TEILEN

Seit Let’s Encrpyt für jeden Anwender offen steht, gibt es als Betreiber eines Webservers eigentlich keinen Grund auf SSL-Verschlüsselung zu verzichten. Für viele Systeme gibt es bereits Implementationen des Dienstes, der das Zertifikat automatisch generiert und im System installiert. Nun lassen sich die Let’s Encrypt-Zertifikate nicht nur auf ausgewachsenen Server nutzen, sondern auch auf NAS-Systemen. Da man auf diesen allerdings nicht so leicht einen Let’s Encrypt-Client installieren kann, muss man dies in der Regel von Hand machen. Für Synology-Geräte hatte ich ja neulich die Installation eines Let’s Encrypt-Zertifikats ausführlich beschrieben. Mit dem anstehenden Update auf DSM 6.0 fällt das Gebastel in Zukunft jedoch weg.

Synology DSM 6.0 unterstützt Let’s Encrypt

Nun lässt sich Synology wohl nicht lange bitten und rollt Let’s Encrypt in der kommenden Version der DSM-Software aus. Mit der aktuell vorliegenden Version DSM 6.0 Beta 2 des Betriebssystems lässt sich das Ganze bereits testen — bis zum endgültigen Release wird sich an dieser Stelle wohl auch nicht mehr viel ändern. Wer nun Let’s Encrypt zusammen mit seiner Diskstation nutzen möchte, der muss den Port 80 von seinem Router auf die Diskstation weiterleiten. Auf einer Fritzbox etwa könnt ihr diese Portweiterleitung unter Internet | Freigaben | Portfreigaben einrichten. Ihr braucht Port 80/TCP (http) für den Let’s Encrypt-Client und für später dann selbstverständlich auch Port 443/TCP (https) für die verschlüsselten Daten.

Für den verschlüsselten Zugriff müssten die Ports 80 (http) und 443 (https) vom Router auf das Synology-Nas geleitet werden.
Für den verschlüsselten Zugriff müssten die Ports 80 (http) und 443 (https) vom Router auf das Synology-Nas geleitet werden.

Danach öffnet ihr das Webfrontend eures Synology-Systems und geht in die Systemsteuerung. Dort wählt ihr dann Sicherheit | Zertifikate an. Die Liste ist selbstverständlich anfangs noch leer, mit einem Klick auf Hinzufügen startet ihr hier das Erzeugen eures Let’s Encrpyt-Zertifikats. Der Assistent fragt euch im ersten Schritt ob ihr ein Neues Zertifikat hinzufügen möchtet oder ob ihr ein Vorhandenes Zertifikat ersetzen möchtet — in meinem Fall gab es bereits eines, im Endeffekt unterscheidet sich das weitere Vorgehen jedoch nicht.

Let’s Encrpyt auf Synology einrichten

Der mit DSM 6.0 überarbeitete Zertifikats-Assistent bietet euch nun den Punkt Zertifikat von Let’s Encrypt abrufen. Dieser Menüpunkt startet nun, genauso wie auf einem „richtigen“ Webserver, den Let’s Encrpyt-Client. Dieser erzeugt die Schlüsselt, authentifiziert euch automatisch gegenüber Let’s Encrpyt und spielt dann abschließend die erhaltenen Zertifikate in das System ein. Mehr als ein paar Klicks braucht die Installation der Let’s Encrpyt-Zertifikate daher also nicht mehr. Das umständlich Basteln und hier und her Schieben der Daten fällt komplett weg.

Über die Systemsteuerung des Synology-NAS lassen sich nun Let's-Encrypt-Zertifikate erstellen.
Über die Systemsteuerung des Synology-NAS lassen sich nun Let’s-Encrypt-Zertifikate erstellen.
Die Let's-Encrypt-Zertifikate sollte das System auch automatisch aktualisieren.
Die Let’s-Encrypt-Zertifikate sollte das System auch automatisch aktualisieren.
Der Domain-Namen entspricht der URL, die ihr als DynDNS-Adresse zum Aufruf eurer Diskstation nutzt.
Der Domain-Namen entspricht der URL, die ihr als DynDNS-Adresse zum Aufruf eurer Diskstation nutzt.
Das grüne Schloss-Symbol in der Adresszeile des Browsers signalisiert: Die komplette Verbindung ist ordentlich verschlüsselt.
Das grüne Schloss-Symbol in der Adresszeile des Browsers signalisiert: Die komplette Verbindung ist ordentlich verschlüsselt.

Am Ende sollte euer Browser mit einem grünen Schloss-Symbol in der Adresszeile signalisieren, dass mit der Verschlüsselung eures Synology-NAS alles stimmt. Das Zertifikat kommt nun automatisch nicht nur beim Aufruf der Weboberfläche zum Einsatz, sondern unter anderem auch bei FTP- oder WebDAV-Verbindung. So könnt ihr super einfach von unterwegs — die meisten Dateimanager unter Linux unterstützen ja Verbindungen zu entfernten Systemen — auf die Daten eures NAS-Systems zugreifen. Damit dies allerdings ohne Warnungen funktioniert, müsst ihr wahrscheinlich noch das Stammzertifikat von Let’s Encrypt auf eurem Linux-System installieren.

Anzeige

23 KOMMENTARE

  1. Dann hoffe ich mal, dass es nicht mehr solange dauert bis das endgültige Release da ist. Für Otto-Normal-Verbraucher war es vorher schon nicht einfach, da dass passende Zertifikat einzuspielen.

  2. Hallo, trotz Portweiterleitung (80 u. 443) wird mir nach Anklicken auf den Buton „Übernehmen“ folgende Fehlermeldung angezeigt, „Stellen Sie sicher, das auf den Port 80 der Diskstation und des Routers über das Internet zugegriffen werden kann.“

      • Ne, Port 80 muss in meinen Augen vom Router zwingen auf Port 80 der Synology weiterleiten. Die Authentifizierung geschieht ja über den Webserver und nicht über DSM. Ich habe folgende Portfreigaben eingerichtet:

        HTTP: 80/TCP (Router) auf 80/TCP (Diskstation)
        HTTPS: 443/TCP (Router) auf 443/TCP (Diskstation)
        DSM: 5001/TCP (Router) auf 5001/TCP (Diskstation)

        Dazu noch andere Portweiterleitungen für WebDAV, OpenVPN und SSH, aber die sollten ja eigentlich für die Authentifizierung via Let’s Encrypt keine Rolle spielen.

  3. Ich habe mein altes Zertifikat gelöscht und durch Let’s Encrypt an meiner Diskstation ersetzt. Wenn ich nun meine Dyndns Adresse aufrufe wird auch das grüne Schloss angezeigt. So wie es sein soll. Klicke ich da drauf, wird allerdings der Anbieter des alten Zertifikats angezeigt (StartCom). Wie kann das sein?!

    • Wahrscheinlich hast du beim Anlegen des Let’s-Encrpyt-Zertifikats dieses nicht als Standard-Zertifikat erzeugen lassen. Wähle daher das Let’s-Encrpyt-Zertifikat an und tippe auf Konfigurieren, dort kannst du dann für jeden Dienst auswählen, welches Zertifikat benutzen soll. Alternativ löscht du das Let’s-Encrpyt-Zertifikat nochmal und erzeugst ein neues, dann kannst du es auch als Standard definieren.

  4. Hi,
    ich weiß nicht, welchen Domainnamen ich nehmen soll.

    meineSynology.synology.me

    funktioniert nicht. Kannst Du mir helfen?

  5. Sofern du deine URL schon in allen Screenshots unkenntlich machst, solltest du das auch noch im letzten Screenshot, bei den Zertifikatseigenschaften tun 😉

  6. Hat mit dem Zertifikat erstellen in DSM6 gut funktioniert. Leider erscheint nun beim Aufruf der Adresse: „Beispiel.de“ immer nur die DSM-Anmeldung. Früher ist meine Webseite aus der Webstation erschienen. Wie könnte man das ändern, ohne das Zertifikat und das grüne Schloß wieder zu entfernen? Hatte ja schon mit den Ports experimentiert, aber ohne Erfolg. Mit einem direkten Aufruf der Adresse „Beispiel.de/Webseite1“ lassen sich nur PHP Seiten bzw. CMS´s wie WordPress oder Joomla aufrufen. Meine Fragerei gehört warscheinlich woanders hin, aber ich probier es einfach mal.

    Auf jedenfall war das Prozedre mit der Zertifikatserstellung aufgrund dieses Tutorial sehr gut nachvollziehbar. Dafür bin ich jedenfalls sehr froh gewesen.

    Jürgen

    • Hallo Jürgen, unter deine.domain.de:80 bzw. einfach nur deine.domain.de sollte eigentlich die Synology Webstation (also der Webserver) und nicht das Webfrontend erscheinen. Diese solltest du eigentlich nur über deine.domain.de:5001 erreichen. Kann es sein, dass du vielleicht eine Portweiterleitung von Port 80 auf Port 5001 eingerichtet hast, bzw. in den Einstellungen des Webfrontends von DSM den Port auf 80 geändert hast? Grüße, Christoph.

      • Hi Cristoph, auch nach Tagen des „Probierens“ bin ich nicht weitergekommen mit dem Aufruf meiner Webstation unter meiner Domain. Habe auch alle Portweiterleitungen überprüft und nur den Port 80 und 443 neu auf meiner Fritzbox eingerichtet. Habe auch mit dem virtuellen Host experimentiert, auch da ohne Erfolg. Mittlerweile gehe ich davon aus dass DSM6 noch nicht so ausgereift ist. In den Foren wird auch über Probleme mit der erreichbarkeit von der Photostation berichtet. Es wunderte mich halt nur dass nach der Installation von DSM6 und dem Zertifikat meine Webstation nicht mehr erreichbar war. Kann auch an meiner alten DS111 liegen die ich nur als Webstation benutzt habe. Bei meiner DS215 funktioniert ja alles. Allerdings wurde mir die Aktualisierung im Rahmen des Updates von DSM5 auf DSM6 explizit angeboten. Ich setze nun alles neu auf. Dann schauen wir weiter. Sollte es doch noch funktionieren, werde ich Bescheid geben. Gruß Jürgen

  7. Hallo,
    kann man die port weiterleitung nach der Installation wieder deaktivieren oder muss die ständig aktiv sein. Ich möchte nur owncloud von außen nutzen sonst nach Möglichkeit alles zu haben.
    Gruß Christoph

  8. Hallo Christoph,

    tolle Anleitung, probier ich direkt aus. Eine Frage zu folgendem:
    „Ihr braucht Port 80/TCP (http) für den Let’s Encrypt-Client und für später dann selbstverständlich auch Port 443/TCP (https) für die verschlüsselten Daten.“

    Was muss man auf der Synology noch einrichten, um später die Daten verschlüsselt über den Port 443 außerhalb des eigenen Netzwerks zu empfangen? Stichwort DS Photo über VPN oder SSL, etc… Hast du dazu auch noch eine Anleitung?

    Grüße

  9. Irritiert euch auch der Hinweis bei der Zertifikatserstellung mit Let’s Encrypt, wo steht: „Rufen sie ein kostenloses unsicheres Zertifikat automatisch von Let’s Encrypt, einer offenen Zertifizierungsstelle, herunter“? Was steht da in der englischen Version? Ist das nur ein Übersetzungsfehler, oder will mich Synology hier darauf hinweisen, lieber kein Let’s Encrypt zu verwenden?

  10. Hm, wenn ich der Anleitung folge bekomme ich zwar ein Zertifikat, aber es wird weiterhin als unsicher angezeigt. Was mache ich falsch?

  11. Hallo zusammen,

    ich habe folgendes Problem mit Let´s Encrypt und habe keine Ahnung wo der Fehler liegt. Verbindung zu Let´s Encrypt konnte nicht hergestellt werden. Achten Sie darauf, dass der Domainname gültig ist.

    Habe folgenden domainnamen(z.B.) hbbogserv.de

    Was mache ich falsch.
    Danke für Eure Hilfe

  12. Hallo Christoph,

    zunächst tolle Beschreibung. Danke.

    Ich habe nun auch die WEBstation installiert. Die WEBStation ist auf der NAS über Port 80 erreichbar.

    Ich bekomme aber dieselbe Fehlermeldung wie Gruber Berhard.

    Ich habe auch bereits Synology angeschrieben.

    Vielen Dank für einen Tipp

    Frank

  13. Dass man Zertifikat für eine Subdomain bei synology.me erfolgreich automatisch im Synology bei Let’s Trust beziehen kann habe ich festgestellt. Nur hinterher beklagt sich der Browser noch immer das das Zertifikat unsicher ist. Die Fehlermeldung lautet:

    .synology.me: verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist. Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate. Eventuell muss ein zusätzliches Stammzertifikat importiert werden. Das Zertifikat gilt nur für synology.com.

    Woran liegt jetzt das Problem? Ich verstehs nicht.

HINTERLASSEN SIE EINE ANTWORT