Cloud Station Zertifikatsfehlermeldung bei Cloud Station Backup

kareem

Benutzer
Mitglied seit
18. Jun 2014
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hi Leute,

ich habe ein kleines Problem. Ich bin im Besitz einer 213j. Aktuell greifen inkl. mir drei Leute auf diese zu, jedoch ausschließlich in Form der Cloud Station Backup Funktion.
Leider bekomme ich (lokal über LAN) und die beiden anderen in regelmäßigen Abständen (2-3 Monate) den Fehler, dass die Daten über die Cloud Station Backup (bei Drive das gleiche) nicht mehr gesichert werden können. Als Fehler wird immer eine abgelaufene Zertifikatsmeldung angegeben. Das ist natürlich nervig, insbesondere weil man das auf den ersten Blick gar nicht sieht. Die Nutzer müssen sich dann immer wieder neu anmelden.

Hinterlegt sind zwei Zertifikate. Zum einen von "Synology Inc. CA" (gültig bis 01/2037) und eines von "Let's Encrypt Authority X3" (immer nur drei Monate gültig). Ich tippe hier auf ein Problem. Was kann ich machen, damit diese blöde Meldung nicht mehr erscheint und die Sicherungen permanent durchgeführt werden?

Danke im Voraus
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.799
Punkte
314
Du könntest das LE Zertifikat rechtzeitig erneuern bevor es abläuft. Das Datum der Gültigkeit ist normalerweise grün, vor dem Ablauf wird es orange dargestellt. Normalerweise sollte sich das LE Zertifikat aber automatisch vor dem Ablauf - meist 1-2 Tage vorher - selbstständig erneuern. Dazu müssen aber Port 80/443 offen sein.
Ich muss hier bei mir allerdings danach auch meine Hyberbackupsicherung kurz aktualisieren und auf "Dem Zertifikat vertrauen" draufklicken, da es ja ein neues Zertifikat ist und so lange ich das nicht Bestätige zeigt mir Hyperbackup einen Sicherungsfehler an mit dem Hinweis dass das "Ziel" nicht erreichbar wäre.
Das LE Zertifikat ist nie länger als 90 Tage gültig, kannst du hier nachsehen:
DSM > Hauptmenü > Systemsteuerung > Sicherheit > Register "Zertifikat" > da steht dann wie lange das gerade jetzt aktuelle Zertifikat noch gültig ist. Du kannst diese Zeile blau markieren, rechte Maustaste > Zertifikat erneuern > den Anweisungen folgen und nach dieser manuellen Verlängerung in Drive, bzw. der Cloud Station das neue Zertifikat als "gültig" bestätigen.
 

hcxgerwin

Benutzer
Mitglied seit
11. Feb 2018
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Seruvs,
ich habe ein ähliches Problem, verstehe aber diese Fehlermeldung nicht:
Bei der Verbindungserstellung im Cloud Station Backup Client kommt generell bei Aktivierung der SSL Datenverschlüsselung die Meldung, dass das SSL-Zertifikat der Diskstation nicht vertrauenswürdig ist2018-12-09 23_05_43-Cloud Station Backup.png
Der Zugriff auf die DS von extern funktioniert ohne Probleme per SSL, Zertifikat per Let's Encrypt.
Die SSL-Verbindung ist mir am Laptop wichtig, sodass die Backups auch von extern gemacht werden - das funktioniert auch (nach Bestätigung der Meldung), nur per Wechsel ins eigene Netz kommt dann wieder obige Meldung, welche 2-3x zu bestätigen ist - ich verstehe das nicht.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.799
Punkte
314
Servus und Willkommen im Forum.
Kannst du bitte zur Sicherheit nachschauen ob für die Dienste auf deiner DS auch tatsächlich das LE Zertifikat benützt wird, oder ob da vielleicht noch das synology.com Zertifikat eingestellt ist?
DSM > Hauptmenü > Systemsteuerung > Sicherheit > Register "Zertifikat" > die Zeile mit dem LE Zertifikat anklicken damit sie blau markiert wird > Schaltfläche "Konfigurieren" anklicken > neues Fenster > du solltest jetzt eine Liste der Dienste die Laufen auf deiner DS sehen können und in der Spalte Zertifikat das jeweils derzeit dafür benützte Zertifikat, da sollte überall die ddns eingetragen sein auf welche das LE Zertifikat ausgestellt wurde.
Falls nicht, betreffende Zeile markieren und rechts auf das schwarze Dreieck klicken und aus der sich jetzt öffnenden Liste die ddns vom LE Zertifikat anklicken. Steht da bei deinem LE Zertifkat drunter (Standartzertifikat)?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Das ist vermutlich der gleiche Fehler wie mit Hyper Backup.
Der Client prüft nicht nur auf ein gültiges Zertifikat, sondern merkt sich auch den Fingerabdruck.
Nach 90 Tage Wechsel des LE Zertifikats kommt dann so eine blöde Meldung oder das Backup wird angehalten, weil sich natürlich bei der Zertifikatserneuerung der Fingerabdruck ändert.
Der normale Browser schaut nicht so genau. Dem reicht es wenn der Name zum Namen im Zertifikat passt, das Gültigkeitsdatum ok ist und das Zertifikat von einer vertrauten root-CA unterschrieben ist.
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.569
Punkte für Reaktionen
1.396
Punkte
234
Ich verstehe nicht, dass dem User keine Möglichkeit gegeben wird, die Prüfung auf einen geänderten Fingerprint zu deaktivieren, sofern das Zertifikat vertrauenswürdig bleibt. Gerade 'einfache' User sind von der Warnung irritiert. Man kann ihnen nur schwerlich den Unterschied dazu beibringen, wann sie eine Zertifikatswarnmeldung einfach wegklicken sollen und wann es eine kritische Meldung ist, die man auf keinen Fall wegklicken soll.
Das weitere Problem ist: wenn man alle 8 Wochen auf verschiedenen Stellen eine Zertifikatswarnmeldung einfach wegklicken soll, neigt der User dazu, nachlässig zu werden.

Die DS Drive-App auf iOS sagt einfach irgendwann, dass der User keine Berechtigung hat, die gewünschte Datei zu öffnen (browsen in Ordnern kann man noch). Erst in den Einstellungen wird angezeigt, dass ein geändertes Zertifikat akzeptiert werden muss. Der Photoupload in DS Photo soll einfach im Hintergrund ablaufen, ohne dass ich erst nach einer gewissen Zeit feststellen muss, dass der seinen Dienst aus obigen Grund ausgesetzt hat.

Lieder sieht das Synology als Feature, was so sein soll. Für mich unverständlich :mad:
Alleine schon der dadurch entstehende Supportaufwand (wie dieses Beispiel zeigt), sollte Synology zu einer alternativen Möglichkeit bewegen.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Verstehen tu ich es auch nicht zumal es kein allzu großer Aufwand sein sollte das zu ändern (z.B. mit key-pinning (es wird der Schlüssel für das nächste beantragte Zertifikat schon bekannt gegeben) sollte es lückenlos möglich sein das zu validieren). Dachte eigentlich, dass dies oder alternative Methoden mal kommen würden, nachdem das schon vor über zwei Jahren diskutiert wurde.
https://www.synology-forum.de/showt...-weiter-absichern/page6&highlight=key+pinning

Vielleicht sind sie über noch mehr Probleme gestolpert / mehr Support Aufwand (selbst ausgesperrte Benutzer mit key-pinning und HSTS z.B.) oder es ist halt wie vieles einfach im Sand verlaufen.
 

hcxgerwin

Benutzer
Mitglied seit
11. Feb 2018
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Problem extern/intern

Servus und Willkommen im Forum.
Kannst du bitte zur Sicherheit nachschauen ob für die Dienste auf deiner DS auch tatsächlich das LE Zertifikat benützt wird, oder ob da vielleicht noch das synology.com Zertifikat eingestellt ist?
DSM > Hauptmenü > Systemsteuerung > Sicherheit > Register "Zertifikat" > die Zeile mit dem LE Zertifikat anklicken damit sie blau markiert wird > Schaltfläche "Konfigurieren" anklicken > neues Fenster > du solltest jetzt eine Liste der Dienste die Laufen auf deiner DS sehen können und in der Spalte Zertifikat das jeweils derzeit dafür benützte Zertifikat, da sollte überall die ddns eingetragen sein auf welche das LE Zertifikat ausgestellt wurde.
Falls nicht, betreffende Zeile markieren und rechts auf das schwarze Dreieck klicken und aus der sich jetzt öffnenden Liste die ddns vom LE Zertifikat anklicken. Steht da bei deinem LE Zertifkat drunter (Standartzertifikat)?

Danke für die rasche Antwort - gecheckt - ich habe vermutlich ein grundlegendes Verständnisproblem:
Ich habe heute vom Provider, bei welchem ich eine Domain habe, das Zertifikat gespeichert - dann im DSM unter Zertifkate mal die bisherigen Zertifkate gelöscht, dann per Hinzufügen die vom Provider zu meiner Domain gespeichertes LE Zertifkat geladen - hat alles funktioniert.
Ich kann von extern ohne Probleme per https zugreifen, sehe im Browser die https Verbindung - funktioniert perfekt. Genauso kann ich per Cloud Station Backup Client von außen eine SSL Verbindung aufbauen - passt alles.
ABER: wechsle ich ins interne Netzwerk, dann muss die Verbindung zu Cloud Station Backup wieder eingerichtet werden und es gibt keine SSL Verbindung - Hinweis: bei "Verbindung" verwende ich Quickconnect.

Da mein Router getauscht wird (anderes Problem) kann ich im Moment nicht in der DHCP Adressliste einrichten, dass ich den gleichen Namen der (externen) Domain auch im lokalen Netzwerk verwende - ich vermute, ich habe da ein generelles Verständnisproblem. Bin für jede Erklärung dankbar!! Irgendwo habe ich einen grundlegenden Fehler.
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.569
Punkte für Reaktionen
1.396
Punkte
234
…ABER: wechsle ich ins interne Netzwerk, dann muss die Verbindung zu Cloud Station Backup wieder eingerichtet werden und es gibt keine SSL Verbindung - Hinweis: bei "Verbindung" verwende ich Quickconnect
Quickconnect und 'interne IP' passen aber nicht zu deiner Domain mit dem passenden Zertifikat.
 

hcxgerwin

Benutzer
Mitglied seit
11. Feb 2018
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Quickconnect und 'interne IP' passen aber nicht zu deiner Domain mit dem passenden Zertifikat.
ja, richtig - habe darüber nachgedacht - Problem ist jetzt gelöst...und getestet!
Im Cloudstation Client unter Verbindung den Server mit entsprechender LE zertifkat eingetragen, da der geliehene Router keine NAT Loopback kann, im Windows die hosts Datei entsprechend verlinkt (IP Adresse zu Server) - und jetzt funktioniert alles bei Zugriff intern als auch extern ohne meckern.
Thx for support, brauchte etwas Anstoß um das zu kapieren!
 

Crash1601

Benutzer
Mitglied seit
27. Jan 2009
Beiträge
360
Punkte für Reaktionen
14
Punkte
24
Hallo,

das Thema ist zwar schon etwas älter, aber meine Frage passt hier rein. Für Synology Drive (aktuelle Version) habe ich unter Zertifikate ein LetsEncrypt Zertifikat hinterlegt. Domainname passt und das Zertifikat ist nicht abgelaufen. Wenn ich nun Synology Drive 2.0.4-11112 für Windows auf Windows 10 20H2 installiere und die Verbindung einrichte (neue Einrichtung), erscheint immer, dass das Zertifikat nicht vertrauenswürdig wäre. Trotz korrekter URL etc.

Mit anderen Diensten habe ich solche Probleme nicht.

Meine Frage: Kann ich am Windows 10 Client irgendwo sehen welches Zertifikat wirklich genutzt/abgerufen wird? Leider sieht man im Synology Drive Client nichts, außer der Meldung.

Bei OpenVPN kommt es bei einem Zertifikatswechsel manchmal vor (nicht erneuern, sondern komplett wechseln), dass der Dienst neu installiert werden muss, damit auch wirklich das neue Zertifikat genutzt wird.

Danke!

Gruß
Crash1601
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.569
Punkte für Reaktionen
1.396
Punkte
234
Hast du dein LE-Cert auch der Anwendung "Drive" in den Zertifikatseinstellungen zugeordnet (Button "Konfiguration")?
 

Crash1601

Benutzer
Mitglied seit
27. Jan 2009
Beiträge
360
Punkte für Reaktionen
14
Punkte
24
ja habe ich gemacht :)
 
Zuletzt bearbeitet von einem Moderator:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat