Ich fand den Vorschlag von @Janüscht aus #15 nicht schlecht, einfach acme.sh nutzen oder nur für den Deploy missbrauchen.
Nginx Proxy Manager Zertifikat zu Synology Importieren
- Ersteller SvensenDE
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
- Registriert
- 28. Okt. 2020
- Beiträge
- 15.795
- Reaktionspunkte
- 6.034
- Punkte
- 589
Ja, so sehe ich das auch. 2 Optionen:
DSM direkt über den RP ansprechen, dann braucht DSM selbst kein Cert. Oder halt alternativ acme.sh nutzen. Ich habe mich für letzteres entschieden
DSM direkt über den RP ansprechen, dann braucht DSM selbst kein Cert. Oder halt alternativ acme.sh nutzen. Ich habe mich für letzteres entschieden
- Registriert
- 30. Dez. 2012
- Beiträge
- 17.497
- Reaktionspunkte
- 8.542
- Punkte
- 679
Ich nutze acme.sh als Docker Container auf der DS und NPM plus läuft auf dem Raspi und holt sich von der DS das Cert.
stulpinger
Benutzer
- Registriert
- 27. Mai 2009
- Beiträge
- 758
- Reaktionspunkte
- 156
- Punkte
- 69
bzgl. "ohne Handeingriff" ?
habe fünf subdomains deren Zertifikate ich ca. alle 80 Tage in DSM importiere
Zeitaufwand inkl. Export aus nginx, läuft unter unRAID, maximal 10 Minuten
Zeitaufwand für die Aktualisierung der Zertifikate ( 21 ) vielleicht 15 Minuten, inklusive Deaktivierung Geoblocking und anschließender Aktivierung nach Erneuerung
Also grob gerechnet 25 Minuten alle 80 Tage
habe fünf subdomains deren Zertifikate ich ca. alle 80 Tage in DSM importiere
Zeitaufwand inkl. Export aus nginx, läuft unter unRAID, maximal 10 Minuten
Zeitaufwand für die Aktualisierung der Zertifikate ( 21 ) vielleicht 15 Minuten, inklusive Deaktivierung Geoblocking und anschließender Aktivierung nach Erneuerung
Also grob gerechnet 25 Minuten alle 80 Tage
- Registriert
- 30. Dez. 2012
- Beiträge
- 17.497
- Reaktionspunkte
- 8.542
- Punkte
- 679
acme.sh mit *.wildcarddomain, ca. 0 Sekunden 
und größter Vorteil, automatisch.
und größter Vorteil, automatisch.acme geht bei meinem Domain Anbieter leider nicht oder zumindest gibt es keine API.
Blöd ist nur, der nginx hat zwar das Zertifikat, leitet dann weiter auf die Box und dann sendet die ihr selbst erstelltes zum Client...
Muss mal zeit finden zu schauen ob ich meine Domain mit den free DNS von Cloudflare (da geht ja acme) verbinden kann. Wenn da einer eine hilfreiche Beschreibung zu hat, wie man das umsetzt, freue ich mich.
Blöd ist nur, der nginx hat zwar das Zertifikat, leitet dann weiter auf die Box und dann sendet die ihr selbst erstelltes zum Client...
Muss mal zeit finden zu schauen ob ich meine Domain mit den free DNS von Cloudflare (da geht ja acme) verbinden kann. Wenn da einer eine hilfreiche Beschreibung zu hat, wie man das umsetzt, freue ich mich.
- Registriert
- 30. Dez. 2012
- Beiträge
- 17.497
- Reaktionspunkte
- 8.542
- Punkte
- 679
Bist du da sicher, ich nutze auch NPM mit Certs und leite auf einen Raspi und auf eine DS, ohne Cert Probleme?
Ja, im Browser sehe ich das falsche Zertifikat ja. mein Sync Tool braucht aber das richtige Zertifikat... im Moment aber dafür keine Zeit, war nur wegen der blöden SS hier die schon wieder murks macht. Wollte ich nur mal da lassen die Info.
Zuletzt bearbeitet von einem Moderator:
- Registriert
- 30. Dez. 2012
- Beiträge
- 17.497
- Reaktionspunkte
- 8.542
- Punkte
- 679
- Registriert
- 19. Feb. 2014
- Beiträge
- 11.136
- Reaktionspunkte
- 5.566
- Punkte
- 484
Sollte eigentlich auch bei einer DS funktionieren, so mache ich das bei meiner UGREEN DXP auch. Das NAS selbst braucht kein Zertifikat, das erledigt bereits der npm. Wie hier schon mal erwähnt Port 80/443 an den npm weiterleiten.
Der npm erneuert, wenn die Ports geöffnet sind, das Zertifikat selbstständig alle 80 Tage.
Der npm erneuert, wenn die Ports geöffnet sind, das Zertifikat selbstständig alle 80 Tage.
- Registriert
- 30. Dez. 2012
- Beiträge
- 17.497
- Reaktionspunkte
- 8.542
- Punkte
- 679
- Registriert
- 26. Aug. 2013
- Beiträge
- 3.771
- Reaktionspunkte
- 1.330
- Punkte
- 194
Bei Nginx Proxy Manager lese ich normalerweise nicht mit, weil ich SWAG nutze. Aber egal.
Wenn ich das richtig verfolgt habe, willst du (nur für internen Gebrauch) ein Zertifikat einbinden. Warum nutzt du nicht einfach ein selbst signiertes Zertifikat mit OpenSSL?
Die Gültigkeit kannst du dabei sogar selbst noch definieren.
- Registriert
- 30. Dez. 2012
- Beiträge
- 17.497
- Reaktionspunkte
- 8.542
- Punkte
- 679
- Registriert
- 26. Aug. 2013
- Beiträge
- 3.771
- Reaktionspunkte
- 1.330
- Punkte
- 194
Bei Netcup sind die Tage wieder Deals. Da gibt es oftmals Domains für 2-3 Euro im Jahr. Ich würde an deiner Stelle portieren, wenn dein Provider kein acme anbietet.
Ich habe auch das Problem die NPM Zertifikate auf der Synology zu verwenden bzw. zu aktualisieren.
Mein Setup:
Feste öffentliche IP
Firewall UDM (Unifi Dream Machine)
Lokales Netzwerk: 192.168.1.0/24
NPM (Nginx Proxy Manager) im Docker unter Ubuntu Server auf einem Mini-PC.
Synology NAS im selben Netzwerk.
NPM Host -> syno.meinedomain.tld mit SSL Zertifikat -> https forward zu [IP-der-Synology] Port 5001
NPM Host -> mail.meinedomain.tld mit SSL Zertifikat -> https forward zu [IP-der-Synology] Port 5001
UDM Port-Forwarding 993, 465, 587 für Mail-Server -> an Synology
UDM Port-Forwarding 6690 für Drive-Server -> an Synology
UDM DNS (A) Eintrag syno.meinedomain.tld -> zu [IP-der-Synology]
UDM DNS (A) Eintrag mail.meinedomain.tld -> zu [IP-der-Synology]
NPM Zertifikate manuell exportiert und in Synology DSM importiert und Dienste zugewiesen.
https Verbindung funktioniert extern zwischen Client - NPM - Synology
https Verbindung funktioniert intern zwischen Client - Synology
Da der Synology Drive-Client unter Windows nicht über WebDAV geht sondern über Port TCP 6690 kommuniziert und das nicht geändert werden kann, muss Port 6690 direkt zu der Synology forwarded werden.
Die Ports für den Mail-Server könnte man evtl. über NPM-Streams überführen aber das habe ich noch nicht ausprobiert.
Ich kenne mich auch wenig mit Linux aus und mit acme.sh habe ich bisher noch keinerlei Erfahrungen. Ich will LAN-intern nicht http sondern durchgehend überall https nutzen.
Wie können die zwei manuell importierten Zertifikate auf der Synology automatisch aktualisiert werden? Von den bisherigen Antworten habe ich für mich leider noch keine Lösung herauslesen können.
Mein Setup:
Feste öffentliche IP
Firewall UDM (Unifi Dream Machine)
Lokales Netzwerk: 192.168.1.0/24
NPM (Nginx Proxy Manager) im Docker unter Ubuntu Server auf einem Mini-PC.
Synology NAS im selben Netzwerk.
NPM Host -> syno.meinedomain.tld mit SSL Zertifikat -> https forward zu [IP-der-Synology] Port 5001
NPM Host -> mail.meinedomain.tld mit SSL Zertifikat -> https forward zu [IP-der-Synology] Port 5001
UDM Port-Forwarding 993, 465, 587 für Mail-Server -> an Synology
UDM Port-Forwarding 6690 für Drive-Server -> an Synology
UDM DNS (A) Eintrag syno.meinedomain.tld -> zu [IP-der-Synology]
UDM DNS (A) Eintrag mail.meinedomain.tld -> zu [IP-der-Synology]
NPM Zertifikate manuell exportiert und in Synology DSM importiert und Dienste zugewiesen.
https Verbindung funktioniert extern zwischen Client - NPM - Synology
https Verbindung funktioniert intern zwischen Client - Synology
Da der Synology Drive-Client unter Windows nicht über WebDAV geht sondern über Port TCP 6690 kommuniziert und das nicht geändert werden kann, muss Port 6690 direkt zu der Synology forwarded werden.
Die Ports für den Mail-Server könnte man evtl. über NPM-Streams überführen aber das habe ich noch nicht ausprobiert.
Ich kenne mich auch wenig mit Linux aus und mit acme.sh habe ich bisher noch keinerlei Erfahrungen. Ich will LAN-intern nicht http sondern durchgehend überall https nutzen.
Wie können die zwei manuell importierten Zertifikate auf der Synology automatisch aktualisiert werden? Von den bisherigen Antworten habe ich für mich leider noch keine Lösung herauslesen können.
- Registriert
- 28. Okt. 2020
- Beiträge
- 15.795
- Reaktionspunkte
- 6.034
- Punkte
- 589
Das kommt eben auf deinen Hoster für die Domain an. Ich habe bei netcup eine Domain. Das Zertifikat hierfür rufe ich mit folgenden Diensten ab:
-Proxmox VE und Backup Server (integriertes acme-Plugin)
-nginx Proxy Manager (acme)
-DSM (acme.sh Docker)
Das mit dem Split-DNS hast du ja schon hingekriegt, wie ich das verstehe. Also intern Domain auf interne IP und extern auf öffentliche IP.
Würde mal schauen, ob dein Anbieter acme.sh unterstützt:
https://github.com/acmesh-official/acme.sh/wiki/dnsapi
https://github.com/acmesh-official/acme.sh/wiki/dnsapi2
-Proxmox VE und Backup Server (integriertes acme-Plugin)
-nginx Proxy Manager (acme)
-DSM (acme.sh Docker)
Das mit dem Split-DNS hast du ja schon hingekriegt, wie ich das verstehe. Also intern Domain auf interne IP und extern auf öffentliche IP.
Würde mal schauen, ob dein Anbieter acme.sh unterstützt:
https://github.com/acmesh-official/acme.sh/wiki/dnsapi
https://github.com/acmesh-official/acme.sh/wiki/dnsapi2
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
