DSM 6.x und darunter Let's Encrpyt Zertifikat erneuern

Alle DSM Version von DSM 6.x und älter

PatrickS3

Benutzer
Mitglied seit
18. Mrz 2010
Beiträge
547
Punkte für Reaktionen
0
Punkte
42
Apropos geöffneter Port 80.
Ich habe heute auf meiner Qnap 569 Pro mit Firmware 4.3.4.0516 ein Update des Zertifikates gemacht, was dort mit nur einem Mausklick geht. Für das Qnap NAS habe ich aber Port 80 gar nicht offen, nur 8080. Und trotzdem hat es funktioniert.
 

hauwech

Benutzer
Mitglied seit
30. Jan 2018
Beiträge
42
Punkte für Reaktionen
0
Punkte
6
Als Geplante Aufgabe kriegst Du aber nur die Ausführung des scripts selbst hin - und es erspart offenbar auch die Schritte
- Admin aktivieren
- Admin-Anmeldung
- sudo -i zum root
weil der Aufgabenplaner die scripts offenbar als root ausführt.
Das Portforwarding auf der Fritzbox muß man trotzdem manuell machen. Wenn man mehrere Synos hat, muß man auf der Fritzbox außerdem aufpassen, daß man die Ports wirklich nur für die eine DS freigibt. Falls nämlich Port 80 oder 443 schon für einen anderen Client freigegeben ist, biegt die Fritzbox den externen Port für 443 oder 80 auf einen dynamischen Port oberhalb 65000.
Das sind alles Stolperfallen, an die man sich nach 3 Monaten erinnern muß :D
Ich kenne mich und hab's jetzt aufgeschrieben (dokumentiert!:cool:) - und den link hierher gespeichert.

Gruß Roland
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Apropos geöffneter Port 80.
Ich habe heute auf meiner Qnap 569 Pro mit Firmware 4.3.4.0516 ein Update des Zertifikates gemacht, was dort mit nur einem Mausklick geht. Für das Qnap NAS habe ich aber Port 80 gar nicht offen, nur 8080. Und trotzdem hat es funktioniert.
Kann ich mir schwer vorstellen, weil Port 80 oder 443 eine Forderung von Lets Encrypt ist, nicht von Synology.
https://community.letsencrypt.org/t/how-to-get-a-certificate-without-using-port-80/36192/8

MfG Matthieu
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
@Matthieu - kann ich mir schon vorstellen, mit den richtigen Randbedingungen. Wenn z.b. Eine Qnap cloud Domain zum Einsatz kommt und die Validierung über DNS läuft, außerhalb der Qnap.
Aber bei 50% Informationen kann man schwer fundiert diskutieren. Bei der http01 Validierung wie sie synology für ddns und benutzereigene Domains benutzt stimme ich dir allerdings zu.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
An die DNS-Validierung hatte ich tatsächlich nicht gedacht. Das wäre ja auch für Synology durchaus interessant.

MfG Matthieu
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Ja, zumindest für die synology.me oder myds.me oder welche Domains sie selber betreiben für ddns und quickconnect.
Bin mir auch nicht sicher, ob sie das nicht teilweise auch machen, oder mal probiert hatten (irgendwas habe ich da im Hinterkopf, aber keinen direkten Quellennachweis mehr).
Müsste man mal auf der Konsole ein Zertifikat holen/erneuern, das mit synology-ddns läuft, dann sieht man mal den Status Quo.
 

PatrickS3

Benutzer
Mitglied seit
18. Mrz 2010
Beiträge
547
Punkte für Reaktionen
0
Punkte
42
Ja die Aktualisierung habe mit einer Qnap Cloud Domain xxxxx.myqnapcloud.com gemacht.
 

Ralf_Berlin

Benutzer
Mitglied seit
08. Feb 2016
Beiträge
48
Punkte für Reaktionen
1
Punkte
8
Bei mir war das Problem, dass der DNS-Name für einen eingetragenen Alternativnamen nicht erreichbar war.
Also immer erst von außen die Erreichbarkeit mit allen eingetragenen DNS-Alternativnamen durchprobieren!
 

flak65

Benutzer
Mitglied seit
22. Jun 2018
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Derzeit nutze in einer VM ein Linux um für meine FritzBox das Zertifikat erstellen zu lassen. Über die Synologie ist es natürlich einfacher und auch schöner. Jedoch habe ich ein Problem dabei.

Für die FritzBox muss ich drei Zertifikate ins eins packen. Erst cert.pem, dann chain.pem und zuletzt privkey.pem. Wenn ich jedoch die archiv.zip von der Synologie expotiere ist in dieser nur die cert.pem, privkey.pem, syno-ca-cert.pem und die syno-ca-privkey.pem.

Mir fehlt also die chain.pem. Kann ich stattdessen die syno-ca-cert.pem oder die syno-ca-privkey.pem nehmen? Wie komme ich sonst an die chain.pem?

Danke für eure Hilfe!
 

Ralf_Berlin

Benutzer
Mitglied seit
08. Feb 2016
Beiträge
48
Punkte für Reaktionen
1
Punkte
8
Nächsten Monat kommt das neue FritzOS raus. Damit soll das Zertifikat erstellen dort auch einfacher werden.
 

Busta2

Benutzer
Mitglied seit
05. Sep 2013
Beiträge
306
Punkte für Reaktionen
5
Punkte
18
Ich hoffe ich bin in dem Thread richtig... ich habe jetzt hier viel zum externen Zugriff gelesen und mir die Videos von idomix angesehen, habe aber eher mehr Fragen als vorher...

Also meine Situation:
statische iPv4 Adresse, dynDNS somit aus meiner Sicht unnötig (ich kann nicht sagen, ob das ein "echter" iPv4 ist oder wie in Artikeln öfter erwähnt eigentlich ein iPv6, auf wieistmeineip.de wird jedenfalls keine iPv6 Adresse angezeigt
Unifi Netzwerk, also Router ist ein Unifi Security Gateway (würde mittlerweile pfsense wählen, im Nachhinein ist man immer schlauer)

Fremde brauchen keinen Zugriff auf die Diskstation, ganz eventuell gebe ich irgendwann mal Dateien oder Fotos frei, aber momentan jedenfalls nicht
ich will über die Synology Apps und für CardDav, CalDAV Zugriff auf die DS, idealerweise immer über die gleiche Methode, aber wenn ich im lokalen LAN etwas anderes eingeben muss, dann von mir aus


idomix meint in der Situation würde er QuickConnect deaktiviert lassen und über das Zertifikat gehen - wobei er da eine dynDNS nimmt, ich habe ja eigentlich eine statische IP
Würdet ihr das auch so machen und wie gehe ich richtig vor?

Ist es denn nicht unsicher Port 80 zu öffnen? Außerdem muss ich den Port für meine VoIP-Anlage weiterleiten, wie gehe ich denn dann vor, wenn zwei Geräte den Port brauchen? :confused:
 

frankyst72

Benutzer
Mitglied seit
01. Jun 2015
Beiträge
1.955
Punkte für Reaktionen
3
Punkte
58
Router ist ein Unifi Security Gateway (würde mittlerweile pfsense wählen, im Nachhinein ist man immer schlauer)
darf ich fragen warum? bin auch dabei auf Unifi umzustellen...

ich will über die Synology Apps und für CardDav, CalDAV Zugriff auf die DS, idealerweise immer über die gleiche Methode, aber wenn ich im lokalen LAN etwas anderes eingeben muss, dann von mir aus
von außen musst Du Deine Statische IP verwenden. Im lokalen Netz musst Du aber die lokale IP verwenden. Wenn Du einen DynDNS hättest könntest Du von außen über den DynDNS-Namen zugreifen und wenn Du in Deinem lokalen Netz noch einen kleinen DNS laufen hast dort hinterlegen, dass beim DynDNS-Namen dann die lokale IP zu verwenden ist. So mache ich das und muss nicht jedes mal die Anmeldedaten ändern oder switchen. Sehr komfortabel.

Ein Zertifikat wirst Du immer nur für einen Domänennamen bekommen, für eine IP bekommst Du kein Zertifikat ausgestellt.

Hol Dir DynDNS trotz statischer IP! Dann bekommste auch ein Zertifikat. und wenn Du es komplett machen willst, stell Dir einen kleinen DNS hin (das kann auch die Synology sein, das habe ich aber sein lassen, ich fahre die DS gerne bei Gewitter runter, aber dann geht kein Internet mehr im gesamten Netz). Ich verwende pi-hole auf einem Raspberry Pi. Dort kann man in der Konfiguration auch einen Eintrag fürs lokale Netz hinterlegen.

