Seit Let’s Encrpyt für jeden Anwender offen steht, gibt es als Betreiber eines Webservers eigentlich keinen Grund auf SSL-Verschlüsselung zu verzichten. Für viele Systeme gibt es bereits Implementationen des Dienstes, der das Zertifikat automatisch generiert und im System installiert. Nun lassen sich die Let’s Encrypt-Zertifikate nicht nur auf ausgewachsenen Server nutzen, sondern auch auf NAS-Systemen. Da man auf diesen allerdings nicht so leicht einen Let’s Encrypt-Client installieren kann, muss man dies in der Regel von Hand machen. Für Synology-Geräte hatte ich ja neulich die Installation eines Let’s Encrypt-Zertifikats ausführlich beschrieben. Mit dem anstehenden Update auf DSM 6.0 fällt das Gebastel in Zukunft jedoch weg.
Synology DSM 6.0 unterstützt Let’s Encrypt
Nun lässt sich Synology wohl nicht lange bitten und rollt Let’s Encrypt in der kommenden Version der DSM-Software aus. Mit der aktuell vorliegenden Version DSM 6.0 Beta 2 des Betriebssystems lässt sich das Ganze bereits testen — bis zum endgültigen Release wird sich an dieser Stelle wohl auch nicht mehr viel ändern. Wer nun Let’s Encrypt zusammen mit seiner Diskstation nutzen möchte, der muss den Port 80 von seinem Router auf die Diskstation weiterleiten. Auf einer Fritzbox etwa könnt ihr diese Portweiterleitung unter Internet | Freigaben | Portfreigaben einrichten. Ihr braucht Port 80/TCP (http) für den Let’s Encrypt-Client und für später dann selbstverständlich auch Port 443/TCP (https) für die verschlüsselten Daten.
Danach öffnet ihr das Webfrontend eures Synology-Systems und geht in die Systemsteuerung. Dort wählt ihr dann Sicherheit | Zertifikate an. Die Liste ist selbstverständlich anfangs noch leer, mit einem Klick auf Hinzufügen startet ihr hier das Erzeugen eures Let’s Encrpyt-Zertifikats. Der Assistent fragt euch im ersten Schritt ob ihr ein Neues Zertifikat hinzufügen möchtet oder ob ihr ein Vorhandenes Zertifikat ersetzen möchtet — in meinem Fall gab es bereits eines, im Endeffekt unterscheidet sich das weitere Vorgehen jedoch nicht.
Let’s Encrpyt auf Synology einrichten
Der mit DSM 6.0 überarbeitete Zertifikats-Assistent bietet euch nun den Punkt Zertifikat von Let’s Encrypt abrufen. Dieser Menüpunkt startet nun, genauso wie auf einem „richtigen“ Webserver, den Let’s Encrpyt-Client. Dieser erzeugt die Schlüsselt, authentifiziert euch automatisch gegenüber Let’s Encrpyt und spielt dann abschließend die erhaltenen Zertifikate in das System ein. Mehr als ein paar Klicks braucht die Installation der Let’s Encrpyt-Zertifikate daher also nicht mehr. Das umständlich Basteln und hier und her Schieben der Daten fällt komplett weg.
Am Ende sollte euer Browser mit einem grünen Schloss-Symbol in der Adresszeile signalisieren, dass mit der Verschlüsselung eures Synology-NAS alles stimmt. Das Zertifikat kommt nun automatisch nicht nur beim Aufruf der Weboberfläche zum Einsatz, sondern unter anderem auch bei FTP- oder WebDAV-Verbindung. So könnt ihr super einfach von unterwegs — die meisten Dateimanager unter Linux unterstützen ja Verbindungen zu entfernten Systemen — auf die Daten eures NAS-Systems zugreifen. Damit dies allerdings ohne Warnungen funktioniert, müsst ihr wahrscheinlich noch das Stammzertifikat von Let’s Encrypt auf eurem Linux-System installieren.
Dann hoffe ich mal, dass es nicht mehr solange dauert bis das endgültige Release da ist. Für Otto-Normal-Verbraucher war es vorher schon nicht einfach, da dass passende Zertifikat einzuspielen.
Hallo, trotz Portweiterleitung (80 u. 443) wird mir nach Anklicken auf den Buton „Übernehmen“ folgende Fehlermeldung angezeigt, „Stellen Sie sicher, das auf den Port 80 der Diskstation und des Routers über das Internet zugegriffen werden kann.“
Dann ändere mal bitte die Weiterleitung. Von außen Port 80 auf Diskstation Port 5000. Oder trage dies als weitere Weiterleitung ein.
Ne, Port 80 muss in meinen Augen vom Router zwingen auf Port 80 der Synology weiterleiten. Die Authentifizierung geschieht ja über den Webserver und nicht über DSM. Ich habe folgende Portfreigaben eingerichtet:
HTTP: 80/TCP (Router) auf 80/TCP (Diskstation)
HTTPS: 443/TCP (Router) auf 443/TCP (Diskstation)
DSM: 5001/TCP (Router) auf 5001/TCP (Diskstation)
Dazu noch andere Portweiterleitungen für WebDAV, OpenVPN und SSH, aber die sollten ja eigentlich für die Authentifizierung via Let’s Encrypt keine Rolle spielen.
Auch ich hatte die zweifelhafte Ehre die unglaublich hilfreiche und optisch wie sprachlich ansprechende Fehlermeldung
die im Englischen übrigens schnöde
lautet, gestern kennen und lieben zu lernen. Nach reichlicher Verwendung unterschiedlichster Flüche habe ich das Teil aber gerade zum Laufen gebracht.
Hier meine 50 Cent zur Lösung:
1) Auf dem Router die Ports 80 und 443 direkt auf die DiskStation durchreichen/natten (80 auf 80 und 443 auf 443) – ob das für die 443 wirklich nötig ist, kann ich jetzt nicht mehr prüfen.
2) Auf der DiskStation muß ein Dienst via http (ohne Port) direkt erreichbar sein, also in der Systemsteuerung -> Netzwerk -> DSM Einstellungen den Haken bei HTTP Verbindung automatisch zu HTTPS umleiten rausnehmen und ggf. in Paket-Zentrum -> Dienstprogramme das Paket Web Station installieren und konfigurieren. Via
http://InternerDiskStationName
sollte jetzt was sinnhaftes angezeigt werden (nicht das DMS und auch kein Ladefehler!)3) Wie oben beschrieben das Zertifikat von Let’s Encrypt installieren und aktivieren.
4) Die Weiterleitung von Port 80 und die Web Station können/sollten jetzt wieder deaktiviert werden.
5) Die Weiterleitung von Port 443 sollte jetzt auf den internen HTTPS Port der DSM weisen (default ist 5001).
Und schon ist der Drops gelutscht! 🙂
Viel Spaß beim Implementieren und ich hoffe ich konnte dem ein oder anderen etwas Lebensqualität zurückgeben.
Nichts zumachen, gleiche Fehlermeldung.
Ich habe mein altes Zertifikat gelöscht und durch Let’s Encrypt an meiner Diskstation ersetzt. Wenn ich nun meine Dyndns Adresse aufrufe wird auch das grüne Schloss angezeigt. So wie es sein soll. Klicke ich da drauf, wird allerdings der Anbieter des alten Zertifikats angezeigt (StartCom). Wie kann das sein?!
Wahrscheinlich hast du beim Anlegen des Let’s-Encrpyt-Zertifikats dieses nicht als Standard-Zertifikat erzeugen lassen. Wähle daher das Let’s-Encrpyt-Zertifikat an und tippe auf Konfigurieren, dort kannst du dann für jeden Dienst auswählen, welches Zertifikat benutzen soll. Alternativ löscht du das Let’s-Encrpyt-Zertifikat nochmal und erzeugst ein neues, dann kannst du es auch als Standard definieren.
Hi,
ich weiß nicht, welchen Domainnamen ich nehmen soll.
meineSynology.synology.me
funktioniert nicht. Kannst Du mir helfen?
Hi, du musst unter der URL den Port 80 (also den Webserver) deiner Diskstation erreichen. Funktioniert das? Grüße, Christoph
Sofern du deine URL schon in allen Screenshots unkenntlich machst, solltest du das auch noch im letzten Screenshot, bei den Zertifikatseigenschaften tun 😉
Grummel, das passiert mir immer wieder. Danke für den Hinweis. Christoph
Hat mit dem Zertifikat erstellen in DSM6 gut funktioniert. Leider erscheint nun beim Aufruf der Adresse: „Beispiel.de“ immer nur die DSM-Anmeldung. Früher ist meine Webseite aus der Webstation erschienen. Wie könnte man das ändern, ohne das Zertifikat und das grüne Schloß wieder zu entfernen? Hatte ja schon mit den Ports experimentiert, aber ohne Erfolg. Mit einem direkten Aufruf der Adresse „Beispiel.de/Webseite1“ lassen sich nur PHP Seiten bzw. CMS´s wie WordPress oder Joomla aufrufen. Meine Fragerei gehört warscheinlich woanders hin, aber ich probier es einfach mal.
Auf jedenfall war das Prozedre mit der Zertifikatserstellung aufgrund dieses Tutorial sehr gut nachvollziehbar. Dafür bin ich jedenfalls sehr froh gewesen.
Jürgen
Hallo Jürgen, unter deine.domain.de:80 bzw. einfach nur deine.domain.de sollte eigentlich die Synology Webstation (also der Webserver) und nicht das Webfrontend erscheinen. Diese solltest du eigentlich nur über deine.domain.de:5001 erreichen. Kann es sein, dass du vielleicht eine Portweiterleitung von Port 80 auf Port 5001 eingerichtet hast, bzw. in den Einstellungen des Webfrontends von DSM den Port auf 80 geändert hast? Grüße, Christoph.
Hi Cristoph, auch nach Tagen des „Probierens“ bin ich nicht weitergekommen mit dem Aufruf meiner Webstation unter meiner Domain. Habe auch alle Portweiterleitungen überprüft und nur den Port 80 und 443 neu auf meiner Fritzbox eingerichtet. Habe auch mit dem virtuellen Host experimentiert, auch da ohne Erfolg. Mittlerweile gehe ich davon aus dass DSM6 noch nicht so ausgereift ist. In den Foren wird auch über Probleme mit der erreichbarkeit von der Photostation berichtet. Es wunderte mich halt nur dass nach der Installation von DSM6 und dem Zertifikat meine Webstation nicht mehr erreichbar war. Kann auch an meiner alten DS111 liegen die ich nur als Webstation benutzt habe. Bei meiner DS215 funktioniert ja alles. Allerdings wurde mir die Aktualisierung im Rahmen des Updates von DSM5 auf DSM6 explizit angeboten. Ich setze nun alles neu auf. Dann schauen wir weiter. Sollte es doch noch funktionieren, werde ich Bescheid geben. Gruß Jürgen
Hallo,
kann man die port weiterleitung nach der Installation wieder deaktivieren oder muss die ständig aktiv sein. Ich möchte nur owncloud von außen nutzen sonst nach Möglichkeit alles zu haben.
Gruß Christoph
Port 80 brauchst du spätestens alle paar Monate, wenn die Diskstation das Zertifikat aktualisiert.
Hallo Christoph,
tolle Anleitung, probier ich direkt aus. Eine Frage zu folgendem:
„Ihr braucht Port 80/TCP (http) für den Let’s Encrypt-Client und für später dann selbstverständlich auch Port 443/TCP (https) für die verschlüsselten Daten.“
Was muss man auf der Synology noch einrichten, um später die Daten verschlüsselt über den Port 443 außerhalb des eigenen Netzwerks zu empfangen? Stichwort DS Photo über VPN oder SSL, etc… Hast du dazu auch noch eine Anleitung?
Grüße
Hi N, DS Photo läuft ja über den Webserver der Diskstation. Also ganz normal über Port 80/HTTP oder eben Port 443/HTTPS. Öffnest du die Photo Station via https://foobar.com/photo ist die Verbindung verschlüsselt. VPN ist VPN und hat ja primär nichts mit dem SSL Zertifikat zu tun.
Irritiert euch auch der Hinweis bei der Zertifikatserstellung mit Let’s Encrypt, wo steht: „Rufen sie ein kostenloses unsicheres Zertifikat automatisch von Let’s Encrypt, einer offenen Zertifizierungsstelle, herunter“? Was steht da in der englischen Version? Ist das nur ein Übersetzungsfehler, oder will mich Synology hier darauf hinweisen, lieber kein Let’s Encrypt zu verwenden?
Hm, wenn ich der Anleitung folge bekomme ich zwar ein Zertifikat, aber es wird weiterhin als unsicher angezeigt. Was mache ich falsch?
Hallo zusammen,
ich habe folgendes Problem mit Let´s Encrypt und habe keine Ahnung wo der Fehler liegt. Verbindung zu Let´s Encrypt konnte nicht hergestellt werden. Achten Sie darauf, dass der Domainname gültig ist.
Habe folgenden domainnamen(z.B.) hbbogserv.de
Was mache ich falsch.
Danke für Eure Hilfe
Hallo Christoph,
zunächst tolle Beschreibung. Danke.
Ich habe nun auch die WEBstation installiert. Die WEBStation ist auf der NAS über Port 80 erreichbar.
Ich bekomme aber dieselbe Fehlermeldung wie Gruber Berhard.
Ich habe auch bereits Synology angeschrieben.
Vielen Dank für einen Tipp
Frank
Dass man Zertifikat für eine Subdomain bei synology.me erfolgreich automatisch im Synology bei Let’s Trust beziehen kann habe ich festgestellt. Nur hinterher beklagt sich der Browser noch immer das das Zertifikat unsicher ist. Die Fehlermeldung lautet:
.synology.me: verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist. Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate. Eventuell muss ein zusätzliches Stammzertifikat importiert werden. Das Zertifikat gilt nur für synology.com.
Woran liegt jetzt das Problem? Ich verstehs nicht.
Ich bekomme immer die Fehlermeldung:
„Verbindung zu Let’s Encrypt fehlgeschlagen. Bitte stellen Sie sicher, dass auf Ihrer Diskstation und Ihrem Router Port 80 für die Internet-Domainprüfung durch Let’s Encrypt geöffnet ist. Jegliche sonstige Netzwerkkommunikation mit Let’s Encrypt erfolgt zum Schutz Ihrer Diskstation über HTTPS.“
Port 80 ist definitiv in meiner Fritz.Box freigeschaltet. Firewall in der Diskstation deaktiviert. Ich weiss da nicht mehr weiter. Habt ihr einen heissen Tipp für mich?
Hi Bernd, neben Port 80 braucht es auch Port 443. Hast du beide durchgeleitet? Viele Grüße, Christoph
Verstehe die Probleme mancher nicht. Ich habe nur den Port 443 frei und alles läuft ohne Probleme.
Hallo alle zusammen. Herzlichen Dank für alle Ausführungen bis hierher! Das ist echt informativ und hilfreich.
Aber: ich stecke fest. Die Erneuerung des Let’s Encrypt Zertifikates hat bei mir nicht funktioniert. Ich vermute, das hängt damit zusammen, dass ich die Ports der DS geändert habe, wie von Synology geraten. Das heißt, Port 80 ist geändert auf 25025 (z.B.) und Port 443 auf 59472. Das hat bei der Installation des Zertifikates und überhaupt bisher gut funktioniert. Nur bei der Erneuerung nicht. Ich nutze eine FritzBox 7390. Ich hatte für die DS eine Weiterleitung für die Ports 80 und 443 eingerichet, ohne Erfolg. Muss ich im Router dann Weiterleitungen von Port 80 auf 25025 einrichten (wie macht man das?)? Das Zertifikat lief am 21. ab und nix war’s mit Erneuerung. Ach je, für eine Hilfestellung wäre ich echt dankbar.
Liebe Grüße – Martin K
Hallo Martin K.
ich mache es genau so wie die beiden Benutzern weiter oben und damit funktioniert es:
Christoph Langner 27. Januar 2016 at 15:28
Patric Sperling 18. November 2016 at 22:43
Schaue bei den Beiden nochmal nach.