Vaultwarden auf Synology NAS bekomme ich nicht hin. Da kein HTTPS. (Vodafone)

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
jup, oder Zertifikat über Lets Encrypt erstellen und das den Reverse Proxy Eintrag in den Zertifikatseinstellunegn zuweisen
 

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
jup, oder Zertifikat über Lets Encrypt erstellen und das den Reverse Proxy Eintrag in den Zertifikatseinstellunegn zuweisen
habe jetzt alles mögliche versucht, am PC das Synology Zetifikat exportiert .cer, .crt jedesmal beim Versuch auf dem Handy zu installiern kommt die Meldung: privater Schlüssel zum Installieren des Zertifikats erforderlich. Habe auch versucht Let´s Encrypt zu installieren, aber da muss ich doch wieder Ports öffnen damit das funktioniert, steh jetzt auf dem Schlauch.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Ich nutze den Firefox und kann in den Einstellungen ganz einfach das Zertifikat als x.509 pem exportieren. diese Datei kann ich in Android (LineageOS) importieren und gut ist.
Bei Lets Encrypt musst du nur die Ports öffnen beim beantragen und beim aktualisieren! Danach können die wieder zu. Für diese 2 Minuten sollte das Risiko doch überschaubar sein ;)
 

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
habe das genauso gemacht mit Firefox, trotzdem kommt diese Meldeng auf dem Handy, verstehe das nicht.
Bei Firefox -> Einstellungen->Datenschutz/Sicherheit->Zertifikate anzeigen-> Server da den Eintrag meiner DS angeklickt und auf export, dann kommt u.a. X509 Zertifikat PEM zur Auswahl.
Wahrscheinlich wird das mit LetsEncrypt genauso sein, irgendwas ist bei mir anders, habe DSM 7
Kann z.B. das Synology Zertifikat auch garnicht in Windows importieren, weil da die gleiche Meldung mit dem privaten Schlüssel kommt
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Ich habe auch DSM7 - nicht 7.1!
Das Zertifikat im Firerfox war das die Ip oder der Hostname? Das Zertifikat gilt nur für den angezeigten Namen!
Bei Lets Encrypt brauchst du es ja nicht da es ein zertifiziertes Zertifikat ist und nicht selbst signiert! Deshalb kommt auch im Browser keine Fehlermeldung mehr die du manuell bestätigen musst!
 

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
in der Liste bei Firefox ist der Eintrag mit der IP, habe es aber jetzt mal über die Windows Internetoptionen versucht, da ging der Import der cert.pem komischerweise, habe das neu importierte Zertifikat da gleich exportiert, ging nur als .cer und in Android wieder die gleiche Meldung mit dem Schlüssel.
Ich versuche es dann vielleicht doch mit dem LetsEncrypt :unsure:
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Ich hab das noch einmal probiert. Da klingelte es wieder, das Zertifikat wurde beim installieren nicht angezeigt! Ein packen als *.rar löste das Problem.
Ich habe mein altes Zertifikat eben noch einmal gelöscht und es noch einmal exportier, gepackt und installiert in Android.

Teste es bitte einmal aus
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.518
Punkte für Reaktionen
403
Punkte
103
Ich kann jedem nur empfehlen sich bei einem der von acme.sh unterstützten DNS-Dienste eine Domain zu holen (gibt es bspw. bei Netcup schon für 5€ - manchmal gibt es die sogar günstiger) und dann bspw. acme.sh mit netcup dns-api (oder einem der anderen dort gelisteten) zu verwenden um über DNS-Challenge die Letsencrypt-Zertifikate erzeugen zu lassen.

acme.sh hat sogar einen Deployhook, der ermöglicht die erzeugten Zertifikate im Synology-Zertifikatsmanager zu hinterlegen.
Wenn man die Zertifikatserzeugung wöchentlich als Geplanten Task ausführt, hat man für die Zukunft ruhe und muss nie wieder irgendwelche Ports öffnen, sich mit abgelaufenen Zertifiakten rumärgern oder irgendwelche selbstsignierten Zertifikate verwenden....
 
  • Like
Reaktionen: EDvonSchleck

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
Ich kann jedem nur empfehlen sich bei einem der von acme.sh unterstützten DNS-Dienste eine Domain zu holen (gibt es bspw. bei Netcup schon für 5€ - manchmal gibt es die sogar günstiger) und dann bspw. acme.sh mit netcup dns-api (oder einem der anderen dort gelisteten) zu verwenden um über DNS-Challenge die Letsencrypt-Zertifikate erzeugen zu lassen.

acme.sh hat sogar einen Deployhook, der ermöglicht die erzeugten Zertifikate im Synology-Zertifikatsmanager zu hinterlegen.
Wenn man die Zertifikatserzeugung wöchentlich als Geplanten Task ausführt, hat man für die Zukunft ruhe und muss nie wieder irgendwelche Ports öffnen, sich mit abgelaufenen Zertifiakten rumärgern oder irgendwelche selbstsignierten Zertifikate verwenden....
das klingt vielversprechend, acme.sh, deployhook klingt aber erstmal für mich schwierig, wüsste nicht wie ich das umsetzen soll. Ich habe eine Domain bei Netcup, gibt es dafür eine verständliche Anleitung für nicht Profis?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
ich kopiere mir das File in Android (Phone & Tablet) in z.B. Dokumente. Dann gehe ich unter: Sicherheit>Verschlüsselung und Anmeldetaten>Zertifikat installieren>CA Zertifikat und denn mit den Assistenten weiter. Im Filemanager werden mir alle Files angezeigt, jedoch sind diese hinterlegt, nur die *.rar ist auswählbar. Danach ist das Zertifikat installiert und unter: Sicherheit>Verschlüsselung und Anmeldetaten>Vertrauenswürdige Zertifikate im Reiter Nutzer gelistet.
 

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
ich kopiere mir das File in Android (Phone & Tablet) in z.B. Dokumente. Dann gehe ich unter: Sicherheit>Verschlüsselung und Anmeldetaten>Zertifikat installieren>CA Zertifikat und denn mit den Assistenten weiter. Im Filemanager werden mir alle Files angezeigt, jedoch sind diese hinterlegt, nur die *.rar ist auswählbar. Danach ist das Zertifikat installiert und unter: Sicherheit>Verschlüsselung und Anmeldetaten>Vertrauenswürdige Zertifikate im Reiter Nutzer gelistet.
das ist bei meinem Samsung ganz anders, habe aber das Problem der Anzeige garnicht, es wird nur nicht importiert, weil der Fehler mit dem nicht vorhandenen privaten Schlüssel kommt.
Einstellungen- Biometrische daten und Sicherheit- andere Sicherheitseinstellungen- von USB Speicher installieren(verschlüsselte zertifikate vom Speicher installieren), dann zur Auswahl Ca-Zertifikat, VPN und App-Zertifikat und WLAN-Zertifikat. Wenn ich z.B CA auswähle kommt der Dateibrowser und es werden die .pem oder.crt oder .cert angezeigt, aber eben wegen des besagten Fehlers nicht importiert, die .rar datei zeigt er mir garnicht an.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
@haydibe, hast du das in docker laufen?
@andronex probier doch einfach einmal die App: CAdroid

Nachtrag: Exportiere das Zertifikat nicht als PEM sondern als DER und versuche es zu installieren, wenn das nicht funktioniert ändere die Dateiendung von *.der in *.pem direkt in Android!
 
Zuletzt bearbeitet:

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.518
Punkte für Reaktionen
403
Punkte
103
@haydibe, hast du das in docker laufen?
Wenn Du acme.sh meinst: ich hatte das damals direkt auf der Syno laufen - es ist im Grunde ja auch nur eine Sammlung von Bash-Skripten, die unter der Haube curl verwenden.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Wenn Du acme.sh meinst: ich hatte das damals direkt auf der Syno laufen - es ist im Grunde ja auch nur eine Sammlung von Bash-Skripten, die unter der Haube curl verwenden.
Ich habe es mir einmal angeschaut, läuft ohne Probleme und ganz einfach in Docker.
Werde mir noch eine Domain zulegen wenn es die wieder im Angebot bei Netcup gibt. Brauche diese aktuell nicht aber für den Preis nehme ich das mit obwohl 5€ im Jahr schon fair sind.
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.518
Punkte für Reaktionen
403
Punkte
103
Werde mir noch eine Domain zulegen wenn es die wieder im Angebot bei Netcup gibt
Während einer der Angebotsaktionen bei Netcup hab ich zwei Domains für dauerhaft jährlich 1,92€ geschossen.

Zusätzlich ist es mit eigener Domain + acme.sh möglich Wildcard-Zertifikate auszustellen, so dass man nicht mehr für jede Subdomain ein separates benötigt. Zusätzlicher Charme von Wildcard-Zertifikaten ist das im SubjectAlternateName des Zertifikats keine konkreten Domains mehr aufgelistet sind, so dass jemand der über die IP reinkommt, trotzdem nicht sehen kann "worauf der Server regiert".
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.158
Punkte für Reaktionen
912
Punkte
424
Und man kann via challenge oder Domain Alias auch Zertifikate für Domains erstellen die überhaupt nicht selbst von außen erreichbar sein müssen.
Und mit dem Synology deploy hook schnell ins DSM befördern.

Nur der workaround mit dem oathtool um dies auch via TOTP gesicherten Admin zu machen gefällt mir noch nicht so.
 

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
Leute, ich würde das sehr gern auch so umsetzen können wie ihr das offensichtlich macht, gerade weil ich auch paar Domains bei Netcup geparkt habe, aber da fehlt mir leidr das Grundlagenwissen. Ich habe es jetzt mit Bitwarden aufgegeben und mache es nun per SFTP mit Keepass, das läuft jetzt erstaunlich gut, auch mit dem Zugriff von unterschiedlichen Geräten.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat