- Registriert
- 03. Apr. 2010
- Beiträge
- 129
- Reaktionspunkte
- 58
- Punkte
- 34
Ich bin grade dabei, meine DS1522+ nochmal neu aufzusetzen, diesmal mit Volumeverschlüsselung - die Möglichkeit dazu hatte ich beim ersten Setup leider übersehen. In einem anderen Thread (klick mich) bin ich über den möglichen Einsatz eines KMIP-Servers als Encryption Key Vault gestolpert.
Also habe ich den KMIP Server for Synology DSM mal auf meinem Raspberry Pi 4 installiert, was auch absolut unproblematisch und easy-going war. In der Konfiguration gibt man u.a. die Gültigkeitsdauer des Zertifikats und der Keys an. Die Default-Werte sind
Folgendes ist mir nicht so ganz klar, vielleicht kann mir ja jemand auf die Sprünge helfen:
Also habe ich den KMIP Server for Synology DSM mal auf meinem Raspberry Pi 4 installiert, was auch absolut unproblematisch und easy-going war. In der Konfiguration gibt man u.a. die Gültigkeitsdauer des Zertifikats und der Keys an. Die Default-Werte sind
Code:
# RSA key size and lifetime configuration
CA_KEY_SIZE=2048 # (bits, 2048 or 4096 is recommended)
CA_LIFETIME=3560 # (days)
CLIENT_KEY_SIZE=2048 # (bits, 2048 or 4096 is recommended)
CLIENT_CERT_LIFETIME=1095 # (days)
SERVER_KEY_SIZE=2048 # (bits, 2048 or 4096 is recommended)
SERVER_CERT_LIFETIME=1095 # (days)- Sollten die Lifetime des Zertifikat und der Keys nicht besser identisch sein?
- Was passiert wenn ich nach Tag 1095 die Diskstation reboote? Dann sind die Schlüssel ja ungültig - komme ich dann überhaupt noch an das Volume dran (vermutlich nur noch durch manuelle Eingabe des Passworts, das ich bei der Erstellung des Volumes als ordentlicher Admin zuvor in einem Password Safe gespeichert habe)?
- Wie sieht dieser Eingabe-Dialog für eine manuelle Entschlüsselung aus bzw. wann "poppt der beim Reboot hoch"?
- Wie und wo erstelle ich dann neue Keys und Zertifikate? Reicht es aus diese mit "openssl req -x509 -newkey... bla bla" zu erstellen und dann auf dem KMIP-Server unter /certs zu hinterlegen und anschliessend im DSM Web Interface zu importieren?