Ich habe Port 80 und 443 offen. Kann mich bisher nicht beklagen.
Wenn zwei Geräte den selben Port brauchen, muss eines auf einen anderen Port ausweichen.
 

Busta2

Benutzer
Mitglied seit
05. Sep 2013
Beiträge
306
Punkte für Reaktionen
5
Punkte
18
darf ich fragen warum? bin auch dabei auf Unifi umzustellen...

Klar:
Zuerst mal finde ich den Unifi Gedanken (eine zentrale Oberfläche für alle Devices) genial und bin auch hier über idomix auf die Unifi-Geräte gestoßen. Damals war ich mir sicher, dass das das richtige ist und habe mich gar nicht groß mit Alternativen beschäftigt.

Bei der Einrichtung haben sich dann aber einige Schwachpunkte und Ärgernisse aufgetan, wobei ich gleich vorab sage, dass man die meisten wohl vermeiden kann, wenn man keine ausgefalleneren/professionelleren Lösungen sucht. Außerdem sind die WLAN Produkte wohl gut und empfehlenswert, nur beim Rest tendiere ich zu 'Schuster bleib bei deinen Leisten'.

-Layer 3 Funktionalität: Ursprünglich wurden Switch und Security Gateway damit beworben. Kurz nach dem Kauf musste ich feststellen, dass der Punkt klammheimlich von der Website verschwunden ist, auch wenn einige Händler den Switch immer noch damit bewerben. Es gibt seit Jahren in der Community die Forderung nach Layer 3 Routing, kommt aber nicht. --> nicht existent

-QoS: USG wird mit "Enterprise QoS" beworben, wirkliches QoS kann der Router aber nicht, tatsächlich können vermutlich Fritzboxen mehr. Ich meine, dass das in den wenigsten Büros nötig ist (Netzwerke sind schnell genug), aber wenn ich schon beim Kauf darauf achte, dann will ich auch eine Netzwerkumgebung mit funktionierendem QoS für meine VoIP Dienste. --> nicht existent

-Firewall: Die Einrichtung ist null intuitiv, standardmäßig wird außerdem kein inter-VLAN Traffic geblockt. Das lässt sich mit einer Firewallregel schnell beheben, ist aber vollkommen irrsinnig.

-Ich kann damit leben, dass ein Neustart ein paar Minuten benötigt, denn der kommt sehr selten vor. Nur: Wenn auch nur eine Firewallregel verändert wird, wird das USG neu provisioniert. Das dauert ein paar Minuten und dann kann man testen, ob die Firewall jetzt so funktioniert, wie man das gerne hätte. Da wird man bei der Installation schnell wahnsinnig. Vergleich Fritzbox, da wird die Firewalländerung augenblicklich wirksam. Wieso geht das bei Unifi nicht?

-seit Jahren gibt es die Forderung zum Beispiel Ports oder APs zeitgesteuert ausschalten zu können

-Sonst auch noch viel Ärger bei der Einrichtung, v.a. da ich auf VLANs und 802.1x mit RADIUS Server setze.


Cisco SG300 Switches kosten auch nicht mehr und eine pfSense Firewall eher sogar weniger. Im Nachhinein wäre ich sehr zuversichtlich, dass damit die Einrichtung schneller gegangen wäre (ich habe zwar keine Erfahrung damit, aber bespielsweise auf administrator.de gibt es gute Tutorials, insbesondere von aqui) und außerdem Funktionalität und vielleicht auch Geschwindigkeit höher wären. Eine graphische Oberfläche hat halt auch den Nachteil, dass Funktionen womöglich nicht an der Stelle sind, an der man sie erwartet.


Ich würde mich immer noch freuen, wenn der Unifi Controller deutlich mehr Möglichkeiten böte, bin aber eher ernüchtert und habe da wenig Zuversicht. Mittlerweile läuft aber alles gut und auch ohne Ausfälle, das Draytek Vigor Modem ist vielleicht schneller als Fritzboxen und läuft problemloser (schwer zu sagen, habe keine aktuelle Fritzbox und momentan hakt die Geschwindigkeit eher am Provider). Wenn man auf Layer 3, VLANs, 802.1x verzichtet, dann hat man vermutlich mit Unifi auch in sehr kurzer Zeit ein funktionierendes Netzwerk. Nur stellt sich mir dann etwas die Frage, weshalb man nicht gleich eine Fritzbox und einen einfachen Switch nutzt, von mir aus mit Unifi APs.

Also zusammengefasst fehlt für mich die Berechtigung von Unifi - für einfache Anwendungen gibt es andere Lösungen, für komplexere taugt Unifi nichts.

Hol Dir DynDNS trotz statischer IP!

Alles klar :) Wenn auch etwas widersprüchlich oder? :)


Ich verwende pi-hole auf einem Raspberry Pi. Dort kann man in der Konfiguration auch einen Eintrag fürs lokale Netz hinterlegen.

Gut zu wissen! einen pi-hole wollte ich auch in Betrieb nehmen (ginge wohl mit viel Aufwand auch in ähnlicher Form direkt auf dem USG), bisher habe ich es dann gelassen, da Youtube Ads wohl nicht geblockt werden.


Wenn zwei Geräte den selben Port brauchen, muss eines auf einen anderen Port ausweichen.

Wie macht man das denn dann? Die DS kann doch so wie ich das verstanden habe, nicht auf einen anderen Port ausweichen, mein anderes Gerät (VoIP Anlage) wohl auch nicht. Synology meinte nur zu mir mehrere Geräte an einem Port geht, haben aber nicht gesagt wie.
 

Busta2

Benutzer
Mitglied seit
05. Sep 2013
Beiträge
306
Punkte für Reaktionen
5
Punkte
18
Mir kam gerade noch die Idee, dass pi-hole doch auch auf der DS selbst laufen sollte. Hat das Vor/Nachteile?
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
Wie war gleich noch mal die Themenüberschrift?


Offenbar hat es in DSM 6.2 eine Änderung gegeben, es sollte jetzt viel einfacher sein das LE Zertifikat zu verlängern,
Zertifikatszeile anklicken > rechte Maustaste > Zertifikat verlängern:

le_zertifikat_erneuern_dsm_6_2.jpg
 
Zuletzt bearbeitet:

flak65

Benutzer
Mitglied seit
22. Jun 2018
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Nächsten Monat kommt das neue FritzOS raus. Damit soll das Zertifikat erstellen dort auch einfacher werden.

Ja, das stimmt. Funktioniert aber nur wenn man den DynDNS Dienst von AVM nutzt (MyFritz). Mit anderen DynDNS Anbietern kann man keine LE Zertifikat über die FritzBox erstellen. Technisch wäre das war möglich, aber offensichtlich will AVM den eigenen DIenst pushen.

Daher ist es wesentlich besser das Zertifikat über die Synologie erstellen zu lassen, nur hier fehlt leider die chain.pem.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Klar:
Zuerst mal finde ich den Unifi Gedanken (eine zentrale Oberfläche für alle Devices) genial und bin auch hier über idomix auf die Unifi-Geräte gestoßen. Damals war ich mir sicher, dass das das richtige ist und habe mich gar nicht groß mit Alternativen beschäftigt.
Soll ich dazu den Beitrag in einen neuen Thread ziehen? Ich hätte durchaus Lust das Thema eingehender zu diskutieren. Mein USG ist seit 2 Tagen in Betrieb und löst (wie in DE wahrscheinlich bei vielen) eine Fritzbox ab. Was die Möglichkeiten angeht ist die Fritzbox einfach auf andere Dinge fokussiert. Ich brauche kein DECT-Heizungsthermostat, sondern will neugierige IoT-Geräte (etwa meine Heizungsanlage) in ein eigenes Netz klammern usw. Was dir bspw. an Layer3 Routing fehlt würde mich mal interessieren. Auf den ersten Blick ist alles wichtige da, auch statische Routen.

MfG Matthieu
 

Nanuk

Benutzer
Mitglied seit
08. Mai 2014
Beiträge
106
Punkte für Reaktionen
2
Punkte
24

rieders23

Benutzer
Mitglied seit
25. Apr 2018
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Hallo

Ich habe auch ein let´s Encrypt Zertifikat erstellt.
Meine Webseiten habe ich nun auf HTTPS umleiten lassen.
Trotzdem wird im Browser das Zertifikat als unsicher angezeigt.

Die einzige Webseite die als sicher angezeigt wir ist mein Test-Webshop. (Prestashop)

Wie kann ich die anderen Webseiten auch als sichere Webseiten im Browser anzeigen lassen?
Muss ich im Verzeichnis der Webseite noch eine Datei hinzufügen ?


Grüße
André
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat