Wofür SSL Zertifikat

[AndiHeitzer]

Ich habe aufgrund dieses Freds mich mal wieder an diesem Thema versucht.
Dabei bin ich nach folgendem Video vorgegangen:
https://idomix.de/synology-diskstation-lets-encrypt-ssl-zertifikat-installieren

Ich wurde mit folgendem Erfolg "belohnt":


Was ist zu tun?
Eigentlich sollte, laut IDOMIX-Video (02:21) alles fertig sein

"home.andi-heitzer.de" gehört mir und dient mir als DynDNS-Name, den ich auch als solchen nutze ...

 

[Frogman]

Nur jedesmal, wenn Du ein neues erstellst wird auch ein neues CA-Zertifikat erstellt. Also einfach lange Laufzeit wählen und gut ist.

Wenn man sich eine eigene CA zulegt - das sollte man übrigens auf einem Rechner tun, der nicht vernetzt ist - dann ist es ein Leichtes, sich einen CSR beiseite zu legen und dann regelmäßig damit ein neu signiertes Zertifikat mit neuer Laufzeit zu erstellen, das Zertifikat selbst und das CA-Root bleibt dabei unangetastet. Man sollte es vermeiden, SSL-Zertifikate mit allzu langer Laufzeit in die Welt zu setzen...

 

[Dimmi]

Nochmal ich:

Mit einer DS ist es jetzt Pardon "schweine-einfach" ein Zertifikat bei Let's Encrypt zu besorgen! Das geht alles auf Knopfdruck! Vorraussetzung ist nur das Laufen eines Webservers auf der DS. (korrigiert mich wenn ich da falsch liege).
Unter Systemsteuerung - Sicherheit - Zertifikat kann man mit Angabe der (Sub-)domain (z.B. dimmi.synology.me) und einer eMail Adresse einfach ein Zertifikat ordern! Let's Encrypt guckt dann in den Sekunden während des Beantragens, ob es unter der Domain ein Webserver gibt und stellt bei Verfügbarkeit dieses Zertifikat aus!
Dann startet der Webserver neu und die DS wäre dann unter https://dimmi.synology.me verschlüsselt zu erreichen!

Manchmal kommt -wie oben schonmal erwähnt- eine Fehlermeldung, dass schon zuu viele Subdomains von dieser Domain beantragt wurden. Dann einfach nochmal am Anfang der kommenden Woche bzw. am Anfang des kommenden Monats versuchen! Irgendwann sollte die Beantragung dann klappen!

ich wusste nicht dass man es mehrmals probieren kann.

 

[TheGardner]

@Andi

ja die Meldung kam bei mir auch diverse Male. Ich hatte dann auch selbst Fehler gemacht (Firewall hat geblockt; Webserver war nicht an), aber die Meldung kam auch schon, obwohl ich alles beachtet hatte (Webserver online, Firewallrules eingestellt).
Und immer wieder probiert und irgendwann gings dann auf einmal!

Wenn Dir allerdings andi-heitzer.de gehört (und vielleicht sogar auf die DS zeigt), dann würde ich es gleich so lösen, dass ich andi-heitzer.de ein Zertifikat inkl. sämtlicher Sub-Domains verpasse!





@Dimmi

immer wieder probieren - bis es geklappt hat!

 

[whitbread]

@Frogman: Ja hast ja per se Recht - meine Zertifikate dienen allerdings wirklich nur für interne Zwecke und sind von aussen nicht erreichbar. Insofern kann ich es vertreten. Hatte einfach nur keine Lust alle Zertifikate einzeln trusted zu setzen - da war mir ein CA Zertifikat lieber.

Lets encrypt hat den Nachteil, dass hier der Verbindungsaufbau von irgendeinem US-Server initiiert wird - und alle US-Adressen sind bei mir gesperrt.

 

[NSFH]

.........
Lets encrypt hat den Nachteil, dass hier der Verbindungsaufbau von irgendeinem US-Server initiiert wird - und alle US-Adressen sind bei mir gesperrt.

Habe auch alle nicht-Deutschen IPs gesperrt. Wenn das LE Cert aktualisiert werden muss schallte ich für 20 Sekunden die Fw ab. Das in dieser Zeit bestehende Restrisiko ist minimal, zumal noch eine Firewall mit Portweiterleitung davor hängt.

 

[Dimmi]

Ich habe auch jetzt erst gemerkt das ich bei meinen letzten versuchen den Port 80 und 437 nicht offen hatte. Das mit der Firewall wusste ich allerdings nicht, ich denke es ist die FW der DS gemeint oder?

 

[whitbread]

Nein, die nutze ich nicht. Ist eine dedizierte FW bei mir.

 

[Dimmi]

Ach so ok, das ist dann natürlich noch besser.

 

[AndiHeitzer]

Habe auch alle nicht-Deutschen IPs gesperrt. Wenn das LE Cert aktualisiert werden muss schallte ich für 20 Sekunden die Fw ab. Das in dieser Zeit bestehende Restrisiko ist minimal, zumal noch eine Firewall mit Portweiterleitung davor hängt.

Soweit ich das verstanden habe, werden folgende Adressen seitens LE benötigt:
131.103.20.160/27
165.254.145.0/26
104.192.143.0/24

Quelle:
https://community.letsencrypt.org/t...alidating-from-to-build-firewall-rule/5410/11

 

[AndiHeitzer]

Wenn Dir allerdings andi-heitzer.de gehört (und vielleicht sogar auf die DS zeigt), dann würde ich es gleich so lösen, dass ich andi-heitzer.de ein Zertifikat inkl. sämtlicher Sub-Domains verpasse!

Ja, die Domain gehört mir, aber der Webspace wird nicht auf meiner DS betrieben. Das möchte ich auch nicht.
Daher bleibt mir nur SUBDOMAIN.andi-heitzer.de für das LE-Certificat.

Für die Dauer der Erstellung des Certificat hatte ich die FW abgeschalten ...

 

[NSFH]

Nicht alle diese ca 750 Adressen können von Lets Encrypt sein. Darum würde ich auch niemals diese 3 Ranges grundsätzlich offen lassen. Für eine Firewallregel, die man dann nur zum updaten des Cert öffnet mag das aber gehen.
Lets Encrypt selbst schreibt auf seiner Seite, dass die IPs der Server laufend wechseln und daher zur Zeit keine speziellen IPs zur Programmierung einer Fw benannt werden können.

 

[AndiHeitzer]

Schön, aber ich weiß genau, dass ich nicht immer dran denke das Zertifikat zu erneuern.
IMHO macht das die DS automatisch?
Das täte bedeuten, für den Zeitraum die FW abzuschalten. Ich möchte mich dann nicht immer hinsetzen und manuell eingreifen. Macht ja bei einem Automatismus eigentlich keinen Sinn?

 

[NSFH]

Also DSM6.0 macht das nicht automatisch oder ich habe da wirklich was übersehen. Würde mich dann auch wundern wenn die 6.1 das jetzt machen würde.
Du bekommst 4 Wochen vor Ablauf eine Mail von Lets Encrypt, dass dein Zertifikat abläuft. Über CRS musst du es dann erneuern. Für diesen Vorgang öffne ich dann kurz die Fw an der DS.

 

[AndiHeitzer]

Gut, dann mal abwarten

 

[Dimmi]

Leider habe ich es nach zig versuchen und schmökern im Netz nicht hinbekommen ein SSL Zertifikat für meine DS zu bekommen bzw. zu erstellen.
Nun bin ich am überlegen ob ich mir einen Domain Namen bei Strato sichere dann habe ich, denke ich auch ein SSL Zertifikat. Ich bin da aber zur Zeit ein bisschen zwiegespalten, lohnt sich das überhaupt für meinen nutzen, hauptschächlich werden Bilder in der DS gespeichert dann irgendwelche Filme keine Privaten und ich habe meinen gesamte Musik drauf die nicht ohne ist.
Ich möchte gerne das die DS sich aus irgendwelchen Cloud Diensten die die Handys nutzen die Bilder holt, aber erst wenn ich die per Zertifikat abgsichert habe.

Was meint Ihr zu Strato bzw. die SSL Absicherung

 

[Puppetmaster]

Also ein offizielles Zertifikat lohnt sich - immer noch - in meinen Augen eigentlich nur, wenn du andere Nutzer auf deine DS lassen möchtest, für die es "umständlich, seltsam, gewöhnungsbedürftig, ... " ist, eine Ausnahme im Browser zu hinterlegen.

Das Thema Sicherheit hat damit ja nicht wirklich etwas zu tun.

 

[Dimmi]

Das Thema Sicherheit hat damit ja nicht wirklich etwas zu tun.

Ich habe bisher das Thema Zertifikat so verstanden das es gerade der Sicherheit diehnt.

Wenn ich mich über den Browser in meinem lokalen Netz auf die DS anmelde dann zeigt mr der Brwoser an das die seite nicht abgesichert ist, bedeutet für mich im moment der anmeldung kann jeder mitlesen weil ich kein zertifikat habe.

 

[Puppetmaster]

Wenn du per https reingehst (siehst du ja dann im Browser) ist es sicher. https wird immer durch ein Zertifikat abgesichert, nur eben nicht immer durch ein offizielles.

Im Grunde dient das Zertifikat ja auch nur der Sicherheit desjenigen, der den Dienst in Anspruch nimmt, und nicht dem, der die Webseite betreibt. Das Zertifikat bestätigt ja nur, dass derjenige auch wirklich der ist, der er vorgibt zu sein.

Steht aber auch alles doch schon weiter oben.

 

[Dimmi]

Ja vielen dank ich weiß, aber manchmal ist das ein bisschen verwirrent, vor allem wenn man die ganze zeit hin und her schreibt und nicht sich mal mit jemanden live austauschen kann der sich damit auskennt. Fragen sind immer da.