DSM 6.x und darunter LetsEncrypt Zertifikate auf anderes Gerät übertragen

[Outlaw]

Hallo Leute,

auf einer DS habe ich LetsEncrypt Zertifikate konfiguriert, die auch immer problemlos automatisch erneuert werden.

Nun lasse ich über eine SubDomain ein Zertifikat gleich mit erstellen, dass auf einem wenige cm entfernten und im selben Netz befindlichen Raspberry Pi benutzt wird.
Im Moment muss ich dieses Zertifikat manuell über den DSM exportieren und im RasPi manuell wieder einspielen und einbinden, was auch so prima funktioniert.

Ich möchte aber nun dieses Zertifikat vom RasPi selbst von der DS runterkopieren und anschließend den Webserver des Pi neu starten lassen.
Eine eigene LetsEncrypt Konfiguration auf dem RasPi scheidet wohl aus, da LE ja die Ports 80/443 für die Erneuerung benötigt und die sind eben der DS vorbehalten ....

Wo befinden sich die Zertis auf der DS und kann ich da überhaupt per Fernzugriff drauf zugreifen (also ins Zertiverzeichnis) ??​

 

[Frogman]

Hast Du denn schon einmal im Forum nach relevanten Stichworten gesucht (bspw. "Ordner Zertifikat" oder "Pfad Zertifikat")?

 

[geimist]

Ich biete mal einen Ansatz:
Hier findest du ein Skript, welches das Zertifikat einer bestimmten Domain auf Erneuerung prüft und ggf. zu einem anderen Pfad auf der DS kopiert. Hier könntest du ansetzen und eine Verbindung zu deinem Raspi aufbauen, um es dort hin zu kopieren …

http://www.synology-forum.de/showth...ology-(Docker)&p=750679&viewfull=1#post750679

 

[Outlaw]

@geimist
Danke, das hilft mir schon mal weiter.

 

[Outlaw]

Hast Du denn schon einmal im Forum nach relevanten Stichworten gesucht (bspw. "Ordner Zertifikat" oder "Pfad Zertifikat")?

Danke, habs gefunden.

 

[Outlaw]

So, ich habe nun alle Pfade parat und auch ein SCP "geht halbwegs".

"Halbwegs", weil ich mit den Rechten etwas Probleme habe, vielleicht kann da ein Profi einen Tipp geben ?!?!

Ich kann vom Raspberry Pi auf alle Verzeichnisse der DS zugreifen, nur der Ordner der Zertifikate und die Zertifikate selbst kann ich nicht kopieren (Permission denied).

Die Zertifikate haben die Rechte 0400 (Owner read only) und gehören Root. Root Dateien sind normal kein Problem, da ich die anderen Root Dateien problemlos auf den RasPi ziehen kann.
Jedoch ist der Root Zugang auf der DS gesperrt und das soll auch nicht geändert werden. Ein Login per Root fällt also aus.

Eingeloggt wird also mit dem Administrator der DS vom Pi aus und per SSH geht auch alles prima. Nur bei SCP kommt eben genau bei den Zertis eben die Zugriffsverweigerung.

Wäre hier das Ändern der Rechte auf den Admin (also weitere User) ok oder schwächt das das ganze Sicherheitskonzept ??
Ich bin mir auch nicht sicher, ob das nur temporär funktionieren würde, da die DS ja die Rechte selbst beim Erstellen/Erneuern vergibt, also selbst wieder auf 0400 setzt.

Auf die DS habe ich zwar vollen Zugriff aber die ganze Geschichte muss vollständig und ausnahmslos vom Pi aus gemanaged werden, Cronjobs und Co. auf der DS sollen unbedingt vermieden werden, sofern sie nicht mit der DS selbst zu tun haben.
(Hintergrund ist der, dass bei Problemen mit dem Pi die DS in keiner Weise beeinflusst werden soll, z.B. das Prozesse ins Leere laufen, weil der Pi offline ist.)

Ich habe auch ein wenig mit SSH/SCP in Kombination getestet und bekam hin, dass sich der Pi erst als DS Admin einloggt und dann per SUDO -i als Root ändert. Aber ich bekomme dann keine weiteren Kommandos hinten dran, wie eben den SCP Befehl ....

Oder lässt sich das Ganze gar per BASH Skript erweitern ??

 

[Frogman]

...Jedoch ist der Root Zugang auf der DS gesperrt und das soll auch nicht geändert werden. Ein Login per Root fällt also aus....

Hast Du diese Maßnahme aus Sicherheitsgründen vollzogen? Ein entsprechend starkes Passwort würde nämlich ebenso helfen...

...Wäre hier das Ändern der Rechte auf den Admin (also weitere User) ok oder schwächt das das ganze Sicherheitskonzept ??

Damit würdest Du jedenfalls das Sicherheitsniveau schwächen - es hat schon seinen Grund, dass Rechte für private Schlüssel auf root begrenzt werden.

 

[Outlaw]

Hallo Frogman,

Danke für Deine Info.

Ja, der Login von Root wurde aus Sicherheitsgründen gesperrt, da auch verschlüsselte Zugriffe aus dem Internet erfolgen müssen.

Das mit dem Passwort wäre natürlich das Einfachste gewesen aber wenn alles funzt, soll eine Zertifikatsanmeldung für den User "Admin" (oder eines anderen Users nur für diesen einen Zweck) erfolgen.

 

[geimist]

Ich bin da jetzt auch kein Fachmann, aber könntest du nicht per Aufgabenplaner (also kein Login als root nötig) auf der DS das gewünschte Zertifikat auf den Raspi pushen und die Rechte des kopierten Zertifikats anzupassen, anstatt es dir vom Raspi aus zu holen?

 

[Outlaw]

Interessanter Aspekt aber kann der Aufgabenplaner auf alle Dateien und Verzeichnisse zugreifen ??

Wenn ich die Zertis auf den Pi bekomme, wären die Rechte auf dem Pi wohl kein Problem mehr.

Aber wie gesagt, ursprünglich sollte der Pi alles alleine machen aber wenn es nicht anders geht, könnte ich die Zertis auch von der DS aus kopieren und Rechte der Kopien anpassen und die dann vom Pi abholen lassen.

 

[geimist]

Wenn du den Task im Aufgabenplaner von root ausführen lässt (= standard), sollte der Pfad keine Problem darstellen.

 

[Outlaw]

Danke für die Info, bin leider gerade etwas eingespannt, daher die späte Antwort.
Ich werde mir das die Tage mal anschauen.

 

[xelarep]

Anderer Ansatz: Benutze Subdomains mit CNAME für den Reverse Proxy auf deiner DS, um deinen Raspberry zu erreichen. Dann kann das Zertifikat auf der DS bleiben ;-) So mach ich das mit 2-3 Geräten im Haushalt...

Alexander