SSL-Zertifikat für die DSM-Anmeldung

[michaelvdb]

Hallo zusammen,

vielleicht übersehe ich das Offensichtliche, aber wie kann ich für die Anmeldung auf meiner Box via DSM 7 ein SSL-Zertifikat erstellen?

Ich melde mich mit dem Browser im DSM an, gehe also bspw. auf https://meinebox:5001 und bekomme immer eine Fehlermeldung wegen des Zertifikates (NET::ERR_CERT_AUTHORITY_INVALID). Kann es sein, dass das Zertifikat nur gilt, wenn die Box im Browser mit synology angesprochen wird? Ein Zertifikat von LetsEncrypt kann ich vermutlich für "meinebox" nicht beantragen, ist ja keine Domain...

Wie geht das dann?

 

[the other]

Moinsen,
erfolgt der Zugriff via https auschließlich von intern bzw. von extern dann via VPN?

 

[michaelvdb]

Im Regelfall schon. Kann sein, dass ich an einzelnen Tagen (z.B. Urlaub) QuickConnect aktiviere, aber normalerweise ist die Box nur lokal erreichbar.

 

[Berndi]

Mich würde auch eine Antwort zu dem Thema interessieren.

Beim Aufruf des DSM über https://diskststion:5001 wird das Synology-Zertifikat als ungültig angezeigt.

Muss ich auch ein Let's Encrypt-Zertifikat erstellen?
Nur wohin löse ich das auf?
...und welche "Anwendung" ordne ich dann dem Zertifikat zu?

 

[heavy]

Ich frage mich immer wie sehr kann man seinem eigenen Netzwerk nicht vertrauen dass man die Übertragung in der direkten Verbindung DS-PC verschlüsseln muss, so dass keine 3te Person sich dazwischen hängen kann. Nutzt ihr alle D-Lan oder ist die Wahrscheinlichkeit echt so hoch dass jemand mit einem Laptop zu euch kommt und sich in der Besenkammer versteckt um sich dann in euer Lan Kabel physisch zu hacken.

 

[michaelvdb]

wie sehr kann man seinem eigenen Netzwerk nicht vertrauen

Das eine ist das Thema Sicherheit: jemand der sich einklinkt und alles mitschnorchelt ist ja nur ein szenario. was ist mit einem Rechner, der kompromitiert wurde und alles mitliest und den Traffic durchsucht... Oder der kompromitiert wurde und sich für die Box ausgibt, um die Logindaten abzugreifen...

Das andere ist der Nervfaktor: hier gibt es mehrere Mac / PC / Smartphones mit jeweils mehreren Browsern. Da nervt die Fehlermeldung mit den Bestätigungen der Ausnahmen.

 

[heavy]

Bei dem was ich hier von 90% der Leute lese bei Fragen zum Zertifikat macht ein Zertifikat eh keinen Sinn. Denn wie du es indirekt ja schreibst, solange keine (nervige) Meldung kommt ist für die alles gut. Ruf doch einfach die Seiten per http auf dann hast du die Meldungen auch nicht.

 

[IICARUS]

Einfach mal hier lesen, denn es handelt sich um selbst signierte Zertifikate, die nur als unsicher eingestuft werden, weil der Browser diese nicht abgleichen kann.
https://wiki.natenom.de/sammelsurium/selbst-signierte-zertifikate

Für LetsEncrypt brauchst eine öffentlich erreichbare Domain und DNS (Statische-IP zur Domain).
Wird aber schwierig, wenn die DS nicht öffentlich erreichbar gemacht werden soll.

 

[heavy]

Wenn man es auf die Spitze treiben will kann man auch das hier machen https://www.libe.net/XCA aber wie geschrieben der Sinn hinter den Zertifikaten greift bei den meisten eh nicht.

 

[NSFH]

Webbrowser verlangen bei HTTPS immer ein öffentlich ausgestelltes Zertifikat. Deswegen werden selbst erstellte Zertifikate als unsicher eingestuft, weil eben jeder sowas zertifizieren kann. Dieses Verhalten ist absolut korrekt und gut so!
Du brauchst also entweder eine eigene Domain, über welche dann ein öffentliches Zertifikat ausgestellt werden kann oder du exportierst dein Syno Zertifikat und importierst es in alle Geräte, die auf die Syno zugreifen sollen, also auch in deinen PC.
dann klappts auch so.
Das funktioniert aber nur mit Domainnamen, nie mit IPs!

 

[michaelvdb]

oder du exportierst dein Syno Zertifikat

wie mache ich das? bei den Zertifikaten in Systemsteuerung > Sicherheit > Zertifikat finde ich nur ein Zertifikat für "synology", aber nicht für "meinebox"... Woher bekomme ich das Zertifikat mit dem korrekten Namen der Box?

 

[NSFH]

exportiere das Syno Zertifikat und ordne dieses falls das nicht schon der Fall ist den Apps zu die du nutzen willst.