DSM 7.0 Synology Zertifikat abgelaufen

[Wiesel6]

Hallo,

ich hoffe der Bereich ist richtig und es gibt kein bestehendes Sammelthema zu diesem Problem.
Durch Zufall habe ich gesehen, dass das Standard-Synology Zertifikat abgelaufen ist. Zum Aufsetzen von vaultwarden im Docker habe ich zusätzlich ein synology.me Konto, dass nur für diese heiminterne Domain genutzt wird.
Bei Synology direkt habe ich keine Lösung gefunden, wieso das Original Zertifikat abgelaufen ist und wie man das Problem beheben kann. Eigentlich haben die Zertifikate doch um die 20 Jahre Laufzeit?

 

[mayo007]

https://kb.synology.com/de-de/DSM/tutorial/My_Synology_self_signed_certificate_expired

 

[mayo007]

20 Jahre Laufzeit?

Neuerdings nur noch ein jahr

 

[Kurt-oe1kyw]

Das ist korrekt, was ich auch nicht ganz verstehe, meine DSen hier haben alle einen Eintrag synology.com und der läuft 20 Jahre.
Kannst du die Zeile markieren und mit der rechten Maustaste "Zertifikat erneuern" anklicken.
Falls nicht, sollte wenigesten Zertifikat lösche zur Verfügung stehen und dann ein neues Anlegen.

Edit:
ah ja, mayo007 könnte doch Recht haben.
Ich glaube der 20 Jahre Eintrag bei mir, das ist ein altes Überbleibsel aus alten DSM 5 und 6 Zeiten.
Jetzt mit DSM 7 da wurde ein neues Zertifikat angelegt und das dürfte tatsächlich nur 1 Jahr Gültigkeit haben:

 

[Wiesel6]

Danke, die Hilfe hatte ich gefunden.
Aber dort wird doch beschrieben wie ich ein selbst signiertes Zertifikat erneuere. Das abgelaufene Zertifikat ist dich das was von Hause aus drauf ist.

Wie ich auf die 20 Jahre komme. So sieht es auf der DS116 aus.

 

[Kurt-oe1kyw]

Ja korrekt Wiesel6, aber siehe mein Bild oben, so hat es bei mir auch ausgesehen, ABER mit Installation von DSM 7 wurde bei mir ein neues Zertifikat angelegt und das hat nur mehr 1 Jahr Gültigkeit. Das bis 2039 hat auch keine Zuordnung mehr bei mir.
Ich habe sicherlich kein Zertifikat angefordert, das wurde ganz bestimmt mit dem Update auf DSM 7 bei mir gemacht.
Test DS118. Wenn ich das Zertikat bis 2039 aufklappe, da ist kein Bezug mehr hinterlegt, das ist jetzt alles auf dem Zertifikat bis April 2022.
Wurde sicherlich bei mir mit dem Update auf DSM7 erzeugt.

 

[Benares]

Mit DSM7 kann man m.W. keine selbstsignierten Zertifikate mehr erstellen und das vordefinierte hält auch keine 10 oder 20 Jahre mehr wie früher, weil viele Browser solche "Langläufer" inzwischen als unsicher einstufen.
Aber wenn du noch eines auf deiner DS116 hast, könntest du dieses dort exportieren und auf der neuen DS importieren.

Im Wiki ist hier übrigens auch beschrieben wie man ein Zertifikat über die Konsole erstellt. So musste man das früher machen. Die Methode sollte immer noch funktionieren.

 

[himitsu]

Sind die Diner auch von Let's Encrypt?

Die kostenlosen Dinger haben doch normal nur 1 Jahr.
Aber weil man faukl ist, macht man gern die Selbstsignierten bissl länger.

 

[Kurt-oe1kyw]

Ich muss ehrlich gestehen ich habe damals auf der Test-DS118 mit DSM 7 nicht so sehr darauf geachtet, aus dem Zustand heraus, dass bei meinen Einsatzzwecken das "gültige Schloss" als aktiv grün angezeigt wird und auch die Webseiten das Zertifikat anerkennen ohne Probleme.
Aber ich denke ihr habt beide Recht.
Benares, ja so wie es aussieht wird zwar das alte Zertifiket von synology.com noch angezeigt in der Liste aber bei "Für" ist nur mehr ein -, also es hat keine Funktion mehr/Verwendung mehr und wurde damals von Synology Inc. CA (Selbst unterzeichnetes Zertifikat) angelegt.

himitsu hat aber auch Recht, ich hab mir das jetzt genauer angesehen, mit der Installation vom DSM 7 wurde für quickconnect ein neues Zertifikat automatisch angelegt, gültig 1 Jahr UND ja es ist von LE, da steht "Ausgestellt von R3"- also LE.
Also wie von Benares vermutet irgendwie hat DSM7 automatisch erkannt dass da ein zwar noch gültiges altes Zertifikat vorhanden ist, ABER nicht mehr den aktuellen Kriterien entspricht und hat autom von R3 ein neues geholt.

Vielen Dank euch beiden für die Infos, wieder was dazu gelernt
Wie gesagt, dadurch das beim Testen dann alles funktioniert hat und auch meine browser sich nicht beschwert hatten über ungültige Zertifikate usw. habe ich dann gar nicht mehr genau nachgesehen.

 

[Benares]

Selbstsignierte Zertifikate sind nie von LE, wie der Name schon sagt. Der Nachteil ist, man muss sie halt bei jedem Browser als "vertrauenswürdig" einstufen. Die von LE gelten 3 Monate, dafür kennt sie jeder Browser.

 

[Kurt-oe1kyw]

Ja korrekt Benares, mein ddns Zertifikat von LE läuft nur 90 Tage und verlängert sich dann automatisch kurz vor Ablauf um weitere 90 Tage.
ABER das QC Zertifikat ist auch von LE und das läuft offenbar 1 Jahr, aber ich werde es ja dann im April sehen, es läuft bei mir am 12.4.2022 ab und wenn es sich nicht automatisch verlängert dann werde ich am 10. oder 11.4 manuell durch Anklicken von "Zertifikat erneuern" anstubsen und dann sehe ich ja gleich ob dort dann steht gültig bis zB 10.04.2023

ABER um Wiesel6 sein Thema nicht komplett zu kapern, wieder zurück zu seinem Zertifikat.
Da es sowieso schon abgelaufen ist, kann man es nicht mehr verlängern.
Versuch mal das abgelaufene Zertifikat zu entfernen und dann links oben auf Hinzufügen und ein neues Zertifikat für QC zu erhalten.

 

[mayo007]

Oder das mal probieren:

 

[Benares]

Mag sein, dass QC-LE-Zertifikate auch länger laufen. Meines Wissens hat Apple damit angefangen und alle Zertifikate mit Laufzeit >1 Jahr als nicht vertrauenswürdig eingestuft. Andere Browser sind da noch großzügiger. Mein selbstsigniertes Zertifikat läuft noch bis 2029 und Chrome akzeptiert es immer noch.

 

[ottosykora]

wie werden eigentlich die QC-LE erstellt?
Ich habe nichts machen müssen dafür, oder zumindest kann mich nicht erinnern ich hätte was aktiv unternommen, es wurde irgendwie von QC eingerichtet scheint mir

 

[Benares]

Das war bei mir auch so. Es entstand direkt, nachdem ich QC aktiviert hatte. Gültigkeit aber auch nur 3 Monate.

 

[Meisterlein]

Jetzt habt ihr mich verwirrt. Bisher (DSM 6) hatte ich da nicht nachgesehen. Jetzt, nach Migration auf DSM7 und diesem Beitrag hab ich mir das mal angesehen:

Scheint so als hätte @Kurt-oe1kyw recht. Ursprünglich war wohl das mittlere Zertifikat drauf, aber zur Migration hat Synology das anscheinend stillgelegt und zwei Neue installiert.
Beim Abgelaufenen Zertifikat steht auch bei mir zu "für" ein " - "
Und wenn ich im Aktionsmenü "Zertifikat eneuern" auswähle, dann wird mir gesagt, daß ich einen neuen privaten Schlüssel und eine Zertifikatsregistrierungsanforderung erzeugen muß.
Das hab ich erst mal sein lassen.

Die beiden anderen Zertifikate sind beschrieben als zuständig für DDNS bzw. QuickConnect. Mir scheint daß damit alles Nötige abgedeckt sei.
Wenn ich bei diesen im Aktionsmenü "Zertifikat eneuern" auswähle, dann wird mir gesagt: "Das System wird die Erneuerung des Zertifikates automatisch starten. Stellen Sie sicher, daß die Netzwerkeinstellungen richtig sind - auf DSM kann per WAN via Port 80 oder 443 zugegriffen werden und DNS würde korrekt eingerichtet"

Dann halt ich jetzt erst mal die Füße still und tue nix.

 

[Benares]

Wenn da ein "Für: -" steht wird das Zertifikat für nichts mehr genutzt. Das kannst du ebenso gut löschen.
Die beiden anderen Zertifikate gehören zu Quickconnect und synology.me, mit denen du wohl auch schon rumgespielt hast.

Aber du bist nicht der TS hier, verwässere bitte nicht den Thread hier.

 

[Meisterlein]

Ok ich ziehe mich zurück

 

[Benares]

Musst du nicht, aber bitte zum Thema beitragen und nicht versuchen, einen anderen Thread für eigene Dinge zu kapern.

 

[Wiesel6]

Oder das mal probieren:

Die Option hatte ich gestern auch gefunden und es einfach mal gewagt. Danach ist das Standard Zertifikat wie ihr es bereits beschrieben habt nur noch 1 Jahr gültig.

Das komische an der Sache ist, die DS116 ist auch auf DSM 7 und dort wird noch die Restlaufzeit von 20 Jahren angezeigt. Ich habe zusätzlich das Zertifikat exportiert und in der DS220+ importiert. Dort hat es ebenfalls eine Laufzeit bis 2036. Aktuell habe ich es nur als so drin und nichts zugewiesen.

Somit geht alles erstmal wieder.
Macht es eigentlich einen Unterschied, ob ich als Standard das selbst erstellte Synology (das aus der Grundkonfi) oder das von synoogy.me Konto nutze?
Ich nutze mein NAS nur Heimintern, kein geöffneter Port nach außen. Wenn ich von unterwegs zugreifen will, verbinde ich mich per VPN.