DSM 7.2 Wie kann ich dieses ständige Zertifikat ist abgelaufen / wurde geändert vermeiden?

Isekram

Benutzer
Mitglied seit
25. Apr 2016
Beiträge
83
Punkte für Reaktionen
9
Punkte
8
Meine 918+ 7.2.x ist nicht aus dem Internet erreichbar.
Hängt mit den Computern am Switch hinter einer Fritz!Box.

Sie synchronisiert intern 2 PCs, 2 Smartphones und einen Mac per Synology Drive.

Leider erhalte ich (gefühlt) ständig Mitteilungen dass die Synchronisierung von Drive gestoppt wurde weil das Zertifikat geändert wurde.

Was kann ich tun um das los zu werden?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.095
Punkte für Reaktionen
2.065
Punkte
259
Die übliche Methode für ein wirksames Zertifikat ist ein Zertifikat von Let’s Encrypt. Es ist von einer CA signiert und wird daher von allen gängigen Anwendungen akzeptiert.

Du findest im Forum und der Synology Knowledge Base alles, was du für die Installation wissen musst. Es muss alle 90 Tage bestätigt werden - das ist automatisierbar.
 
  • Like
Reaktionen: wegomyway

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.758
Punkte für Reaktionen
3.730
Punkte
468
Ich denke, wenn es rein lokal ist, und auch kein Zugriff aus dem Internet besteht, kann man die Daten auch unverschlüsselt übertragen, oder?
Dann braucht man auch kein Zertifikat.
 
  • Like
Reaktionen: Benie

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.199
Punkte für Reaktionen
1.024
Punkte
224
Wobei er sich dann wahrscheinlich darüber beschwert, dass der Browser ihn warnt, dass er auf eine unverschlüsselte Seite zugreift. Also irgendeinen Tod wird man da sterben müssen. Ganz ohne „Umweg“ geht es nicht…
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.463
Punkte für Reaktionen
3.508
Punkte
344
Was kann ich tun um das los zu werden?
Du kannst auch intern eine Synology DynDNS (am besten Wildcard) verwenden und hierzu DynDNS auf Deine interne IP auflösen lassen, dann passiert das nicht, wenn Du SSH verwendest.
Allerdings ein etwas im Verhältnis größerer Aufwand, wenn es nur deswegen eingerichtet wird.
 
  • Like
Reaktionen: Benares

patrickn

Benutzer
Sehr erfahren
Mitglied seit
07. Apr 2016
Beiträge
754
Punkte für Reaktionen
295
Punkte
83
Ein Synology DDNS einrichten ist doch kein Aufwand, zumindest wenn man eh ein Synology Konto hat.
Namen ausdenken, IP auf lokal setzen, ggf. Noch den rebind Schutz im Router, z.B. einer Fritzbox deaktivieren bzw. Eine Ausnahme erstellen, Fall erledigt. Und halt die Adressen an den Geräten ändern. Dafür hat man Ruhe. (Solange die Synology DDNS nicht rumzicken)
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.463
Punkte für Reaktionen
3.508
Punkte
344
Für Dich bestimmt nicht, aber für andere vielleicht schon 😉 Kommt auch darauf an, ob und auf welchem Weg man evtl. noch netzextern zugreifen möchte.
 
  • Like
Reaktionen: geimist

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.198
Punkte für Reaktionen
518
Punkte
184
Die übliche Methode für ein wirksames Zertifikat ist ein Zertifikat von Let’s Encrypt. Es ist von einer CA signiert und wird daher von allen gängigen Anwendungen akzeptiert.
Hab ich, heute mal wieder händisch 'ne Sicherung meines ASUS-17er Book durchführen wollen. Den Agenten gestartet, schreib der doch glatt oben links Zertifikat geändert. Im DSM geschaut, stimmt, es wurde automatisch verlängert (Script im Aufgabenplaner) und im Agenten dann auf "wohlwollend" geklickt und schon konnte ich im DSM im Bereich AB4B sehen "WiN-17 ist grün" und klick auf Sicherung und läuft.
Vor gut einem Jahr eingerichtet, das Script etwas später, macht DAS alles so wie hier im Forum auch geschrieben wurde (das hab ich sogar irgendwie geschafft). LÄUFT
 
  • Like
Reaktionen: Synchrotron

Isekram

Benutzer
Mitglied seit
25. Apr 2016
Beiträge
83
Punkte für Reaktionen
9
Punkte
8
Ich wiederhole das gerne nochmals, die NAS ist nicht extern erreichbar. Soll sie auch nicht werden.

Bei den Drive Verbindungen habe ich nun die SSL Verschlüsselung raus genommen. Brauch ich intern nicht.
Ich werde die Geschichte nun beobachten. Falls weitere nervige Benachrichtigungen bzgl. Zertifikat eintreten melde ich mich wieder.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.463
Punkte für Reaktionen
3.508
Punkte
344

ds718-

Benutzer
Mitglied seit
27. Jan 2020
Beiträge
148
Punkte für Reaktionen
19
Punkte
18
Leider erhalte ich (gefühlt) ständig Mitteilungen dass die Synchronisierung von Drive gestoppt wurde weil das Zertifikat geändert wurde.

Was kann ich tun um das los zu werden?
Ich glaube das es vom Synology Drive Client herkommt, hatte ich auch schon mal wenn ein Zertifikat auf der DS geändert wurde. Du gehst auf den Drive Clienten deiner PC und richtest die Verbindungseinstellungen neu ein. Ich glaube das er dann meldet das sich das Zertifikat geändert hat und du dem neuen Zertifikat zustimmen mußt.
 

