DSM 6.x und darunter Zertifikat nicht mehr gültig

[Itaka]

Hallo fast immer wenn ich mich von auswärts mit quickconnect übers Internet bei DSM anmelde lese ich, dass ein Zertifikat abgelaufen sei.
Rechner ausserhalb meines LAN, die mit Cloudstation Drive und quickconnet übers Internet mit der Syno zu Hause verbunden sind verweigern plötzlich die Verbindung mit der Syno und mit einer roten Fehlermeldung, welche wieder von einem Sicherheitszertifikat spricht welches nicht mehr aktuell sei, werde ich von zu Hause abgeschnitten. Nachdem ich Cloudstation Drive im Laptop deinstalliert und neu eingerichtet hatte, hat alles wieder funktioniert - für 3 Monate, dann kam diese störende Meldung wieder.
Eigentlich möchte man ja insbesondere Unterwegs im Ausland nutzen und nicht Wartungen vornehmen müssen.

Ich habe dann wieder zu Hause im DSM in der Systemsteuerung tatsächlich auch unter Sicherheit einen Reiter Zertifikat gefunden. Nun habe ich diesen Reiter geöffnet und ein Default Certificate von Synology.com gefunden. Hier ist nichts rot und nichts deutet auf ein Problem hin. Es scheint alles in Ordnung zu sein.
Ich habe dann trotzdem mal Zertifikat ersetzen anvisiert und bekomme eine Auswahl bei der ich Zertifikat bei Let's encrypt abrufen gewählt habe. (Von Let's Encrypt habe ich irgendwann gelesen).
Doch nun fangen die Riesengrossen Fragezeichen an. Welche Domain? Ich habe auf meiner Synology keine Domain eingerichtet und was hat meine Domain bei Hostpoint damit zu tun? Ich habe mehrere E-Mail Adressen, welche muss ich da wählen?

Ich sehe Eingabefelder und 0 Erklärung dazu.

In den Supportseiten von Synology kommt mit der Frage Zertifikat erneuern, eine Erläuterung wie man DDNS einrichtet - ist wohl am Suchbegriff vorbei.

Ich habe die Webseite von Let's Encrypt geöffnet und stehe buchstäblich wie der Esel vor dem Berg und verstehe nur Bahnhof. Ich kann auf Englisch ein Auto mieten, ich kann den richtigen Burger bestellen und ich kann mit jemandem übers Fischen diskutieren, aber von dieser Seite habe ich nur bei Donation begriffen um was es geht. Der Hilfreiche Google Übersetzer gab sich zwar Mühe, aber nach dem 5. Fremdwort in Wikipedia nachschlagen begriff ich den tieferen Sinn des Sprichwortes von der einen tot geschlagenen Fliege und den fünf die zum Begräbnis kommen, und gab auf.

Selbstverständlich habe ich hier im Forum gesucht aber was ich fand half nicht weiter und hat mir nur noch mehr klar gemacht, dass das hier eine extrem komplizierte riesige Kiste sein muss.

Kann mich hier mal jemand auf den Pfad des Erfolges und der Tugend führen.

Danke Itaka

 

[Frogman]

Ich sehe Eingabefelder und 0 Erklärung dazu.
In den Supportseiten von Synology kommt mit der Frage Zertifikat erneuern, eine Erläuterung wie man DDNS einrichtet - ist wohl am Suchbegriff vorbei.

Der Klick auf's Fragezeichen oben rechts in Fenstern bringt immer die relevante Hilfe hervor... zum Thema 'Zertifikate' also auch das hier. Schon gelesen?

 

[Itaka]

Ja natürlich habe ich das gelesen, nur welche Domain muss ich da eintragen, woher nehme ich eine Domain?

 

[Frogman]

Wie immer diejenige, die Du Dein eigen nennst - entweder die entsprechende Subdomain eines DDNS oder Deine eigene Domain, die Du bei entsprechenden Anbietern kaufen kannst.

 

[Itaka]

Ich habe nun meine auf mich registrierte Domain meiner Webseite gehostet bei Hostpoint eingetragen und als E-Mail Adresse eine aus dieser Domain eingegeben.
Funktioniert nicht.

"Vorgang fehlgeschlagen"
Ich soll mich ab und wieder anmelden.
Funktioniert immer noch nicht

Was verstehe/mache ich falsch?

 

[Fusion]

Die benutzte sub.domain.de muss auch auf deiner DS landen, weil Lets Encrypt die Erreichbarkeit der Domain auf dem Server von dem die Anfrage kommt prüft.
Und es muss Port 80/443 offen sein.
Die email Adresse ist egal, hauptsache gültig sollte sie sein.

Also erstmal dafür sorgen dass
sub.domain.de oder
sub.dynDNS.de oder ähnliches
bis auf deine DS verbindet.
DANACH kannst du dir für die benutzte Adresse/Domain ein LE-Zertifikat holen.

 

[Itaka]

Nun haben wir genau den Kernpunkt erreicht, den ich nicht begreiffe. Ich habe keinerlei Domain in meiner Synology ausser quickconnect.to um sie zu erreichen.
Bedeutet, das, dass ich nun eine Domain kaufen müsste, diese auf meiner Synology irgendwie implantiere, wovon ich noch keine Ahnung habe wie das gehen soll, um sie dann nie zu brauchen?

Meine Domain ist ganz klar gehostet und auch bei switch.ch durch hostpoint.ch angemeldet, ein professioneller Webhoster, bei dem ich meine auf dem PC mit meinem HTML Editor bearbeitete Webseite jeweils mit FileZilla hochlade oder lösche.

Mir fehlt irgendwie noch eine grundsätzliche Erkenntnis um zu verstehen was ich machen muss um wieder ein gültiges Zertifikat zu bekommen.

 

[Fusion]

Ein gültiges Zertifikat wird mitgeliefert. Dass dies eine Warnmeldung hinsichtlich Namensübereinstimmung (und damit kein schmuckes grünes Schloss) liefert ist ein anderes Problem. Die Verbindung ist aber trotzdem vershclüsselt, wenn man dies abnickt.

Für quickconnect kannst du eben kein LE Zertifikat bekommen.
Dafür brauchst du mindestens eine dynDNS Adresse, z.B. synology.me, oder einen anderen Dienst. Oder du leitest eben eine Subdomain (sub.meine-switch.ch) auf deinen Anschluss.
Für diese beiden Konfigurationen kannst du LE Zertifikate bekommen.

Quickconnect ist eben kein offener Dienst und funktioniert auch nur für ausgewählte Synology Dienste.

 

[Itaka]

Ich komme immer wieder an einen Rechner, bei dem ist die Verbindung von Cloud Station Drive zu meiner Syno rot markiert und die Verbindung unterbrochen weil das Zertifikat nicht mehr gültig sei. Danach ist jedesmal ein Theater bis Cloud Station Drive wieder verbindet und anstatt zu arbeiten warte ich dann bis endlich alles synchronisiert ist.

Wie kann ich erreichen, dass dieses Synology Zertifikat aktualisiert wird und gültig bleibt?

 

[Fusion]

100% kann ich dir das nicht sagen, aber vielleicht jemand anderes, der die Cloud Station auch benutzt.

Einmal denke ich, dass die Cloud Apps noch einen Bug haben, oder ein konzeptionelles Problem, mit der Erneuerung von LE Zertifikaten.
Auf der einen Seite will man wissen, wenn sich das Zertifikat "unter dem Arsch weg" ändert, auf der anderen Seite meckern die Apps meist blos, ohne irgendwelche Infos ala Namen und Fingerprint zu geben, dass ein einfacher schneller Abgleich möglich wäre und nach kurzer Bestätigung der Betrieb weitergehen kann. Halte ich grob fahrlässig von Synology, weil es dazu verleitet den sicheren Zugriff nicht zu nehmen, oder gleich andere Lösungen je nach Anforerung.

Eventuell kannst du die Warnung beseitigen, wenn du das Werkszertifikat exportierst und/oder root-CA, dass ja längere Zeit gültig ist, auf den Client Rechner importierst und als vertrauenswürdig einstufst.

 

[Andy14]

100% kann ich dir das nicht sagen, aber vielleicht jemand anderes, der die Cloud Station auch benutzt.

Einmal denke ich, dass die Cloud Apps noch einen Bug haben, oder ein konzeptionelles Problem, mit der Erneuerung von LE Zertifikaten....

Ich hatte das an anderer Stelle hier auch schon mal gelesen. Da ich noch nicht so lange Let's encrypt nutze hatte ich am Montag die erste Erneuerung.
Mit den "aktuellen" Clients hatte ich weder unter Windows, Linux noch Android ein Problem. Alles grün ohne das ich irgend etwas machen musste!
(Beim wechsel vom eigenen zum Let's Encrypt hatte ich natürlich das Problem)

edit: Win/Linux 4.2.2-4379; Android 2.7.1-283

 

[Itaka]

Die Fehlermeldung mit dem ungültigen Zertifikat kommt auch, wenn ich mich an meiner Synology mit https://quickconnect anmelde. Es hat somit nicht nur mit Cloud Station Drive zu tun, sondern mit der Synology grundsätzlich.
Die Dinge findet man ja in der Systemsteuerung unter Sicherheit. Da könnte man auch ein neues Zertifikat einfügen, aber wo krieg ich das her. Gibt es nicht bei Aldi oder Lidl im Sonderangebot.
Ich kenne mich zwar mittlerweilen recht gut aus mit meiner DS und habe auch schon etliche andere auf den Geschmack gebracht, aber die Sache mit den Zertifikaten ist für mich schon irgendwie ein Buch mit 7 Siegeln und ich der Zauberlehrling. Eigentlich bin ich der Ansicht man könne alles lernen, aber nach einer Stunde Googeln habe ich nur einen Brummschädel und sehe mich schon am verhassten Linux Befehlszeileneditor verzweifeln oder sehr viel Geld ausgeben um mir so ein Zertifikat teuer zu kaufen.
Kann man sich eigentlich keine Winodws SW kaufen mit der man das erstellen kann, oder gibt es dazu kein Tool im Synology Paketzentrum?

 

[Fusion]

@Itaka - will dir da nicht zu nahe treten, aber, da hast du wohl nicht zielführend gesucht. Dass man das Thema gesamt (Zertifikate, Public-Key-CA,....) nicht in einer Stunde als Neueinsteiger umfasst kann ich aber nachvollziehen.

Der erste Einstiegspunkt ist mal die DSM Hilfe selbst.
Wenn du unter Systemsteuerung > Sicherheit > Zertifikat bist mal oben rechts auf das Fragezeichen gehen.
Da bekommt man schon mal die Grundlagen, was man dort alles machen kann (import, export, erstellen,....) und Stichworte mit denen man sich im Wiki oder bei Google weiter beschäftigen kann.

Der zweite Anlaufpunkt ist z.B. die Synology Knowledge-Base, da gibt es Hilfe-Artikel, Videos etc die teilweise detaillierter oder über die DSM Hilfe hinaus gehen.
z.B.
https://www.synology.com/de-de/knowledgebase/DSM/help/DSM/AdminCenter/connection_certificate
https://www.synology.com/de-de/know...tificate_signing_request_on_your_Synology_NAS
Neben der Implementierung eines Zertifikats welches man sich mit einer Zertifikatsanforderung (CSR) von einem externen Anbieter (für eigene Domains) besorgt, kann man sich da auch das Hinzufügen eines Lets Encrypt Zertifikats herauslesen (für eigene und dynDNS Domains).

Und nochmal, es ist keine Meldung zu einem ungültigen Zertifikat, sondern üblicherweise eine Meldung zu einer Nicht-Übereinstimmung des Common Name (CN), also des Namens auf den das Zertifikat ausgestellt ist.
Eine ordentlich verschlüsselte Verbindung kann man damit trotzdem herstellen.

Zu Quickconnect kann ich dir das nicht sagen, da ich das nicht benutze und grad nicht die Zeit zum testen habe.
Vermutlich sind aber auch da die Meldungen weg, wenn man für den Dienst "Standard" ein passendes Zertifikat definiert hat, oder das Werkszertifikat von Synology exportiert und auf den Clients importiert und dem Trust Store auf dem jeweiligen Gerät hinzugefügt hat. Auch dazu gibt es Hilfe Artikel.

 

[heavy]

es gibt ja ein tool im DSM (ab dsm6 eben auch für letsencrypt).
Eine software kaufen die ein Zertifikat ausstellt Da hast du die Funktionsweise wirklich nicht verstanden.

Quickconnect ist KEIN Dyndns sondern ein von Synology bereitgestellter Serverdienst. Und da dort deine Daten ja über die Server von Synology umgeleitet werden (wenn du wegen ipv6 zum beispiel nicht direkt erreichbar bist) wirst du nie eine Meldungsfreie Verbindung herstellen können, da ja die Zertifikatsgeschichte ja genau dafür da ist zu erkennen wenn die Daten umgeleitet (mitgelesen) werden.

 

[Itaka]

Mein Problem ist in keinster Weise gelöst. Nun bin ich in die Werkstatt gefahren, wollte die zu Hause erstellten Dokumente öffnen und am Werstatt PC sehe ich unter Cloud Station Drive alle Sync Aufgaben rot markiert "nicht vertrauenswürdiges SSL-Zertifikat". Ich muss nun subito zurückahren alles auf einen riesigen Stick kopieren und wieder in die Werkstatt rauschen um endlich produktiv zu sein.

Ich habe zwar 25 Jahre intensive PC Erfahrung und schon so manches erarbeitet und begriffen, aber bei der SSL Geschichte weiss ich tatsächlich nicht mal wonach ich wirklich suchen muss. In Wikipedia habe ich gelesen, dass es öffentliche und private Schlüssel gebe, aber was das für mein Problem bedeutet habe ich nicht begriffen. Alles was ich hier im Forum anschaue geht zu sehr ins Detail und ich lese als Zaungast von Problemen von denen ich zuvor nicht mal wusste wie man das schreibt.

Kann mir hier bitte jemand die richtige Tür öffnen z.B. mit entsprechenden Links, damit ich verstehe wie das funktioniert, und was und wie ich machen muss.

Danke Itaka

 

[TeXniXo]

Wäre es eventuell nicht vernünftiger, deine Frage konkret zu formulieren - nachdem du ja viele Infos hier bezogen hast?
Dann können wir dir mit der Tür-Suche gerne behilflich sein!

"wie das funktioniert und was und wie ich machen muss" ... wie das funktioniert, kannst du hier ja entnehmen bzw. den gängigen Websites. Der letzte Teil der Frage wäre dann interessant, was und wie du bis jetzt gemacht hast und was du damit erreichen willst - auf Basis deines neuen Wissenstands natürlich.

 

[Itaka]

Nun ich habe schon soviel probiert, dass ich selber den Überblick verloren habe. Mir wurde immer klarer, ich muss verstehen was TLS ist wie es funktioniert und wie man diese Integritätskette einrichtet.

Ich verwende für den Fernzugriff quickconnect und das wurde bei Let's encrypt nicht als Domain akzeptiert. Eine eigene Domain habe ich auf der Synology nicht eingerichtet. Ich habe mich dann erinnert irgendwann mal mit einem Tutorial von iDomix.de weiter gekommen zu sein und habe dann dort eine Anleitung für Let's Encrypt gesucht. Er sprach dann bei der Domain von DynDNS. Das brachte mich auf die Idee in der Systemsteuerung nachzusehen ob und was dazu eingetragen ist. Dabei habe ich erkannt, dass ich offenbar im Ablauf bei der quickconnect Anmeldung eine Syno eigene DynDNS einrichten musste. Diese habe ich dann unter Domain bei Let's Encrypt eingetragen und nun flugs hat alles funktioniert.

Es war dieses Mosaiksteinchen, welches ich verzweifelt gesucht habe. Vielleicht ist sich ein anderer froh diese im Rückblick schon fast banale Erkenntnis zu finden.

In das Feld Domain bei Let's Encrypt muss man den Eintrag der DynDNS Domain in der Syno übernehmen und gut ist es.

Itaka