DSM 6.x und darunter Let's encrypt Zertifikat erstellen

jonas333 · 23. Mai 2020

Hallo Synology-Gemeide,

ich wuerde gerne ueber eine verschluesselte Verbindung (https) auf das Webinterface meiner DS112 zugreifen.

Ich habe dazu drei Fragen:

1. Bietet eine https-Verbindung auch dann Sicherheits-Vorteile gegenueber einer http-Verbindung wenn man kein gueltiges Zertifikat auf der Diskstation installiert hat?

2. Es geht bei mir nicht in erster Linie um einen Online-Zugriff, sondern um einen netzwerkinternen Zugriff. Koennte ich mir da nicht im DSM unter "Systemsteuerung, Sicherheit, Zertifikat, Zertifikat hinzufuegen" einfach ein "selbst unterzeichnetes Zertifikat erstellen"?

3. Ich hab versucht fuer die DS ein Let's-Encrypt-Zertifikat zu erhalten. Die DS haengt an einer Fritzbox mit myfritz. Ich habe dann in der Fritzbox drei Portfreigaben fuer die DS eingerichtet (5001-5001, 5005-5006, 443-443) und auf der DS die Webstation installiert. Gebe ich nun aber den myfritz-Namen und eine Emailadresse bei "Zertifikat von Let's Encrypt abrufen" ein, so kommt stets die Meldung "Verbindung zu Let's Encrypt konnte nicht hergestellt werden. Achten Sie darauf, dass der Domainname gueltig ist". Was mache ich falsch?

Ich hab schon vermutet, dass ich die Emailadresse vielleicht noch bei Let's Encrypt registrieren muss. Es ist uebrigens dieselbe Emailadresse die fuer myfritz verwendet wird.

Danke im Voraus!

Anzeige · 23. Mai 2020

Hallo jonas333,

Bücher und Hardware zum Thema gibt es bei Amazon: Let's encrypt Zertifikat erstellen

ottosykora · 23. Mai 2020

in der DS ist ein selfsigned installiert. Dieser ist auch gültig. Allerding von einer Certification Authority unterschrieben die kein Browser kennt und kann deshalb nicht wissen ob er diesem Zert vertrauen kann. Darum muss man dann manuell halt eine Ausnahme im Browser bestätigen.

Ob du ein weiteres selfsigned machts ist eigentlich nicht so wichtig, auch bei dem werden die Browser keine bekannte Certification Authority kennen.

Meldet man einmal dem Browser dass dieser Zert vertrauenswürdig ist, dann ist die Verbindung selber genau so sicher.

Für LE musste ich bis jetzt den Port 80 zugänglich haben, sonst hat es nicht funktioniert. (Weiss nicht ob sich was geändert hat und 443 genügend ist)

Domainname, ist es vorhanden und irgendwo registriert? Bei einem Hoster oder DDNS Provider?

jonas333 · 23. Mai 2020

Super! Die fehlende Portweiterleitung von Port 80 war Schuld.

Danke ottosykora, auch für die anderen Infos!

Soweit ich mich mit den Fachbegriffen auskenne ist es einfach eine myfritz-Subdomain.

THZBS · 23. Mai 2020

Hallo
Ich habe seit neustem eine zweite DS. Wie kann ich nun da die Weiterleitung auf 80/443 einrichten? In der Fritzbox ist die Weiterleitung ja auf die erste DS eingestellt. Ich würde gerne ein LE-Zertifikat installieren, aber da brauche ich ja die Weiterleitung auf die 80/443?

ottosykora · 23. Mai 2020

ja, dann ist es eine Domain die eben bei dem DynDNS Provider myfritz (AVM) registriert ist und somit von dem Rest der Welt erreichbar und ansprechbar.
Damit kann LE schauen ob die DS welche da anfragt auch unter dieser Adresse / IP liegt.
Das war also meine Frage nach DDNS.

LE Zert ist nur 90 Tage gültig. Es erneuert sich selber, wenn Port 80 verfügbar ist. Ob von jetzt an ev nur 443 genügt weiss ich momentan nicht, eigentlich könnte es sein.
Wenn es dann geschlossen ist, muss man es vorher aufmachen damit es erneuert werden kann.