Lets Encrypt erneuern unter DSM 5.2 (ohne offene Ports)

[galdak]

Hi Leute

Meine alte DS210j steht bei einem Freund zuhause rum und dient als Backup-System.
Meine Datensicherung läuft via Ultimate Backup auf einem speziellen Port. Für die Administration ist aktuell der Port 5001 offen. Dafür habe ich auch ein Zertifikat von Lets Encrypt.

Aber wie kann ich das Zertifikat auf meiner DS210j erneuern? Meine DS hat noch immer DSM 5.2. Einerseits gibt es noch nicht die Standardmöglichkeiten wie auf DSM 6. Ausserdem sind die Ports 80/443 zu.

Eine Idee war: die Zertifikats-Erneuerungen auf einem anderen Rechner erstellen zu lassen (z.B. auf meiner Raspi) und anschliessend via Backup auf die DS210j zu bringen und zu installieren.
Aber da habe ich folgende Probleme:

1. DynDNS geht auf meine DS210j, die kann ich ja nicht auf meine Raspi umbiegen. Ansonsten komme ich nicht mehr auf die DS. Ausser evtl. mit Forwarding - aber da ist mir nicht klar, wie Lets Encrypt reagiert.
2. Mit welchen Befehlen kann ich ein Script schreiben, welches die Installation des neuen Zertifikats auf der DS210j vornimmt?

Hat jemand von euch eine ähnliche Situation? Wie bist du damit umgegangen?
Oder soll ich einfach auf mein Zertifikat verzichten? Grundsätzlich braucht es das ja nicht, weil ein regelmässiger Zugriff ist ja nicht geplant (da reines Backup-System). Aber dennoch möchte ich die Zugriffe möglichst absichern.

Nehme eure Tipps gerne entgegen.
Greets

 

[galdak]

Dazu noch eine Zusatzfrage:
Ich habe nun ja ein Zertifikat für meine Dyndns-Adresse (subdoman.domain.tld). Im Heimnetzwerk heisst die DS aber bspw. "diskstation210j". Nun kriege ich immer Warnungen bzgl. https-Zertifikat unsicher.

Wie kann ich das umgehen?


--- Nachtrag:---
Grundsätzlich Kann mir die Frage evtl. gleich selber beantworten: grundsätzlich kann ich im Heimnetz weiterhin Port 5000 verwenden (und nicht umleiten auf 5001). Beim Zugriff von Aussen nur auf Port 5001 weiterleiten. So hätte ich die Meldung inhouse nicht mehr.
Aber wenn's eine Möglichkeit gäbe, wäre ich dennoch daran interessiert. ;-)

 

[heavy]

sie intern nicht per https ansprechen ist eh quatsch.

 

[galdak]

Ja, hab' ich kurz nach dem Schreiben auch gemerkt.

Bleibt noch die ursprüngliche Anfrage (Post #1).

 

[heavy]

Die würde mich auch noch interressieren da ich auch aus diversen Gründen bei DSM 5 bleiben werde und auch wenn ich noch Glück hatte dass mein Zertifikat vor Oktober für 3 Jahre verlängert wurde so macht ja chrome schon nicht mehr mit. Und das mit dem Manuellen update auf einem PC und dann rüberkopieren hab ich noch nicht so ganz zusammen.

 

[galdak]

Niemand 'ne Idee, wie ich auf meiner DS210j das Lets Encrypt Zertifikat automatisiert erneuern kann? Allenfalls per .sh-Script?

 

[galdak]

Hi Leute

Ich nehme nochmals einen Anlauf diesbezüglich.
Die Situation hat sich etwas verändert: die Ports 80 resp. 443 werden auch im Remote-Netzwerk offen sein. D.h. ich könnte das Lets Encrypt Zertifikat direkt ab der DS erneuern.

Nur schaffe ich das irgendwie nicht.

Ich habe heute folgende Varianten ausprobiert:
. acme.sh: diese Variante funktioniert theoretisch. Da ich aber meine DynDNS bei freedns.afraid.org habe, erhalte ich immer die Meldung, dass das Zertifikat nur auf TLD erstellt werden kann.
. ausserdem habe ich via git certbot auf meiner DS installiert. Das Teil bringe ich aber gar nicht mal zum laufen. Es kommt immer die folgende Meldung:

certbot does not run on synology install os dependencies
https://letsencrypt.readthedocs.io/en/latest/contributing.html#prerequisites​

Also habe ich aktuell folgende beiden Probleme:
1. Ich kann auf der DS mit DSM5.2 kein neues Zertifikat laden (resp. das bestehende erneuern)
2. Wenn 1. gemacht, wie kann ich das Zertifikat möglichst automatisiert aktualisieren

Hat jemand 'ne Idee?
Danke euch.

 

[galdak]

exakte Fehlermeldung lautet:

Sorry, I don't know how to bootstrap Certbot on your operating system!

You will need to install OS dependencies, configure virtualenv, and run pip install manually.
Please see https://letsencrypt.readthedocs.org/en/latest/contributing.html#prerequisites
for more info.

python ist installiert:

Python 2.7.9 (default, Apr  6 2016, 05:29:28)
[GCC 4.6.4] on linux2

augeas habe ich auch von github runtergeladen.
"virtualenv" und "pip" sagt mir aber nichts...

 

[diver68]

Grundsätzlich braucht es das ja nicht, weil ein regelmässiger Zugriff ist ja nicht geplant (da reines Backup-System). Aber dennoch möchte ich die Zugriffe möglichst absichern.Greets

Dann mach doch Deine Backups über VPN, mache ich mit meiner DS116 auch. Die steht irgendwo in der Welt (i.M. Malaysia) und baut eine (Open)VPN zur RS815+ z.H. auf und macht dann sein (ihr) Backup.

Gruß

Nachtrag: Könnte auch über GetSSL funktionieren, habe ich aber nicht getestet:
https://github.com/srvrco/getssl

 

[galdak]

Für alle, die auf DSM 5.2 auch Lets encrypt-Zertifikate einsetzen wollen und freedns.afraid.org (ohne eigene Domain) verwenden. Hier die Lösung, wie ich's gemacht habe.

1. Installieren von acme.sh (in meinem Beispiel nach /volume1/tools)
2. Mit folgendem Befehl kannst du ein Zertifikat generieren und auf der DS installieren lassen:
   

   acme.sh --issue --tls -k 4096 -d "subdomain.domain.tld" --cert-file /usr/syno/etc/ssl/ssl.crt/server.crt --key-file /usr/syno/etc/ssl/ssl.key/server.key

   
   Parameter
   --tls: verwendung des Ports 443.
   --cert-file: Zielpfad des Zertifikats
   --key-file: Zielpfad der Schlüsseldatei
   
   --> Damit hast Du nun bereits ein gültiges Zertifikat.
3. Als letztes: Task für automatische Erneuerung einrichten. Ich hab's mit der DSM Aufgabenplanung gemacht.
   Neues Benutzerdefiniertes Script mit folgendem Befehl:
   

   /volume1/tools/.acme.sh/acme.sh --cron --home /volume1/tools/.acme.sh/ --cert-file /usr/syno/etc/ssl/ssl.crt/server.crt --key-file /usr/syno/etc/ssl/ssl.key/server.key &> /var/log/acme.sh.log

That's it.
Aktuell scheint's jedenfalls so zu funktionieren. Mal schauen, was die Zeit so bringt.

Greets.