Cloud Station SSL Zertifikat nicht vertrauenswürdig?

[toro]

Hallo zusammen,
ich habe mir nun eine DS916+ gekauft und alle Daten übertragen. Alles läuft soweit reibungslos, bis auf das Einrichten der Cloud Station auf meinem Mac/Macbook (auf dem iPad und iPhone läuft die CS wunderbar, keine Probleme). Bei der Einrichtung auf Mac/Macbook wird mir immer wieder angezeigt, dass mein Zertifikat nicht vertrauenswürdig wäre und Daten von Dritten mitgelesen werden könnten.
Daraufhin habe ich den Support von Synology angesprochen. Deren Empfehlung war, die Portweiterleitung für den Port 6690 zu aktivieren, die ich bislang vergessen hatte. Zuvor habe ich ein Zertifikat von Lets Encrypt erstellt und als Standardzertifikat festgelegt.
Warum werde ich damit die Fehlermeldung nicht los, wenn ich die CS aufsetze? Da mein Mac immer zu Hause stehen bleibt, habe ich diesen über die interne IP Adresse mit der DS verbunden (da sollte mE kein Sicherheitsrisiko bestehen) - da ich meinen Macbook auch gerne mal unterwegs synchronisieren würde, wäre keine wirkliche Alternative.

Danke schonmal für Eure Hilfe



Tom

 

[Fusion]

Hast du nicht nur Standard-Zertifikat ausgewählt sondern auch unter "Konfigurieren" für den Dienst/Services "Standard" / "Default" ausgewählt und zugeordnet?
Ebenso für den Dienst "Cloud Station Server"?

 

[toro]

Hallo Fusion,
ja, das hatte ich zuvor auch schon gemacht.
Was mich allerdings wundert, ist, dass wenn ich im Paket Zentrum Cloud Station Server, Einstellungen > Zertifikat auswähle, dann steht dort das Zertifikat von Synology. Ist das das Zertifikat, was mich mit LE erstellt habe?

 

[heavy]

Ich würde mal sagen das dass das selbsterstellte der Syno ist was sie selber bei der Erstinstallation anlegt und nicht das LE ist.

 

[Fusion]

Bitte keine Vollzitate, danke.

Wo kannst du denn bitte im Paketzentrum Einstellungen zum Cloud Staion Server Zertifikat machen?
Oder meinst du Systemsteuerung > Sicherheit > Zertifikate > Konfigurieren?

Das Problem beim erstellen eines Zertifikats ist, dass der Haken Standard nur das Zertifikat allgemein zum Standard deklariert, aber nicht auch gleichzeitig für den "Standard" Dienst (also alles was anderweitig nicht zugeordnet ist) einrichtet. Das findet sich eben unter Konfigurieren.

Unter Systemsteuerung > Sicherheit > Zertifikate > Konfigurieren findet sich neben "Standard" eben explizit auch noch ein "Cloud Station Server". In der rechten Spalte dazu findet sich ein Drop-Down Menü, wo man das Zertifikat auswählen kann, wenn mehrere vorhanden sind. Muss man halt mal drauf klicken sonst sieht man das eventuell nicht.
Und nein, ein Zertifikat von synology.com ist kein LE Zertifikat das du erstellt hast.

 

[frankyst72]

Da mein Mac immer zu Hause stehen bleibt, habe ich diesen über die interne IP Adresse mit der DS verbunden (da sollte mE kein Sicherheitsrisiko bestehen)

Das Zertifikat ist doch auf einen Domänennamen ausgestellt. Wenn Du die DS per IP ansprichst (also einem anderen Namen), wird das Zertifikat doch gar nicht gezogen/angesprochen. Du musst die DS dann schon mit dem im Zertifikat hinterlegten Namen ansprechen.

Es besteht auch kaum ein Sicherheitsrisiko, außer jemand leitet die IP in Deinem Netz auf einem von ihm manipulierten Server um und greift dadurch Daten von Dir ab, oder schleußt bei Dir etwas auf den Rechner. Was unwahrscheinlich ist.

Das Zertifikat stellt nur sicher, dass Du Dich auch wirklich mit Deinem Server unterhälst und nicht mit irgendeinem anderen, den Dir jemand unter geschoben hat. Das ist das einzige, was das Zertifikat macht und deswegen kann normalerweise auch der Hinweis ignoriert werden, der ist aber halt nervig (im eigenen Netz)

Ergänzung: ich spreche hier nur vom Let's Encrypt-Zertifikat.

 

[toro]

Erstmal Danke an Euch alle

@Fusion: doch, ich meine das Paket Zentrum. Dort gibt es in den Einstellungen auch einen Reiter 'Zertifikat' - hat mich auch gewundert. Zu dem von Dir beschriebenen Drop Down Menü bin ich auch gekommen und habe dort auch schon die Verwendung des Zertifikats für die einzelnen Applikationen festgelegt. Die Fehlermeldung war davon wenig beeindruckt.
@frankyst72: genau deswegen habe ich den Weg über die IP gewählt, damit ich im internen Netzwerk bleibe (das war zumindest meine Vermutung, dass ich im internen bleibe). Dennoch hat mich die DS freundlich darauf hingewiesen, dass das Zertifikat nicht vertrauenswürdig ist... Warum auch immer...

 

[heavy]

Wenn du per ssh auf deine DS zugreifst dann ist das Zertifikat immer nicht vertrauenswürdig wenn du nicht exakt über den Weg der im Zertifikat angegeben ist gehst. Also wenn nur der Domain Name im Zertifikat steht wirst du mit der IP immer eine Fehlermeldung bekommen.

 

[frankyst72]

Heavy hat es schon gesagt, aber noch mal der Satz von mir

Das Zertifikat ist doch auf einen Domänennamen ausgestellt. Wenn Du die DS per IP ansprichst (also einem anderen Namen), wird das Zertifikat doch gar nicht gezogen/angesprochen.

Hast Du einen Fritzbox? die kann Loopback, dann kannst Du die DS auch mit dem Namen im Zertifikat intern ansprechen.

Saubere Lösung: Du baust Dir in Deinem Netz (z.B. auf der DS) einen eigen DNS-Server auf, der den im Zertifikat hinterlegten Namen in die interne IP umsetzt. (Nachteil, ist die DS mal down oder schläft, kommt kein Device mehr ins Internet, da Du im DHCP dann Deinen eigenen DNS hinterlegt hast).

Bastellösung, Du hinterlegst in der Hosts auf jedem Rechner die Auflösung (Domäne <-> interne IP), wobei nicht jedes Gerät eine Hosts-Datei hat und Du musst bei jeder Neueinrichtung daran denken das einzustellen. Ich würde eher abraten.

 

[Fusion]

Im internen Netz wirst du eine Warnmeldung bekommen mit der IP wenn du die verschlüsselte Verbindung wählst, wie von den Kollegen schon geschrieben. Nach deiner Schilderung anfangs war ich davon ausgegangen, dass du intern die IP und unverschlüsselt darauf zugreifst und nur extern den Namen und SSL verwendest. Weil das sollte nach der Zuweisung ohne Fehler funktionieren.

Die Zertifikate im Paketzentrum sind Zertifikate für die Software-Repositories um die Echtheit von Paketen zu verifizieren. Das hat nichts mit der Benutzung oder Betrieb einzelner Pakete zu tun.
Wie du bemerken wirst, ist der Button "Einstellungen" immer sichtbar, egal was du im Fenster darunter auswählst. Eben weil es allgemeine Einstellungen zum Paketzentrum und nicht zu einzelnen Paketen sind.

 

[frankyst72]

Nach deiner Schilderung anfangs war ich davon ausgegangen, dass du intern die IP und unverschlüsselt darauf zugreifst und nur extern den Namen und SSL verwendest.

daran habe ich jetzt nicht gedacht, auch eine Lösung, z.B. für DSM http://192.168.x.x:5000 (also http ohne 's' und 5000 anstatt 5001).
Wobei für die Cloud Station nur der Port 6690 in der Synology Portliste angegeben ist :-(

 

[toro]

@franky/heavy: ganz verstanden habe ich das nicht, da ich mich so sehr mit der Thematik nicht auskenne.
@fusion: dann habe ich jetzt schonmal eine Menge dazugelernt, wann ein Zertifikat angesprochen wird. Allerdings verstehe ich immer noch nicht, warum ich via QuickConnect eine Fehlermeldung erhalte.
Immerhin, ich habe jetzt die Domaenennamen eingegeben und siehe da - läuft. Keine Fehlermeldung wegen einem Zertifikat was keiner kennt.

DANKE an alle!

 

[Fusion]

@franky - Deshalb kann man im Cloud Station Drive doch trotzdem 192.168.x.y angeben, ohne Haken bei SSL und bei einem Client der extern auch läuft eben den namen und Haken bei SSL.
Dann sollte er auf dem stationären Rechner ja gar nicht erst ein Zertifikat prüfen.
Oder man nimmt einfach beides Mal den Namen und SSL und gut is. Eventuell muss man dann je nach Router/LAN config halt noch beim DNS nachhelfen.

@toro
Edit: Bei Quickconnect wurde eben noch mit einem nicht passenden Ziel verbunden, was genau der Miss-Match war läßt sich von hier jetzt halt schlecht sagen. Möglich, wenn du es im LAN getestet hast, dass Qucikconnect dann auf die lokale IP umgeschaltet hat mit den bekannten Folgen etc.