Zertifikate Pfad

[Ben2013]

Hallo,

auf der Diskstation DSM 7.0 werden u.a. Zertifikate von Letsencrypt verwaltet.

Bislang wurden die Zertifikate von einem Debian System verwaltet und mittels Befehl certbot regelmäßig aktualisiert. Auf diesem System befanden sich die Zertifikate im Pfad /etc/letsencrypt/live/... Dieses Debian System hat die Aufrufe entsprechend der Domain-Angaben zu anderen Webservern im LAN weitergeleitet (Reverse Proxy). Da die anderen Webserver z.Tl. ebenfalls Zertifikate benötigt haben, wurde der Pfad der Letsencrypt-Dateien vom Proxy via nfs freigegeben, so dass die anderen Webserver darauf zugreifen konnten. Falls sich bei einem Zertifikat das Änderungsdtum geändert hat, wurde der nginx-Webserver neu geladen (reload config) so dass de Webseiten immer mit den aktuellen Zertifikate liefen.

Bei der Synology DSM 7.0 gibt es keinen Pfad /etc/letsencrypt/...

Frage: Wie kan man es mit der Diskstation als Reverse Proxy einrichten, dass andere Webserver auf die Letsencrypt-Dateien zugreifen können?

Zur Info: Nicht alle Webseiten können auf der Diskstation direkt laufen, da diese von diversen unterschiedlichsten Abhängigkeiten abhängig sind.

 

[Ben2013]

Nachtrag: In diesen Beitrag ist der Pfad der Zertifikate zu finden: https://www.synology-forum.de/threads/ssl-zertifikat-speicherpfad.80821/

 

[geimist]

Genau genommen gibt es zwei Stellen im System, wo die Zertifikate gespeichert / verteilt werden:
Für Pakete: /usr/local/etc/certificate/
und System: /usr/syno/etc/certificate/

Die Stammordner für die einzelnen Zertifikate liegen unter:
/usr/syno/etc/certificate/_archive

Den Archivordner des Standardzertifikats beschreibt diese Textdatei:
/usr/syno/etc/certificate/_archive/DEFAULT

Das JSON-File beschreibt die Verteilung der unterschiedlichen Zertifikate für alle unterschiedlichen Dienste / Ordner: /usr/syno/etc/certificate/_archive/INFO

 

[aHTo5Dh2LU1e69YcWwZg]

Hallo Stephan,

die Zertifikate liegen im Systemordner in kryptisch benannten Ordnern. Wie kann man dort Zertifikate installieren?
Ich habe auch Let's Encrypt Zertifikate die ich gerne auf andere Systeme übertragen würde. Wenn ich diese exportiere bekomm ich eine zip-Datei mit 11 pem Dateien, die sich aber über die Weboberfläche nicht als Einheit installieren lassen.

Bei eigenen Zertifikaten installiere ich über die Weboberfläche private-key, cert und ca-cert, aber anscheinend findet noch etwas statt was daraus
private-key, cert, chain und fullchain macht.

Gruß & Danke!

 

[Ben2013]

Hallo aHTo5Dh2LU1e69YcWwZg,

über die Weboberfläche gibt es nur einen Befehl "Zertifikat exportieren" ein Befehl zum importieren gibt es merkwürdigerweise nicht.

Einen Importieren Befehl gibt es nur, wenn ein Neues Zertifikat angelegt werden soll. Ich bin mir nicht sicher, ob es so vo Synology vorgesehen ist, wenn man ein zuvor exportiertes Zertifikat wieder importieren will, zumal man diie ZIP-Datei erst entpacken muss.

 

[geimist]

Für acme gibt es einen Synology Deploy.
Dieser nutzt eine DSM-API (…/webapi/entry.cgi?api=SYNO.Core.Certificate&method=import).
Vielleicht hilft das ja weiter.

 

[aHTo5Dh2LU1e69YcWwZg]

Danke! - Sorry für die späte Antwort. In meinem Fall scheint das Thema (Zertifikate+DirectoryServer+VerteilteSysteme) etwas aufwändiger zu sein. Ich bleib aber dran und melde mich sobald/wenn ich einen Lösungsweg gefunden habe.

 

[Benie]

Einen Importieren Befehl gibt es nur, wenn ein Neues Zertifikat angelegt werden soll. Ich bin mir nicht sicher, ob es so vo Synology vorgesehen ist, wenn man ein zuvor exportiertes Zertifikat wieder importieren will

Ja, hierrüber kann man Zertifikate importieren. Habe das zwar bisher nur mit Synologyzertifikaten gemacht. Aber ich denke das funktioniert mit allen Zertifikaten.

 

[JoGi65]

weiß nicht obs hilft, aber hab heute versucht von der 422er das let's encrypt Zertifikat von meiner domain zu exportieren (zip), und auf dem VDSM der 1221 folgende pems als neues Zertifikat zu importieren:

RSA-privkey.pem
RSA-cert.pem
RSA-chain.pem

So wie es ausschaut hats funktioniert und die Photo und Web Anwendung ist per https ohne Fehler erreichbar.
Die anderen hab ich nicht versucht (ECC und ohne Präfix) und auf der 422 laufts auch noch.
Die Frage ist, ob das automatische Update (sofern ich richtig gelesen habe) funktionert...

 

[Benie]

Du kannst ja hierzu kurz Rückmeldung geben, wenn mit der Verlängerung alles geklappt hat.