DSM 7.2 Volumenverschlüsslung und Remote-NAS als KMIP-Server - Fehler

Kingscus

Gesperrt
Mitglied seit
22. Dez 2022
Beiträge
19
Punkte für Reaktionen
4
Punkte
3
Hallo,
ich habe zwei Synology DS 720+ mit DSM 7.2. Diese sind an verschiedenen Standorten und via VPN erfolgreich miteinander verbunden. Beide sind inzwischen mit Volumeverschlüsselung abgesichert. Eine DS 720+ würde ich gerne so absichern, dass die Schlüssel für die Volumeverschlüsselung nicht lokal vorliegen, sondern remote auf der anderen Diskstaion. Synology hat da auch eine schöne Anleitung, um das umzusetzen.
Sprich:
- Zertifikat auf Clientseite für KMIP hinterlegen
- Zertifikat vom Client auf dem remote NAS im KMIP-Server hinterlegen gemäß Anleitung
- Verbindung vom Client zum Remote NAS herstellen
Beim Einrichten habe ich alle Schritte der Anleitung von Synology befolgt. Ich habe dies von beiden Seiten aus ausprobiert.
Ich erhalte als Meldung immer beim Einrichten der Clientverbindung:
1686927690370.png
Ich habe die NAS-Systeme nicht im Internet stehen aus Sicherheitsgründen, weshalb es kein Let's encrypt-Zertifikat gibt.
Ich habe dann mit dem Programm XCA passende Zertifikate erstellt und eingespielt.
Es gibt ja auch einen KMIP-Server als Dockercontainer, der mit der BETA DSM 7.2 funktionierte. Den habe ich auch testweise aufgesetzt und seine Zertifikate verwendet.
Die Systeme können sich gegenseitig ohne Probleme erreichen für Dateiaustausch via Drive Server. Ich habe inzwischen mehrere Stunden Google angeschmießen und auch mehrere Konfigs ausprobiert, aber ich komme einfach nicht weiter. Notfalls brauche ich den KMIP-Server nicht, aber es ist eine schöne Spielerei; vor allem, wenn es angeboten wird.

Zusammenfassung: eine DS 720+ kann nicht auf eine andere DS 720+ als KMIP-Server zugreifen, obwohl nach Anleitung vorgegangen wird. Bei den Zertifikaten handelt es sich um selbstsignierte, da die DS 720+ nicht im Internet freigegeben sind.

Hat jmd. einen weiteren Ansatzpunkt wie ich das Problem weiter untersuchen kann? Hier im Forum war leider noch nichts dazu und reddit ist gerade wegen Blackout nicht erreichbar, wo vllt was stehen würde. Ich bräuchte irgendwie die Logs von dem KMIP-Server, damit ich mal mehr Details zum Fehler habe, um nicht wie ein Blinder rumzulaufen. Vielen Dank!

EDIT//
OK, als root sudo journalctl -u kmip.service -ef ausführen hilft schon mal.
[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1131)

Er meckert scheinbar wegen Zertifikaten. Das ca.crt von der CA habe ich überall in der Konfig mit drin:
1686929060133.png
Daher hätte ich gedacht, dass das ausreicht. Aber ok. Vllt muss auf System-Ebene die CA noch hinzugefügt werden.


EDIT////
1686931408163.png
OK, es funktioniert jetzt. Ich habe Zeritifkate falsch eingepflegt.
 
Zuletzt bearbeitet:

chengel

Benutzer
Mitglied seit
14. Nov 2021
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hallo. Ich habe ein ganz ähnliches Problem. Was genau war das Problem bzgl. "Zertifikate falsch eingepflegt"?

Danke & Gruß!
 

Huibuu

Benutzer
Mitglied seit
15. Mrz 2015
Beiträge
90
Punkte für Reaktionen
0
Punkte
6
Hallo,
auch ich würde das Thema gerne noch einmal hochholen.

Hänge vermutlich an derselben oder einer ganz ähnlichen Stelle.
Habe mir dem Programm XCA eine Zertifikatsstruktur aufgebaut und auf dem KMIP Client "installiert".
Die Verbindung zum KMIP Server will sich aber einfach nicht herstellen lassen.

Bekomme folgendes Journal mit einer abschließenden Fehlermeldung...
2024-10-27 10:07:37,911 - kmip.server.config - INFO - Loading server configuration settings from: /etc/pykmip/server.conf
2024-10-27 10:07:37,947 - kmip.server.monitor - INFO - Starting up the operation policy file monitor.
2024-10-27 10:07:38,045 - kmip.server - INFO - Starting server socket handler.
2024-10-27 10:07:38,101 - kmip.server - INFO - Server successfully bound socket handler to 0.0.0.0:5696
2024-10-27 10:07:38,101 - kmip.server - INFO - Starting connection service...
2024-10-27 10:07:38,948 - kmip.server.monitor - INFO - Loading policies for file: /etc/pykmip/policies/policy.json
2024-10-27 10:07:38,949 - kmip.server.monitor - INFO - Loading policy: synology
2024-10-27 10:07:40,900 - kmip.server - INFO - Receiving incoming connection from: XXX:40372
2024-10-27 10:07:40,900 - kmip.server - INFO - Dedicating session 00000001 to XXX:40372
2024-10-27 10:07:40,901 - kmip.server.session.00000001 - INFO - Starting session: 00000001
2024-10-27 10:07:40,926 - kmip.server.session.00000001 - INFO - Failure running TLS handshake
2024-10-27 10:07:40,926 - kmip.server.session.00000001 - ERROR - [SSL: TLSV1_ALERT_UNKNOWN_CA] tlsv1 alert unknown ca (_ssl.c:1131)
Traceback (most recent call last):
File "/usr/lib/python3.8/site-packages/kmip/services/server/session.py", line 102, in run
self._connection.do_handshake()
File "/usr/lib/python3.8/ssl.py", line 1309, in do_handshake
self._sslobj.do_handshake()
ssl.SSLError: [SSL: TLSV1_ALERT_UNKNOWN_CA] tlsv1 alert unknown ca (_ssl.c:1131)

Habe bezüglich der Zertifikate und Schlüssel schon vermutlich jegliche Kombination ausprobiert, aber nichts führte zum Erfolg.
Wie kann ich dem Synology Server mitteilen, dass die Zertifizierungsstelle vertrauenswürdig ist?

-Off Topic: ist es tatsächlich nicht möglich bidirektional KIMP-Server und Client aufzubauen?

Grüße
Huibuu
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.066
Punkte für Reaktionen
2.144
Punkte
289
Hallo @Huibuu!
Da fehlen ganz viele Infos bezüglich Hardware, Netzwerkaufbau, Zertifikatskette (intern oder extern) und was ist letztendlich dein Ziel?

Grüße
maxblank
 

Huibuu

Benutzer
Mitglied seit
15. Mrz 2015
Beiträge
90
Punkte für Reaktionen
0
Punkte
6
Ziel ist wie beim Thread-Ersteller eine automatisch Volumenentschlüsselung via KIMP Server herzustellen.
Dafür stehen zwei DS220+ an zwei verschiedenen Standorten und sind über zwei Fritz!Boxen via VPN miteinander verbunden.
beide Geräte tauschen Daten über ein Synology Drive aus.

Mit XCA habe ich ein root-Zertifikat erstellt, davon abgeleitet ein Server-Zertifikat. Jeweils davon existieren zwei private Schlüssel.
Darüber hinaus habe ich auch ein Zertifizierungsanforderung (CSR) über die Client DS erstellt und darüber dann einen privaten Schlüssel und Zertifikat erstellt.
Beide Optionen habe ich nach Anleitungen erstellt, die im www existent sind.
Egal welche Kombination ich ausprobiere, die Verbindung wird nicht aufgebaut (obige Fehlermeldung).

Selbige Fehlermeldung erhalte ich auch, wenn ich das Synology Zertifikat verwende (welches laut Synology dafür sowieso nicht genutzt werden kann).
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.066
Punkte für Reaktionen
2.144
Punkte
289
Ok, verstanden. Und du möchtest das jeweils andere NAS zum Entschlüsseln des anderen beim Start verwenden?

Zitat aus dem Synology KB-Artikel:
Ein Remote-Schlüssel-Server kann Verschlüsselungsschlüssel von mehreren Remote-Schlüssel-Clients schützen. Zwei Synology NAS können jedoch untereinander nicht gleichzeitig als Remote-Schlüssel-Server und -Client eingerichtet werden. Beispiel: Wenn „NAS A“ als Remote-Schlüssel-Server für „NAS B“ fungiert, können Sie „NAS B“ nicht als Remote-Schlüssel-Server für „NAS A“ festlegen.

Quelle: https://kb.synology.com/de-de/DSM/tutorial/How_do_I_set_up_KMIP_server

Ansonsten mal schauen, ob jemand der Forenkollegen einen KMIP-Server am laufen hat.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: ctrlaltdelete

Huibuu

Benutzer
Mitglied seit
15. Mrz 2015
Beiträge
90
Punkte für Reaktionen
0
Punkte
6
Das wäre die Traumlösung, aber das was du zitierst habe ich auch gelesen und vermute, dass es nicht klappt.

Grundsätzlich scheitere ich aber bereits an einer Server-Client-Verbindung ohne zu wissen warum es nicht geht 😖
 

Huibuu

Benutzer
Mitglied seit
15. Mrz 2015
Beiträge
90
Punkte für Reaktionen
0
Punkte
6
Jetzt hab ich die Fehlermeldung wegbekommen, aber trotzdem erhalte ich keine Verbindung.
Der KMIP Server protokolliert nun folgendes mit aufsteigender Zählung...
...
2024-10-27 22:13:14,732 - kmip.server - INFO - Receiving incoming connection from: XXX:33710
2024-10-27 22:13:14,732 - kmip.server - INFO - Dedicating session 00000030 to XXX:33710
2024-10-27 22:13:14,738 - kmip.server.session.00000030 - INFO - Starting session: 00000030
2024-10-27 22:13:14,859 - kmip.server.session.00000030 - INFO - Stopping session: 00000030

Ich erkenne daraus keinen Fehler oder Ansatzpunkt weiter zu recherchieren.

Um die Fehlermeldung aus den obigen Posts wegzubekommen, habe ich nochmal sauber eine Zertifikatsstruktur aufgesetzt und schlussendlich auch das Zertifikat im KMIP Server hinzugefügt. Jetzt wird anscheinend CA akzeptiert, trotzdem Melder der KMIP Client weiterhin

1686927690370.png
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat