Toggle sidebar

Zusammenspiel Nginx Proxy Manager und Synology - Cert Export

S

shirocko

Benutzer
Registriert
24. Okt. 2008
Beiträge
193
Reaktionspunkte
15
Punkte
18
Hallo zusammen,

ich betreibe privat eine DS920+ unter einer eigenen Domain die teils von außen erreichbar ist, aber primär intern über AdGuard nutzbar ist.
Hierfür hatte ich früher den Reverse Proxy der Disk Station selbst genutzt, um die bestimmte Anfragen auf die korrekten Ports zu leiten.
Zusätzlich war ein Docker Container mit acme.sh aktiv, um für meine Domain mittels DNS Challenge ein zum einen ein Wildcard Zertifikat zu erstellen und zusätzlich eins für eine dediziertes Subdomain für die Disk Station selbst.
Also folgende Zertifikate zum Beispiel:
*.example.com
*.syno.example.com

Durch die Anschaffung eines Thin Client mit Proxmox Installation habe ich viele Software migriert auf Proxmox mittels LXC Container, Docker oder VM.
Das funktioniert soweit auch tadellos.
Nun bin ich mit dem Reverse Proxy und für die Zertifikaterstellung auf den Nginx Proxy Manager (NPM) als Docker Container unter Proxmox umgestiegen.
Die Erstellung des Wildcard Zertifikats mittels DNS Challenge hat auch wunderbar geklappt und auch alle Reverse Proxy Einträge klappen problemlos.

Nun laufen allerdings das bisher noch gültige Zertifikat in der Disk Station für syno.example.com und *.syno.example.com ab.
Das bereitet besonders Probleme bei der Drive Station, da ich diese intern über die Domain anspreche, um ständige Zertifikatswarnungen zu vermeiden.
Das Zertifikat auf der Disk Station selbst kann nicht erneuert, da der Port 80/443 mittlerweile woanders hin zeigen und eine DNS Challenge kennt die Disk Station selbst nicht.
Nun könnte ich über acme.sh erneut Zertifikate über Letsencrypt anfordern, diese widersprechen sich dann aber mit denen im NPM.

Wie kann ich die Zertifikate aus dem NPM exportieren und als Standard Zertifikat in der Disk Station nutzen?
Generell benötigt die Disk Station ja ein Zertifikat, um überhaupt zu funktionieren.
Ich könnte ein selbst signiertes erzeugen und die alten syno.example.com Einträge raus schmeißen, aber dann präsentiert der Drive Station Client wieder ein selbst signiertes Zertifikat was ich vermeiden möchte.
Wie komme ich aus diesem Teufelskreis raus und kann die im NPM abgerufenen Zertifikate der Syno periodisch unterschieben für die interne Nutzung?

Danke,
shirocko
 
Zuletzt bearbeitet:
Ich habe ein ähnliches Konstrukt.
Du kannst folgendes tun:
-acme.sh weiter auf der DS laufen lassen für Zertifikatserstellung
-den acme.sh Container auch auf Proxmox umziehen und von da die Certs nach DSM Deployen lassen (so mache ich es)
-alles über den RP NGINX machen und nix mehr direkt über die DS (dann braucht die kein Cert mehr)

Du kannst Certs per DNS Challenge grundsätzlich auf mehreren Servern anfordern. Bei mir zum Beispiel:
-Proxmox VE: Holt Cert per integriertem acme Plugin
-Proxmox Backup Server: Macht es genauso
-NGINX RP in Docker (Proxmox): Holt seine eigenen Certs
-acme.sh in Docker (Proxmox): Erneuert Cert und deployd es auf die DS
shirocko schrieb:
Nun könnte ich über acme.sh erneut Zertifikate über Letsencrypt anfordern, diese widersprechen sich dann aber mit denen im NPM.
Zum Vergrößern anklicken....
Spielt keine Rolle

EDIT: Ich hab mich seinerzeit ebenfalls mit dem Export der Certs aus dem NGINX RP befasst. Ergebnis: Habs nicht geschafft. Das Deploy über acme auf den anderen Hosts ist einfacher.
 
Deine letzten Worte....
Heißt das, daß Du aus dem npm keine Zertifikate exportieren kannst?
 
Das heißt, dass m.E. der Aufwand, das über Ex- und Import über den npm zu machen, wesentlich größer ist.
Man kann und soll ja des /etc/letsencrypt Verzeichnis des npm auf den Host mappen und da käme man auch an die Certs ran. Aber da irgendein Script hinbasteln, welches die Certs nach Proxmox und DSM schiebt. Kann man machen, ich fand den Deploy mittels acme auf den einzelnen Hosts einfacher.
 
  • Like
Reaktionen: Benie
Danke für die zügige Rückmeldung @plang.pl
Ich denke ich werde vorerst auf deine 2. Lösung umsteigen mit dem Betrieb des acme Containers auf Proxmox und dann deploy auf die Disk Station.
Ich werde aber mal versuchen die Zertifikate aus dem Letsencrypt Verzeichnis vom NPM in die Syno zu importieren.

Ich habe auch testweise versucht die Disk Station über Adguard und NPM anzusprechen.
Das funktioniert an sich auch, aber ich weiß nicht wie die DS sich verhält, wenn man alle Zertifikate löscht und dann plötzlich kein gültiges Cert mehr vorhanden ist.
Außerdem stelle in unter Systemsteuerung->Sicherheit->Zertifikat->Einstellungen auch ein, welcher Dienst mit welchem Zertifikat arbeitet. Und wenn hier keins mehr vorhanden ist, ist mir auch das Verhalten an der Stelle unklar.
Und ein selbst signiertes Zertifikat kann man mit DSM 7.2 ja nicht mehr erstellen.

Und ich denke es kann auch nicht schaden, wenn die Disk Station ihre Zertifikate selbst hält, falls der NPM oder Adguard mal ausfällt.
 
Unter Zertifikate - Einstellungen - erweitert kann man zumindest die Zertifikate zurücksetzen, da wird auch wieder das Standardzertifikat von Synology erstellt (...steht zumindest so dran)
 
Jap, so kann man das lösen. Oder man behält halt einfach das ausgelaufene Zertifikat dafür. Spielt ja in dem Fall keine Rolle
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten