Hallo,
Kurzfristig ist mein Ziel, ein SSL Zertifikat bei Lets Encrypt zu beantragen und zu nutzen.
Ziel ist es langfristig, vom Internet aus Daten auf meinem NAS ablegen zu können - und mich evtl per VPN ins eigene Netz zu verbinden / mein eigener Mailprovider zu werden.
Trotz einiger Stunden Recherchen bin ich heute beim Thema Zertifikat keinen Schritt weitergekommen.
Mir ist aktuell unklar, was genau ich bestens in welcher Reihenfolge machen muss, um
- ein kostenfreies Zertifikat von Lets Encrypt zu beziehen (HTTPS, WebDav, ?VPN, ?Mail)
- dieses auf der DSM einzuspielen
- und zu pflegen (Verlängerung etc)
Daher dieser Post.
Ich hoffe, ich bin in diesem Forum (DSM) richtig.
############################################
Status / aktuelles Wissen
Mir ist klar, dass ich für das Zertifikat eine Domäne benötige - diese ist bereits bei united-domains registiert (mydom1.org, mydom2.org)
Ich habe gelesen,
- dass in DSM 6.x der Lets Encrypt Client eingebaut ist.
- dass man unter Systemsteuerung - Sicherheit - CSR einen direkten Request an die CA Lets Encrypt senden kann
- dass zum Zeitpunkt des Requests das NAS vom Internet aus erreichbar sein muss
Frage:
Kan mir jemand sagen, ob der Request in DSM auf Basis der IP oder auf Basis des Domain Names läuft?
- wenn das NAS erreichbar sein muss, kann das im günstigsten Fall über die temporäre IP laufen, die mir mein Provider Telekom vergibt - dann muss ich Port 80 an meiner Fritzbox forwarden ans NAS, und gut.
- falls dies nicht über IP läuft, würde ich DDNS benötigen - das wird dann noch etwas aufwendiger
...
Frage:
Wie genau muss ich in DSM vorgehen ('welche Knöpfe muss ich nacheinander drücken'), um das Zertifikat zu beantragen?
Frage:
In welchen Unterforen poste ich sinnigerweise die folgenden drei Fragen:
- Was genau sollte ich bestens als "Subject Alternative Name" im Zertifikat berücksichtigen? Welche Subdomains plant man sinnigerweise gleich ein?
- Darf die im Zertifikat angegebene Email auch aus einer anderen Domäne stammen (also für mydom1.org-Zertifikat eine mail admin@andereDom.net)
- Bevor ich den Port 80 forwarde, sollte ich die DSM einem Hardening unterziehen. Was sollte ich tunlichst berücksichtigen?
und finale Frage:
Auf welche Fettnäpfchen auf meinem Weg (Zertifikatsanfrage) könnt ihr mich noch hinweisen?
Habe in den letzten Tagen viel Zeit investiert, aber der Teufel steckt im Detail.
Zumindest ermöglicht jetzt ein selbst signiertes Zertifikat, den Passwort-Manager (Keepass) zufriedenstellend für diverse PCs und Androids encrypted zu syncen.
Zudem ist es erfreulich, die DSM jetzt mit HTTPS zu bedienen.
Bin dankbar für jeden Rat der mich weiter bringt.
Kurzfristig ist mein Ziel, ein SSL Zertifikat bei Lets Encrypt zu beantragen und zu nutzen.
Ziel ist es langfristig, vom Internet aus Daten auf meinem NAS ablegen zu können - und mich evtl per VPN ins eigene Netz zu verbinden / mein eigener Mailprovider zu werden.
Trotz einiger Stunden Recherchen bin ich heute beim Thema Zertifikat keinen Schritt weitergekommen.
Mir ist aktuell unklar, was genau ich bestens in welcher Reihenfolge machen muss, um
- ein kostenfreies Zertifikat von Lets Encrypt zu beziehen (HTTPS, WebDav, ?VPN, ?Mail)
- dieses auf der DSM einzuspielen
- und zu pflegen (Verlängerung etc)
Daher dieser Post.
Ich hoffe, ich bin in diesem Forum (DSM) richtig.
############################################
Status / aktuelles Wissen
Mir ist klar, dass ich für das Zertifikat eine Domäne benötige - diese ist bereits bei united-domains registiert (mydom1.org, mydom2.org)
Ich habe gelesen,
- dass in DSM 6.x der Lets Encrypt Client eingebaut ist.
- dass man unter Systemsteuerung - Sicherheit - CSR einen direkten Request an die CA Lets Encrypt senden kann
- dass zum Zeitpunkt des Requests das NAS vom Internet aus erreichbar sein muss
Frage:
Kan mir jemand sagen, ob der Request in DSM auf Basis der IP oder auf Basis des Domain Names läuft?
- wenn das NAS erreichbar sein muss, kann das im günstigsten Fall über die temporäre IP laufen, die mir mein Provider Telekom vergibt - dann muss ich Port 80 an meiner Fritzbox forwarden ans NAS, und gut.
- falls dies nicht über IP läuft, würde ich DDNS benötigen - das wird dann noch etwas aufwendiger
... Frage:
Wie genau muss ich in DSM vorgehen ('welche Knöpfe muss ich nacheinander drücken'), um das Zertifikat zu beantragen?
Frage:
In welchen Unterforen poste ich sinnigerweise die folgenden drei Fragen:
- Was genau sollte ich bestens als "Subject Alternative Name" im Zertifikat berücksichtigen? Welche Subdomains plant man sinnigerweise gleich ein?
- Darf die im Zertifikat angegebene Email auch aus einer anderen Domäne stammen (also für mydom1.org-Zertifikat eine mail admin@andereDom.net)
- Bevor ich den Port 80 forwarde, sollte ich die DSM einem Hardening unterziehen. Was sollte ich tunlichst berücksichtigen?
und finale Frage:
Auf welche Fettnäpfchen auf meinem Weg (Zertifikatsanfrage) könnt ihr mich noch hinweisen?
Habe in den letzten Tagen viel Zeit investiert, aber der Teufel steckt im Detail.
Zumindest ermöglicht jetzt ein selbst signiertes Zertifikat, den Passwort-Manager (Keepass) zufriedenstellend für diverse PCs und Androids encrypted zu syncen.
Zudem ist es erfreulich, die DSM jetzt mit HTTPS zu bedienen.
Bin dankbar für jeden Rat der mich weiter bringt.
