Ein kostenloses SSL Zertifikat für Eure Synology

Claus Wolf

Seit 1994 im Netz unterwegs und seit 2004 eingefleischter Mac-Nutzer. 21.5″ iMac – 2.9GHz Intel Core i5, 16GB RAM, 1TB Fusion Drive HDD / 128GB iPhone 7 / 128GB iPad 9,7″ (2017) / 15″ MacBook Pro (Mitte 2014) in der Firma…

Das könnte Dich auch interessieren...

19 Antworten

  1. Karl sagt:

    Was macht das Zertifikat denn soviel besser als das, welches ich mit dem Button neben Zertifikat importieren erstellen kann?

    • Claus Wolf sagt:

      Das kommt auf den Anwendungsfall an :) In meinem Fall habe ich eine Domain mit dem Webserver der Synology verbunden, das „Letsencrypt.org“ Zertifikat wird von allen großen Browsers akzeptiert und so kann jeder sich auf den Webserver zugreifen und bekommt eine sichere Verbindung geboten. Das selbstsignierte Zertifikat würde im Browser immer eine Warnmeldung auslösen. Das ist natürlich vollständig ok, wenn Du der einzige bist, der auf die Synology zugreifen will / soll. Also beide Zertifikate taugen, aber je nach Anwendungsfall ist das „Lentsencrypt.org“ Zertifikat einfach anwenderfreundlicher…

  2. Abdel sagt:

    Hallo Claus Wolf,

    erstmal vielen Dank für die Anleitung.
    Ich habe mir auch ein Strato Account angelegt und bin genau nach deiner Anleitung vorgangen.
    Wenn ich das Zertifikat erstellen möchte, erhalte ich folgende Fehlermeldung:

    Hallo Claus Wolf,

    erstmal vielen Dank für die Anleitung.
    Ich habe mir auch ein Strato Account angelegt und bin genau nach deiner Anleitung vorgangen.
    Wenn ich das Zertifikat erstellen möchte, erhalte ich folgende Fehlermeldung:

    pi@raspberrypi:/opt/letsencrypt $ ./letsencrypt-auto certonly –rsa-key-size 4096 -d „meineDomain“.com -d www.“meineDomain“.com
    Checking for new version…
    Requesting root privileges to run letsencrypt…
    sudo /home/pi/.local/share/letsencrypt/bin/letsencrypt –no-self-upgrade certonly –rsa-key-size 4096 -d „meineDomain“.com -d www.“meineDomain“.com
    Failed authorization procedure. „meineDomain“.com (tls-sni-01): urn:acme:error:tls :: The server experienced a TLS error during domain verification :: Failed to connect to host for DVSNI challenge, www.“meineDomain“.com (tls-sni-01): urn:acme:error:tls :: The server experienced a TLS error during domain verification :: Failed to connect to host for DVSNI challenge

    IMPORTANT NOTES:
    – The following errors were reported by the server:

    Domain: „meineDomain“.com
    Type: tls
    Detail: Failed to connect to host for DVSNI challenge

    Domain: www.“meineDomain“.com
    Type: tls
    Detail: Failed to connect to host for DVSNI challenge

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A record(s) for that domain
    contain(s) the right IP address. Additionally, please check that
    you have an up-to-date TLS configuration that allows the server to
    communicate with the Let’s Encrypt client.

    Könntest du mir sagen, was ich da falsch mache?

    Vielen Dank im Voraus für die Bemühungen.

    LG Abdel

    • Claus Wolf sagt:

      Auf den ersten Blick würde ich behaupten, das die Anfürhungsstriche in dem Domain-Namen sind – die gehören da nämlich nicht hin ;) Aber so richtig „fest“ mag ich das nicht behaupten :)

      • Abdel sagt:

        Hehe, selbstverständlich habe ich die Domains ohne Anführungsstriche. Kannst du mit der Fehlermeldung Failed to connect to host for DVSNI challenge etwas anfangen?

        • Claus Wolf sagt:

          Naja, war auch nur ein Versuch. Hast Du Denn in Deinem Router den Port 443 freigeschaltet. Hier wird ja automatisch auf den Server zugegriffen, um sicherzustellen, dass Du den auch besitzt. Wenn der Port 443 (SSL) kann es zu dem Fehler kommen. Sagt zu mindestens Kamerad Google – will sagen, ich weiß es auch nicht so genau ;)

          • David sagt:

            Ich würde fast vermuten zum Zeitpunkt des Zertifikatsrequests war die Domain seitens Strato noch nicht freigeschaltet (auch wenn das Konto bereits aktiv ist). Ich habe soeben auch diese Fehlermeldung erhalten und siehe im Strato Konto ist die Domain noch in Bearbeitung.

            Ansonsten danke für das tolle Tutorial!

            Die Frage nach dem besser oder schlechter wurde bereits ansatzweise beantwortet.

            Ein self-signed Zertifikat ist genauso sicher, wie eines von einer offiziellen CA (Certificate Authority) ausgestelltes. Es ist jedoch (für andere, man selbst weiß ja, dass es das eigene ist) nicht vertrauenswürdig. Ein CA Zertifikat ist hingegen als vertrauenswürdig eingestuft, die CA ist der Vertrauensanker, die dir bescheinigt „du“ zu sein.

            Wie gesagt, das ist nur wichtig, wenn du fremden Zugriff auf dein „System“, hier dein NAS, geben möchtest.

            Sicher bzw. unsicherer ist keins von beiden Zertifikaten, weder das offizielle noch ein self-signed.

  3. jo sagt:

    In letzten Screenshot ist die Domain noch beim 2. Schloss lesbar

  4. Sheldor sagt:

    Danke für die Anleitung.

    Ich habe zuerst das lets encrypt Zertifikat direkt über die Synology Diskstation erstellt (importieren entfällt hierbei) was jedoch nicht zu funktionieren scheint (deswegen wollte ich es jetzt noch mal über den von dir beschriebenen Weg probieren)

    Ich habe jedoch weder ein Rasperry Pi noch ein Linux mit Webserver. Brauche ich das überhaupt? Soweit ich das richtig sehe, wird einfach nur in einen Ordner namens „opt“ gewechselt (wozu auch immer der gehören mag) und das lets encrypt repo runtergeladen. Demnach müsste doch ein Terminal im Prinzip hier völlig ausreichen, ganz ohne Webserver/bestimmter Umgebung oder verstehe ich da etwas falsch?

  5. David sagt:

    Hallo,

    gilt der Zugriff per SSL dann auf die Top-Level-Domain oder benötige ich unbedingt eine Subdomain hierfür?
    2. Punkt Verwende ich dann auch die Top-Level-Domain in der Fritzbox oder die Subdomain um anschließend auf meine NAS zugreifen zu können?

    Danke und Grüße
    David

    • Claus Wolf sagt:

      Hallo David,

      Ein SSL-Zertifikat wirst Du nie für eine Top-Level-Domain bekommen, da die TLD für Deutschland „.de“ ist und so ein Wildcard stellt Dir hoffentlich keiner aus ;) Nachdem wir die Frage aus dem Weg haben, was eine TLD ist, zur eigentlichen Frage brauchst Du ne Subdomain für das NAS, oder nicht.

      Das ist ein gutes Stück komplizierter, als es sich auf Anhieb zeigt. Die Antwort ist: Du brauchst keine Subdomain, auch wenn Du mit Fritz.Box und Synology gleich zwei Geräte am laufen hast. Das ganze habe ich bei mir über die Port-Weiterleitung gemacht:

      Das SSL Zertifikat ist für die Synology und dort auch hinterlegt.

      Da Du nie einen ganzen Server oder Computer in die DMZ stellen willst, musst Du einzelne Ports und Port-Bereiche weiterleiten. Während das SSL Zertifikat nun also für die Domain gilt, ist es eigentlich so, dass das SSL Zertifikat eigentlich nur für bestimmte Services und somit Ports gilt. HTTPS = Port 443

      In der Fritz.Box habe ich nun sichergestellt, dass der SSL Port (443) aus dem Internet auf den SSL Port der Synology weitergeleitet ist, wo ein Webserver aktiv ist. Somit kommt eine Anfrage aus dem Netz an https://www.meineDomain.de also bei meiner Synology raus. [Die Domain ist übrigens frei erfunden, sorry, wenn meineDomain.de wem gehört, mir ist sie nicht]

      Die Admin-Oberfläche meiner Synology habe ich nun gar nicht im Internet freigegeben, dafür habe ich eine VPN Verbindung. VPN an, Verbindung zur Admin-Oberfläche und gut ist. Die VPN Verschlüsselt auch.

      Ich würde mir also weniger Gedanken um Subdomains machen, sondern eher um die möglichen Ports. Aber vielleicht habe ich auch nur Deine Frage nicht richtig verstanden.

  6. Hallo,

    vielen Dank für die Anleitung, Letscrypt-Zertifikate auf einem Synology-NAS zu installieren.

    Auf einem NAS wird u.a. ein Cloud-Syncronisatioms-Service verwendet. Die Verbindungsaufnahme ist auch mit SSL verschlüsselt. Bislang habe ich ein SSL-Zertifikat von http://cacert.org/ verwendet.

    Nach Ablauf der Gültigkeit eines SSL-Zertifikats muss bei allen Clients die Verbindung einmalig neuu eingerichtet werden. Bislang war diese Aktion alle 180 Tage fällig. Wenn das Zertifikat von Letscrypt eingesetzt wird, muss die Aktion alle 90 Tage durchgeführt werden.

    Oder meckert der Cloud-Station-Client bei diesem letscrypt-Zertifikat nicht mehr, wenn es neu ausgestellt wird?

    • Claus Wolf sagt:

      Ich weiß es auch nicht, aber ich denke, dass sich die Clients beschweren werden, weil sich das Zertifikat geändert hat und somit das aufgebaute Vertrauen nicht bestätigen lässt.

  7. noname sagt:

    dyndns mit ssl und strato funktioniert super für ipv4.
    bei ipv6 hört der Support leider auf:

    „DynDNS für IPV 6 ist bei STRATO nicht verfügbar. Wann dies eingeführt wird ist bis dato nicht bekannt.

    Bei Fragen stehe ich Ihnen gerne weiter zur Verfügung.“

    Ich bin derzeit auf der suche nach einer Alternative

  1. 13. März 2016

    […] ich mein https-Zertifikat für die Synology bei letsencrypt.org erstellt habe, sind nun fast  3 Monate vergangen und somit war es Zeit das Zertifikat zu erneuern. Hier die […]

  2. 31. März 2016

    […] Euch, wie man mit Raspberry Pi und Let’s Encrypt ein SSL Zertifikat für die eigene Synology erstellt bzw. erneuert. Heute freue ich mich Euch berichten zu können, dass Synology mit der neuen Version […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.