Vaultwarden auf Synology NAS bekomme ich nicht hin. Da kein HTTPS. (Vodafone)
- Ersteller Sir Jack Daniels
- Erstellt am
Hallo Sir Jack Daniels,
Bücher und Hardware zum Thema gibt es bei Amazon: Vaultwarden auf Synology NAS bekomme ich nicht hin. Da kein HTTPS. (Vodafone)
Bücher und Hardware zum Thema gibt es bei Amazon: Vaultwarden auf Synology NAS bekomme ich nicht hin. Da kein HTTPS. (Vodafone)
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.119
- Punkte
- 214
jup, oder Zertifikat über Lets Encrypt erstellen und das den Reverse Proxy Eintrag in den Zertifikatseinstellunegn zuweisen
habe jetzt alles mögliche versucht, am PC das Synology Zetifikat exportiert .cer, .crt jedesmal beim Versuch auf dem Handy zu installiern kommt die Meldung: privater Schlüssel zum Installieren des Zertifikats erforderlich. Habe auch versucht Let´s Encrypt zu installieren, aber da muss ich doch wieder Ports öffnen damit das funktioniert, steh jetzt auf dem Schlauch.
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.119
- Punkte
- 214
Ich nutze den Firefox und kann in den Einstellungen ganz einfach das Zertifikat als x.509 pem exportieren. diese Datei kann ich in Android (LineageOS) importieren und gut ist.
Bei Lets Encrypt musst du nur die Ports öffnen beim beantragen und beim aktualisieren! Danach können die wieder zu. Für diese 2 Minuten sollte das Risiko doch überschaubar sein
Bei Lets Encrypt musst du nur die Ports öffnen beim beantragen und beim aktualisieren! Danach können die wieder zu. Für diese 2 Minuten sollte das Risiko doch überschaubar sein
habe das genauso gemacht mit Firefox, trotzdem kommt diese Meldeng auf dem Handy, verstehe das nicht.
Bei Firefox -> Einstellungen->Datenschutz/Sicherheit->Zertifikate anzeigen-> Server da den Eintrag meiner DS angeklickt und auf export, dann kommt u.a. X509 Zertifikat PEM zur Auswahl.
Wahrscheinlich wird das mit LetsEncrypt genauso sein, irgendwas ist bei mir anders, habe DSM 7
Kann z.B. das Synology Zertifikat auch garnicht in Windows importieren, weil da die gleiche Meldung mit dem privaten Schlüssel kommt
Bei Firefox -> Einstellungen->Datenschutz/Sicherheit->Zertifikate anzeigen-> Server da den Eintrag meiner DS angeklickt und auf export, dann kommt u.a. X509 Zertifikat PEM zur Auswahl.
Wahrscheinlich wird das mit LetsEncrypt genauso sein, irgendwas ist bei mir anders, habe DSM 7
Kann z.B. das Synology Zertifikat auch garnicht in Windows importieren, weil da die gleiche Meldung mit dem privaten Schlüssel kommt
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.119
- Punkte
- 214
Ich habe auch DSM7 - nicht 7.1!
Das Zertifikat im Firerfox war das die Ip oder der Hostname? Das Zertifikat gilt nur für den angezeigten Namen!
Bei Lets Encrypt brauchst du es ja nicht da es ein zertifiziertes Zertifikat ist und nicht selbst signiert! Deshalb kommt auch im Browser keine Fehlermeldung mehr die du manuell bestätigen musst!
Das Zertifikat im Firerfox war das die Ip oder der Hostname? Das Zertifikat gilt nur für den angezeigten Namen!
Bei Lets Encrypt brauchst du es ja nicht da es ein zertifiziertes Zertifikat ist und nicht selbst signiert! Deshalb kommt auch im Browser keine Fehlermeldung mehr die du manuell bestätigen musst!
in der Liste bei Firefox ist der Eintrag mit der IP, habe es aber jetzt mal über die Windows Internetoptionen versucht, da ging der Import der cert.pem komischerweise, habe das neu importierte Zertifikat da gleich exportiert, ging nur als .cer und in Android wieder die gleiche Meldung mit dem Schlüssel.
Ich versuche es dann vielleicht doch mit dem LetsEncrypt
Ich versuche es dann vielleicht doch mit dem LetsEncrypt
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.119
- Punkte
- 214
Ich hab das noch einmal probiert. Da klingelte es wieder, das Zertifikat wurde beim installieren nicht angezeigt! Ein packen als *.rar löste das Problem.
Ich habe mein altes Zertifikat eben noch einmal gelöscht und es noch einmal exportier, gepackt und installiert in Android.
Teste es bitte einmal aus
Ich habe mein altes Zertifikat eben noch einmal gelöscht und es noch einmal exportier, gepackt und installiert in Android.
Teste es bitte einmal aus
Ich kann jedem nur empfehlen sich bei einem der von acme.sh unterstützten DNS-Dienste eine Domain zu holen (gibt es bspw. bei Netcup schon für 5€ - manchmal gibt es die sogar günstiger) und dann bspw. acme.sh mit netcup dns-api (oder einem der anderen dort gelisteten) zu verwenden um über DNS-Challenge die Letsencrypt-Zertifikate erzeugen zu lassen.
acme.sh hat sogar einen Deployhook, der ermöglicht die erzeugten Zertifikate im Synology-Zertifikatsmanager zu hinterlegen.