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.198
Punkte für Reaktionen
518
Punkte
184
Ich wiederhole das gerne nochmals, die NAS ist nicht extern erreichbar. Soll sie auch nicht werden.
Die Botschaft doch ist angekommen.
Ich nutze DAS geschilderte auch nur im heimischen Netz, vorzugsweise nur WLAN da ich nur Books besitze. Wenn von außerhalb Notwendigkeit besteht, dann geht es, eingerichtet, über den WG-VPN. Da bin ich dann auch im heimischen WLAN, obwohl ich mich außerhalb befinde. Da ist das Backup aber u. U. eine zeitliche Geschichte. Aber die Möglichkeit der externen Verbindung läuft über alle Clienten (8 sind eingerichtet) mittels eigenen VPN-Tunnel.
Vorteil für mich, der externen Erreichbarkeit:
Urlaub auf Malle oder Kroatien, bei den genannten Zielen waren 4 der 8 Geräte mit in Urlaub, Bilder/Videos werden täglich erstellt und irgendwie sollen die nicht nur aufm Gerät bleiben, Gerät könnte ja verloren oder geklaut werden. Den VPN eingeschaltet, die mobile App gestartet und schon wird das Ganze @_Home auf die NAS transportiert. Weitere Beispiele tun hier nicht zur Sache.
FAZIT: oben erster Satz und damit alles gut.
 
Zuletzt bearbeitet:

Isekram

Benutzer
Mitglied seit
25. Apr 2016
Beiträge
83
Punkte für Reaktionen
9
Punkte
8
Die Situation für Urlaubsfotos kenn ich. Frau und Kinder Knipsen was da Zeug hält. Jeder will die Fotos des anderen haben...

Da wäre der sofortige Sync auf Photos schon nice to have.

Meine Fritzbox bietet da ja Möglichkeiten.
Lässt sich der Zertifikatszirkus bei VPN vermeiden?
 
  • Like
Reaktionen: wegomyway

patrickn

Benutzer
Sehr erfahren
Mitglied seit
07. Apr 2016
Beiträge
754
Punkte für Reaktionen
295
Punkte
83
Auch bei einem VPN bleibt ein ungültiges Zertifikat ungültig. Entweder du hast ein gültiges Zertifikat, oder du musst damit leben, wie es ist.
 

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.198
Punkte für Reaktionen
518
Punkte
184
Das LE-Zertifikat "muss" ja alle 90 Tage erneuert werden. Ich hab, bevor dass das erste Mal anstand, das Script im Aufgabenplaner eingerichtet. Somit, die 224+ ist kurz vor Weihnachten '23 in Betrieb, habe ich nicht einmal händisch verlängert. Das Script schaut nach und verlängert automatisch. Den Mobilen Apps auf den Geräten ist das egal. Versuchsweise mit oder ohne VPN auch egal.
 

Isekram

Benutzer
Mitglied seit
25. Apr 2016
Beiträge
83
Punkte für Reaktionen
9
Punkte
8
Ich hab ja ein gültiges Zertifikat von LE. Das wird auch regelmäßig per Script verlängert.
Allerdings kommt eben genau dann der Hinweis auf das geänderte Zertifikat von jedem Drive Client.
Und die Verbindung zu jedem Client muss erneut bestätit werden.
Genau das will ich ja nicht mehr haben.
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.199
Punkte für Reaktionen
1.024
Punkte
224
Ja nun, die Zertifikate laufen aber nunmal ab… 🤷‍♂️ Das wäre dann eher ein Feature Request an Synology. Da es sich aber um eine Sicherheitsfunktion handelt – du sollst halt überlegen, ob es passt, dass das Zertifikat erneuert wurde – mache ich Dir da erstmal wenig Hoffnung.
 

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.198
Punkte für Reaktionen
518
Punkte
184
aja jetzt kapier ich es, sorry.
Nun ja, vorhin ja mit AB4B war das im Agenten auf dem WiN-Book der Fall.
Eben auf meinem Android die mobile Photos-App gestartet, da ist nichts mit geändertem Zertifikat. Dazu gleich mal Drive, File und Audio ... auch die meckern nicht.
Auch mein Android-Tablet meckert nicht.
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.472
Punkte für Reaktionen
1.085
Punkte
194

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.472
Punkte für Reaktionen
1.085
Punkte
194
Ja nun, die Zertifikate laufen aber nunmal ab… 🤷‍♂️ Das wäre dann eher ein Feature Request an Synology. Da es sich aber um eine Sicherheitsfunktion handelt – du sollst halt überlegen, ob es passt, dass das Zertifikat erneuert wurde – mache ich Dir da erstmal wenig Hoffnung.
Die werden das mit absoluter Wahrscheinlichkeit nicht tun. Die Möglichkeit selbst signierte Zertifikate zu erstellen gab es nämlich noch vor DSM 7.
Insofern wäre das ein klassischer Rückschritt.

Beispiel DSM 6.2 (auf die Schnelle über vDSM):

2uz2IDE.pngcogwY2E.png

Führte im Ergebnis zu einem Zertifikat mit 10 jähriger Gültigkeit.
AwL7ZxL.png

Im Kern hat Synology hier auch nur OpenSSL in eine GUI verpackt. Jedoch geht damit natürlich das Problem einher, dass Browser-Hersteller selbst signierte Zertifikate nicht vertrauen. Kann mir vorstellen, dass sich etliche DAUs bei Synology gemeldet haben und die Funktion deswegen gestrichen wurde.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat