SSL-Zertifikat erstellen

[Esteban1]

Ich würde gerne von meinem Firmenrechner aus auf meine DS 214 (zuhause) per https zugreifen wollen. Über Port 5000 per http geht's tadellos (zu unsicher?). Per https (Port:50001) bekomme ich immer die nervigen Anzeigen wegen des fehlenden/ nicht verifizierten Zertifikates (Synology-Zertifikat) und es klappt manchmal auch gar nicht. Habe aber keine eigene Domain und Subdomain. Könnte ich ein eigenes Zertifikat erstellen? Und wenn ja, wie geht das?

Gruß
Esteban1

 

[Frogman]

Findest Du im Wiki oder nach einer kurzen Suche auch an zahlreichen Stellen hier im Forum. Hast Du denn vorher schon mal gesucht? Eine eigene Domain brauchst Du aber in jedem Fall - nur dann bist Du berechtigt, ein SSL-Zertifikat signieren zu lassen. Erstellen kannst Du immer eines - aber wegen fehlender Signierung einer CA gibt's dann eben auch Mecker (wie eben auch bei dem generischen Synology-Cert).

 

[luddi]

Oder auch in diesem Tutorial Sicherung der Verbindung zum Synology NAS mit HTTPS Verbindung eine der Möglichkeiten.

Hier habe ich ein Thema rausgesucht wo ich selbst die Erstellung eines eigenen Zertifikats unter DSM kurz beschrieben habe.

Erstellen kannst Du immer eines - aber wegen fehlender Signierung einer CA gibt's dann eben auch Mecker (wie eben auch bei dem generischen Synology-Cert).

Wie Frogman schon erwähnt hat...
... muss dabei anschließend bedacht werden dass das eigene CA auch im Browser oder Betriebssystem eingefügt werden muss.... sonst gibt es Mecker.

luddi

 

[Esteban1]

Vielen Dank für die schnellen Antworten! Ja, ich habe mich informiert und hatte mir auch das Video dafür auf YouTube ("idomix") angeschaut. Ich denke das geht dann leider nicht, da ich keine eigene Domain besitze und auch keine haben möchte (brauche ich nicht). Noch eine dumme Frage: Ist es wirklich ein großes Sicherheitsproblem Port 5000 per UPNP-Freigabe in meinem Router offen zu haben? Ich greife nur per WLAN (abgesichert) zuhause auf die DS zu, von der Firma per Internet (Quickconnect). Mein Rechner ist per Software-Firewall (Norton) abgesichert (zuhause), die DS per langem Passwort gesichert???

Gruß
Esteban1

 

[luddi]

Ist es wirklich ein großes Sicherheitsproblem Port 5000 per UPNP-Freigabe in meinem Router offen zu haben?

Außer dass "user & password" in plain text übertragen werden... NEIN

Also der Zugriff von Zuhause aus dem lokalen Netzwerk sollte kein großes Risiko darstellen (außer du hast sehr viele Teilnehmer mit krimineller Energie Zuhause in deinem Netzwerk). Für Zugriffe von außerhalb (z.B. von deinem Firmennetz) würde ich dir https empfehelen.

luddi

 

[Frogman]

Plain Text unverschlüsselt ist schon schlimm genug... - aber zusätzlich Ports per UPnP freischalten setzt noch einen 'drauf. Ohne, dass Du etwas mitbekommst, könnte sich ein Angreifer, bspw. auch über Malware auf einem Deiner lokalen Geräte, freien Zugang durch Deinen Router schalten! Deaktivieren, kann ich da nur sagen, und Portfreigaben NUR per Hand eintragen!

 

[luddi]

Deaktivieren, kann ich da nur sagen...

Klare Empfehlung von Frogman.... Ich würde auch dazu raten. UPnP sollte man wirklich vermeiden und lieber nur die Ports öffnen die auch benötigt werden.

 

[Esteban1]

Danke für die wichtigen Hinweise von Euch! Ich hatte den Zugriff über UPNP aktiviert, da sonst der Zugriff für Photostation 6 etc. nicht funktioniert hatte (auch per Quickconnect nicht). Außerdem hat das praktisch die Synologyassistensfunktion durchgeführt. Ich habe, dass habt ihr sicherlich schon gemerkt, auch nur sehr rudimentäre Netzwerkkenntnisse. Werde mich in den nächsten Tagen, wenn Zeit dafür ist, intensiver als bisher belesen. UPNP werde ich gleich im Router deaktivieren! Mal sehen wie ich dann den Zugriff von "außen" wieder hinbekomme.

 

[luddi]

Ich hatte den Zugriff über UPNP aktiviert, da sonst der Zugriff für Photostation 6 etc. nicht funktioniert hatte

In der Regel ist die Photostation per https auf Port 443 erreichbar (https://mydomain.tld/photo).
Falls du eine Übersicht suchst welche Dienste welchen Port verwenden findest du diese hier.

 

[Esteban1]

Super, danke für den Link zur Liste. Welche Ports sollte man eigentlich möglichst nicht öffnen (außer den mir bekannten 5000)? Ich verwende außerdem den Datareplicator unter WIN, um Sicherungen vom PC auf die DS zu machen. Kann ich da alle entsprechenden nötigen Ports öffnen?

LG
Esteban1

 

[Frogman]

Für LAN-Aktivitäten musst Du im Router keinen Port öffnen, höchstens in der Firewall der DS! Portweiterleitungen im Router dienen nur dem Zugriff von extern auf Dein LAN. Unverschlüsselte Ports sollten komplett gemieden werden, stattdessen möglichst immer das verschlüsselte Pendant nutzen (d.h. 443 statt 80, Port 587 statt 25 bei SMTP,...).

 

[luddi]

Wenn du in deinem lokalen Netzwerk von einem PC auf die NAS zugreifst, egal mit welchem Protokoll oder Dienst auch immer musst du dafür im Router keine Ports öffnen!
Die Ports musst du nur öffnen falls du von außerhalb auf die NAS zugreifen möchtest. Und es macht nur Sinn diejenigen Ports zu öffnen die man auch unbedingt benötigt.

luddi

EDIT: Frogman war wider schneller

 

[Esteban1]

Wer lesen kann, ist klar im Vorteil! Sorry, habe die Liste jetzt im Ausdruck in Ruhe eingesehen. Die https-fähigen Ports sind ja gekennzeichnet! Netzwerkfreaks kennen sie bestimmt auswendig.

LG
Esteban1

 

[Esteban1]

Nochmals vielen Dank für die Hilfestellung!!! Und die erhellenden Informationen zu den Ports. Als "Normaluser" muss man im Zeitalter von Fritzbox und Co. in der Regel kaum Netzwerkkenntnisse besitzen. Viele Automatismen nehmen einen die Arbeit ab. Das kann aber, wie ich sehen konnte, sehr gefährlich werden...

LG
Esteban1

 

[Esteban1]

Habe gestern Abend alles korrekt einrichten können. UPNP abgeschaltet, nur https-gesicherte Ports weitergeleitet etc.. Prima, nochmals vielen Dank für Eure Hinweise! Die Sache mit dem Zertifikat ist ja eigentlich auch nur etwas "kosmetisches".

Gruß
Esteban1

 

[luddi]

Die Sache mit dem Zertifikat ist ja eigentlich auch nur etwas "kosmetisches".

Zum einen erscheint es jedenfalls so wenn man ohne Zertifikat ständig diese Fehlermeldungen bekommt. Aber der Grund für ein Zertifikat ist nicht nur Kosmetik.
Stell dir vor du hast für dein Server ein Zertifikat erstellt welches du entweder öffentlich signieren hast lassen oder selbst signiert. Wichtig ist nur dass es von deinem Betriebssystem bzw. Browser mit dem entsprechenden CA auf Echtheit überprüft wird. D.h. versuchst du eine Verbindung zu einem Server z.B. über den Browser aufzubauen, dann wird entweder das Betriebssystem oder der Browser das Zertifikat mit einem entsprechenden CA (welches auf deiner Maschine installiert ist) prüfen. Wenn das vorgegebene Zertifikat des Servers nun von einem der baknnten CA´s signiert wurde, dann kann man ziemlich sicher sein dass man auch den Server anspricht den man auch ursprünglich kontaktieren wollte.
Andernfalls wenn z.B. ein Man-in-the-middle Angriff stattfindet und deine Browseranfrage zu einem anderen Server umgeleitet wird und dieser vorgibt der Server zu sein den du erreichen möchtest, dann wird hier zumindest kein Abgleich mit einem deiner CA´s stattfinden und eine Warnmeldung gezeigt. Dann sollte man tatsächlich alles nochmals überprüfen und den Warnhinweis auch ernst nehmen.

Somit ist ein Zertifikat nicht gerade unwichtig oder einfach nur Kosmetik.

luddi

 

[Frogman]

...Andernfalls wenn z.B. ein Man-in-the-middle Angriff stattfindet und deine Browseranfrage zu einem anderen Server umgeleitet wird und dieser vorgibt der Server zu sein den du erreichen möchtest, dann wird hier zumindest kein Abgleich mit einem deiner CA´s stattfinden und eine Warnmeldung gezeigt.

...so die Theorie Es gab ja nun schon einige Fälle des mißbräuchlichen Einsatzes von Signierzertifikaten, sei es von bei CAs gestohlenen Zertifikaten oder durch willige Mitarbeiter. Und einen Zugriff entsprechend nachdrücklich agierender Schlapphüte, die sich problemlos ein signiertes Zertifikat für Deine Domain selbst ausstellen und damit einen SSL-Proxy betreiben, kannst Du damit auch nicht verhindern, eine Warnung siehst Du da nicht. Wie auch an anderer Stelle diskutiert, birgt die hierarchisch organisierte Zertifikatskette mit einem Root-Anker systematische Schwächung - zumindest solange jede CA für jede Domain Zertifikate ausstellen kann. Zertifikat-Pinning ist nur ein verzweifelter Versuch großer Domaininhaber, hier gegenzusteuern, als breiter Schutz eher wenig geeignet. Sinnvoll erscheint dann dagegen eher der Einsatz von DANE/DNSSEC - wo der Domainhaber als Verfügungsberechtigter im DNS eine entsprechende Authentizitätsinformation hinterlegt (einen Hash bis hin zum ganzen Zertifikat). Damit erübrigen sich sämtliche Signaturklimmzüge, denn jeder Client bekommt bei der Namensauflösung gleich mitgegeben, welches Serverzertifikat authentisch ist. Damit laufen dann auch übliche SSL-Proxies ins Leere...

 

[Esteban1]

Mit kosmetisch meinte ich die Warnung im Browser, in meinem Netz zuhause. Natürlich ist mir nach entsprechender Lektüre gestern Abend, die große Bedeutung eines SSL-Zertifikates durchaus bewußt!
Aber ich kann mit dieser Warnmeldung leben, wichtiger waren mir Eure Hinweise bezüglich der offenen Ports.

Gruß
Esteban1

 

[luddi]

...so die Theorie

War auch sicher nicht die ganze Wahrheit meinerseits im Bezug auf Probleme/Komplikationen mit Zertifikaten. Jedoch ein Dankeschön Frogman, für die detaillierte Beschreibung möglicher Risiken und den Ausblick auf bessere Absicherungen. Selbst mir sind andere bzw. bessere Mechanismen zum jetzigen Zeitpunkt nicht bekannt gewesen.

 

[bvrulez]

Grüße, ich hänge mich hier mal ran.

Bisher hatte ich auf meiner Syno ein selbst erstelltes Zertifikat mit einer Domain von selfhost, da ich über selfhost die DynDNS realisiert hatte.

Auf allen Clients (iPhone, Android, macbook, diverse Brauser) lief das reibungslos, wenn ich auch beim ersten Mal immer die VertrauensUNwürdigkeit meines Zertifikats bestätigen musste.

Mittlerweile habe ich wegen meinem Mailserver meine eigene Domain bei Strato und mein Zertifikat mal erneuert, bzw. ein neues erstellt. Dort ist jetzt nicht mehr "domain.selfhost.eu" sondern "meinedomain.de" verzeichnet.

Irgendwie hat das zu Problemen geführt, weil jetzt meine Clients das neue Zertifikat nicht sofort abspeichern. Im iPhone muss ich z.B. bei jedem Senden erneut das Zertifikat bestätigen. Im Android (Nexus 7) läuft mailtechnisch jetzt gar nichts mehr, weil keine Verbindung hergestellt werden kann. Vielleicht deshalb, weil es jetzt meine eigene Domain ist und vorher die Hauptdomain bei selfhost. Wobei das ja auch fragwürdig ist - ich habe mich seit Ewigkeiten bei selfhost nicht mehr authentifiziert und trotzdem funktioniert das noch?

Um mir Umstände mit allen Clients zu ersparen wollte ich mein Zertifikat jetzt mit StartSSL unterzeichnen lassen. Ich hatte das so verstanden, dass damit dann diese Abfragen wegfallen. Hatte gelesen, dass das bei StartSSL kostenlos geht. Mir ist aber unklar, wie genau das funktioniert. Nach der Anmeldung habe ich jetzt ein Zertifikatepaar für den Firefox bekommen und aus dem Firefox heraus gebackuped (wie auf StartSSL beschrieben). Mir ist aber nicht klar, wie ich jetzt meine Syno-Zertifikate von StartSSL unterschreiben lassen kann. Habe ca.crt, ca.key, server.crt, server.csr und server.key runtergeladen und lokal abgespeichert. Und nun?

Vielleicht hat das einer von Euch ja schon gemacht

Grüße,
Ben