Wenn man die Zertifikatserzeugung wöchentlich als Geplanten Task ausführt, hat man für die Zukunft ruhe und muss nie wieder irgendwelche Ports öffnen, sich mit abgelaufenen Zertifiakten rumärgern oder irgendwelche selbstsignierten Zertifikate verwenden....
acme.sh hat sogar einen Deployhook, der ermöglicht die erzeugten Zertifikate im Synology-Zertifikatsmanager zu hinterlegen.
Wenn man die Zertifikatserzeugung wöchentlich als Geplanten Task ausführt, hat man für die Zukunft ruhe und muss nie wieder irgendwelche Ports öffnen, sich mit abgelaufenen Zertifiakten rumärgern oder irgendwelche selbstsignierten Zertifikate verwenden....
das klingt vielversprechend, acme.sh, deployhook klingt aber erstmal für mich schwierig, wüsste nicht wie ich das umsetzen soll. Ich habe eine Domain bei Netcup, gibt es dafür eine verständliche Anleitung für nicht Profis?
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.119
- Punkte
- 214
ich kopiere mir das File in Android (Phone & Tablet) in z.B. Dokumente. Dann gehe ich unter: Sicherheit>Verschlüsselung und Anmeldetaten>Zertifikat installieren>CA Zertifikat und denn mit den Assistenten weiter. Im Filemanager werden mir alle Files angezeigt, jedoch sind diese hinterlegt, nur die *.rar ist auswählbar. Danach ist das Zertifikat installiert und unter: Sicherheit>Verschlüsselung und Anmeldetaten>Vertrauenswürdige Zertifikate im Reiter Nutzer gelistet.
das ist bei meinem Samsung ganz anders, habe aber das Problem der Anzeige garnicht, es wird nur nicht importiert, weil der Fehler mit dem nicht vorhandenen privaten Schlüssel kommt.
Einstellungen- Biometrische daten und Sicherheit- andere Sicherheitseinstellungen- von USB Speicher installieren(verschlüsselte zertifikate vom Speicher installieren), dann zur Auswahl Ca-Zertifikat, VPN und App-Zertifikat und WLAN-Zertifikat. Wenn ich z.B CA auswähle kommt der Dateibrowser und es werden die .pem oder.crt oder .cert angezeigt, aber eben wegen des besagten Fehlers nicht importiert, die .rar datei zeigt er mir garnicht an.
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.119
- Punkte
- 214
@haydibe, hast du das in docker laufen?
@andronex probier doch einfach einmal die App: CAdroid
Nachtrag: Exportiere das Zertifikat nicht als PEM sondern als DER und versuche es zu installieren, wenn das nicht funktioniert ändere die Dateiendung von *.der in *.pem direkt in Android!
@andronex probier doch einfach einmal die App: CAdroid
Nachtrag: Exportiere das Zertifikat nicht als PEM sondern als DER und versuche es zu installieren, wenn das nicht funktioniert ändere die Dateiendung von *.der in *.pem direkt in Android!
Zuletzt bearbeitet:
Wenn Du acme.sh meinst: ich hatte das damals direkt auf der Syno laufen - es ist im Grunde ja auch nur eine Sammlung von Bash-Skripten, die unter der Haube
curl verwenden.
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.119
- Punkte
- 214
Ich habe es mir einmal angeschaut, läuft ohne Probleme und ganz einfach in Docker.
Werde mir noch eine Domain zulegen wenn es die wieder im Angebot bei Netcup gibt. Brauche diese aktuell nicht aber für den Preis nehme ich das mit obwohl 5€ im Jahr schon fair sind.
Während einer der Angebotsaktionen bei Netcup hab ich zwei Domains für dauerhaft jährlich 1,92€ geschossen.
Zusätzlich ist es mit eigener Domain + acme.sh möglich Wildcard-Zertifikate auszustellen, so dass man nicht mehr für jede Subdomain ein separates benötigt. Zusätzlicher Charme von Wildcard-Zertifikaten ist das im SubjectAlternateName des Zertifikats keine konkreten Domains mehr aufgelistet sind, so dass jemand der über die IP reinkommt, trotzdem nicht sehen kann "worauf der Server regiert".
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.158
- Punkte für Reaktionen
- 912
- Punkte
- 424
Und man kann via challenge oder Domain Alias auch Zertifikate für Domains erstellen die überhaupt nicht selbst von außen erreichbar sein müssen.
Und mit dem Synology deploy hook schnell ins DSM befördern.
Nur der workaround mit dem oathtool um dies auch via TOTP gesicherten Admin zu machen gefällt mir noch nicht so.
Und mit dem Synology deploy hook schnell ins DSM befördern.
Nur der workaround mit dem oathtool um dies auch via TOTP gesicherten Admin zu machen gefällt mir noch nicht so.
Leute, ich würde das sehr gern auch so umsetzen können wie ihr das offensichtlich macht, gerade weil ich auch paar Domains bei Netcup geparkt habe, aber da fehlt mir leidr das Grundlagenwissen. Ich habe es jetzt mit Bitwarden aufgegeben und mache es nun per SFTP mit Keepass, das läuft jetzt erstaunlich gut, auch mit dem Zugriff von unterschiedlichen Geräten.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
