Toggle sidebar

Selbstsigniertes Zertifikat mit Synology Drive Client und Synology Photos Mobil

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

D

DanielB

Benutzer
Registriert
09. Sep. 2015
Beiträge
23
Reaktionspunkte
2
Punkte
3
Liebe Forengemeinde
- Ich habe eine eigene Root CA erstellt
- Ich habe damit ein selbst signiertes Zertifikat erstellt.
- Das Zertifikat auf dem Synology-NAS importiert und als Standard-Zertifikat spezifiziert.
- Die eigene Root CA habe ich auf den entsprechenden Clients verteilt, damit ich u.a. via Browser mit https auf das NAS zugreifen kann.
--> Dies funktioniert auch einwandfrei.

Mit Synology Drive Client (Linux Mint) und Synology Photos Mobil (iPhone) wird das selbst signierte Zertifikat jedoch nicht akzeptiert.

Auf den Supportseiten von Synology wird für diese Situation immer darauf hingewiesen, man soll ein Zertifikat von Let's Encript verwenden.

Warum funktioniert das Zertifikat von Let's Encript aber ein selbstsigniertes Zertifikat nicht?
Gibt es trotzdem eine Möglichkeit ein selbst signiertes Zertifikat zu verwenden und was müsste wo angepasst werden?

Gruss Daniel
 
Hallo @DanielB, wenn du deine Frage: "Warum funktioniert das Zertifikat von Let's Encript aber ein selbstsigniertes Zertifikat nicht?" z.B. bei einer großen Suchmaschine eingibst, kommt folgendes dabei rum:

Let's Encrypt
-Zertifikate funktionieren, weil sie von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt und in Browsern vorinstalliert sind. Selbstsignierte Zertifikate hingegen werden nicht von einer vertrauten dritten Partei validiert. Das führt zu Sicherheitswarnungen, da der Browser die Identität des Ausstellers nicht bestätigen kann und keine Vertrauenskette (Chain of Trust) existiert.
Hauptunterschiede:
  • Vertrauenskette (Chain of Trust): Let's Encrypt wird von Stammzertifikaten (Root-CAs) signiert, die Browser und Betriebssysteme als sicher einstufen. Ein selbstsigniertes Zertifikat ist sein eigener Aussteller, was Browsern kein Vertrauen entgegenbringen.
  • Validierung: Let's Encrypt prüft automatisiert, ob Ihnen die Domain gehört. Selbstsignierte Zertifikate umgehen diesen Prozess, was sie anfällig für Angriffe macht.
  • Warnmeldungen: Da selbstsignierte Zertifikate nicht verifiziert sind, zeigen Webbrowser wie Chrome oder Firefox eine "Verbindung ist nicht sicher"-Meldung an, während Let's Encrypt als vertrauenswürdig (grünes Schloss) gilt.
Wann man was verwendet:
  • Let's Encrypt: Ideal für öffentliche Webseiten, da kostenlos, automatisiert und browserkompatibel.
  • Selbstsignierte Zertifikate: Nur für interne Testumgebungen, Entwicklung oder geschlossene Netzwerke geeignet, in denen das Zertifikat manuell auf allen Geräten als vertrauenswürdig installiert werden kann.
Selbstsignierte Zertifikate sind nicht "defekt", sie bieten nur keine Vertrauensbasis für öffentliche Anwendungen, weshalb Browser die Verbindung als unsicher einstufen.

Das sollte dann auch deine zweite Frage beantworten.

Gruß Lars
 
Er verwendet aber doch gar kein selbstsigniertes Zertifikat. Das wurde von seiner eigenen CA signiert und das funktioniert beim Zugriff aufs DSM ja problemlos.
DanielB schrieb:
- Das Zertifikat auf dem Synology-NAS importiert und als Standard-Zertifikat spezifiziert.
Zum Vergrößern anklicken....
Welches Zertifikat ist Drive zugeordnet?
 
Vielleicht ist da die Verbindung eine Andere?
 
Also ich vermute, dass Drive gar nicht sein Zertifikat verwendet. Aber bisher kam da nur Drive akzeptiert das Zertifikat nicht. Die Meldungen dazu wären interessant.
 
synfor schrieb:
Er verwendet aber doch gar kein selbstsigniertes Zertifikat. Das wurde von seiner eigenen CA signiert und das funktioniert beim Zugriff aufs DSM ja problemlos.

Welches Zertifikat ist Drive zugeordnet?
Zum Vergrößern anklicken....

Gemäss Angaben im NAS ist mein selbstsigniertes Zertifikat angehängt.

1775214538209.png

Zusätzliche Information:
Wenn die Verbindung mit der QuickConnect-ID erfolgt gibt es keine "Fehlermeldung", da bei QuickConnet ein "Let's Encrypt" Zertifikat angehängt ist.


Zur Verwendung eines selbst signierten Zertifikat resp. zur Fehlermeldung schreibt Synology folgendes:

Verweis für folgenden Textauszug:

1775213765945.png Es ist mir bewusst, dass Synolgy auf Let's Encript verweist.
Aber warum funktioniert ein selbstsigniertes Zertifikat bei Synology Drive und Synology Photos nicht.
Leider macht Synology keine Angaben, wie man dasProblem mit einem selbst signierten Zertifikat lösen kann.


Die Meldung, die beim Verbindung vom Drive Client genau ausgegeben wird, muss ich zuerst nochmals nachstellen. Ich werde dann den Beitrag ergänzen.
 
Moinsen,
hatte hier jahrelang (kein drive, aber photos und andere Pakete auf der Syno) mit self-signed ssl Zertifikaten.
Eigene CA angelegt, Zertifikat erstellt. Dann in der Synology eingefügt...
Am PC (und den clients sonst) den Browsern / Android mitgeteilt, dass diese (eigene) CA als vertrauenswürdig zu betrachten sei.
Und nie ein Problem gehabt. Keine Warnung mehr im Browser, alles via https (und auch mit dem richtigen eigenen Zertifikat) am Laufen. Das sollte also gehen...kennt den dein PC / client deine CA bereits und ist diese als "vertrauenswürdig" eingepflegt?
:)
 
Moinsen,
da hast du streng genommen recht. :)
Ging aber auch vor dem "eigene CA" Teil mit "echten" self-signed (also direkt am host erstellten) Zertifikaten.
Wollte damit sagen: doch das geht, da hakt bei dir noch irgendwo etwas.
Trotzdem: Danke für die sinnige Ergänzung.
 
Macht es evtl. einen Unterschied, ob das Zertifikat anerkannt wird, wenn es nur im jeweiligen Browser importiert wurde (Nutzung im Browser sollte klappen) oder sollte es für die Nutzung von (mit) Synology Drive Client und Synology Photos Mobil (App) nicht auch noch im jeweiligen BS direkt eingepflegt werden? (Ich hab grad gelesen, das manche Browser einen eigenen Zertifikatsspeicher haben). (würde mich zum Teil auch selbst interessieren).
Mal sehen, was DanielB schreibt.
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten