine Synchronisation wieder möglich.

Das nervt ganz gewaltig!
Gibt es da irgendeine "fire and forget"-Lösung?

 

[Benie]

Nein, nicht ganz so wie Du es gern hättest, aber geh mal über die SuFu und suche nach acme.sh, hiermit kannst Du die Verlängerung automatisieren.

 

[RichardB]

Abgesehen davon, wenn Du mit Deinen eigenen Geräten auf Deine eigene DS zugreifst, füge die DS einfach als Ausnahme hinzu. Dann hast Du fire an forget.

 

[Klassikfan]

??

 

[RichardB]

Was ich meine: Wenn Du mit Deinem PC, Handy, Tablet usw. auf Deine DS zugreifst und der Browser spuckt eine Meldung wie unsichere Website (Dein DSM) wegen abgelaufenem/nicht vertrauenswürdigem Zertifikat aus, kannst Du für Dein DSM im Browser eine Ausnahme hinzufügen, weil Du ja weißt, dass die Website, die aufgerufen wird, also Dein DSM, sicher ist.

 

[Benie]

Bei Firefox geht das meines Wissens nicht dauerhaft. Oder ich habe es einfach nur nicht gefunden.

 

[Benares]

Bei Firefox weiß ich es nicht, aber Chrome z.B. nutzt die Zertifikats-Informationen des Betriebssystems (s. certmgr.msc). Da kann man eigene Zertifizierungsstellen als weitere "Vertrauenswürdige Stammzertifizierungsstelle" zusätzlich hinterlegen.

 

[Benie]

Das vom Chrome Browser weiß ich, aber ich mag den Chrome Browser nicht. Bei FireFox habe immer wieder danach gesucht und nichts gefunden.
Netzintern geh ich nur über http:// drauf und von extern wenn's notwendig ist über VPN od. ggf. mal mit QuickConnect wenn es nur ums nachschauen geht. Da habe ich diese Probleme nicht.

Edut: Habe es bei FireFix auch schon versucht das Zertifikat zu hinterlegen, hat auch nichts gebracht.

 

[RichardB]

Bei der 1019+ (die von keinen Fremdusern genutzt werden) hat beim Firefox das einmalige Hinzufügen der Adresse als Ausnahme gereicht. Seitdem ist Ruhe bzgl. der Warnmeldungen. Sowohl bei mir, als auch bei den MA, die auch von außen auf die 1019+ zugreifen.

 

[Benie]

Dss funktioniert so lange, wie ich FireFox nicht schließe .
Vermutlich muß da der eine oder andere Cookie zurück bleiben.
Ich lösche nach dem Verlassen von FireFox grundsätzlich alles. Mal sehen ob sich da für etwas eine Ausnahme erstellen lässt.

 

[Klassikfan]

Hier geht es um Synology-Drive! Der Syno-Drive-Client steigt alle paar Wochen/Monate aus, weil das Zertifikat geändert wurde!

Das Bestätigen bei Firefox etc. ist dagegen pillepalle. Da braucht nämlich auch kein Paßwort.

 

[Benie]

Synology bekommt es einfach nicht hin, ein dauerhaft gültiges https-Zertifikat zu organisieren.

Doch, das schon, es liegt nicht an Synology sondern eher an LetsEncrypt, da es wohl nur um 3 Monate verlängert.

.https://letsencrypt.org/de/

 

[ctrlaltdelete]

acme.sh

wieso verwendest du das nicht?

 

[Benie]

Immer wieder zuviel um die Ohren, hatte selten Lust oder oft keine Zeit mir das einzurichten, da nicht so wichtig für mich. Bin so oft auf der DS , da ist auch gleich mal nebenbei verlängert.

Edit: habs aber im Hinterkopf

 

[ctrlaltdelete]

lol, ich meine @Klassikfan

 

[Klassikfan]

wieso verwendest du das nicht?

Was ich dazu recherchiert habe, ist schon eine ganze Ecke schwieriger, als das, was ich mir zutraue.
Außerdem bezweifle ich, daß mir das nützen würde, da der Syno Client ja die Änderung des Zertifikats bemeckert, und die bliebe ja auch so erhalten., Oder?

 

[ctrlaltdelete]

Bei mir meckert nix.

 

[Benie]

@Klassikfan

Alternativ, solange Netzintern, kannst Du auch über QuickConnect Namen verbinden. Benötigst kein Zertifikat. Netzextern wird das allerdings mit den Apps eine langsamere Geschichte. Außer Du öffnest die Ports dafür, was ich Sicherheitshalber nicht empfehle.

 

[Klassikfan]

Quick Connect möchte ich nicht benutzen. Mobil nutze ich Synos DynDNS.

 

[Benie]

Quick Connect möchte ich nicht benutzen

Es geht ja nur um die Verbindung, bleibt alles Netzintern.