DSM 6.x und darunter Wie werden die Synology Zertifikate erneuert?

[ottosykora]

Früher waren die defaut Zertfikate von Synology für Jahrzehnte ausgestellt. Also auf 'Lebenszeit'

Nun werden sie wie alle anderen für 1 Jahr gültig.
Wie ist der Mechanismus um sie nach 1 Jahr zu erneuern?

 

[blurrrr]

Erstell einfach ein neues und tausch es aus (ggf. über die Syno-GUI (vermute ich mal))... oder halt ggf. mit dem alten Key, ein neues erstellten (wenn es nicht "ganz" neu sein soll bzw. die Keys erhalten bleiben sollen). Ich muss ganz ehrlich gestehen, dass ich bei solchen Dingen einfach immer direkt neue (samt Keys) erstelle... das Cert muss eh durch die Gegend kopiert werden, da kann man die Keys halt auch direkt kopieren, finde ich jetzt nicht so dramatisch ??

 

[ottosykora]

Ja dramatisch nicht, aber wenn es dann viele DS werden, bei manchen haben wir auch intern auf https gestellt (macht zwar kein Sinn aber vor einiger Zeit war das problemlos) und jetzt muss ich einen Kalnder führen wann welche DS fällig wird....

Ob zumindest bei Syno so was automatisch erfolgt ?

Habe keine Ahnung, es ist ja relativ neu das mit dem 1 Jahr

Mit dem alten Key ein neues erstellen? Wie etwa geht das?

 

[blurrrr]

Ob zumindest bei Syno so was automatisch erfolgt ?

"kann" sein, würde ich mich aber ehrlich gesagt nicht drauf verlassen. Ansonsten selbst Zertifikate erstellen, welche der vorgesehenen Lebensdauer der Geräte entspricht (z.B. 3 oder 5 Jahre).

https://uwnthesis.wordpress.com/201...ains-the-same-public-key-as-the-expired-cert/
https://www.smashingmagazine.com/how-to-issue-a-new-ssl-certificate-with-an-old-ssl-key/

Ich würde die Keys aber einfach direkt ebenfalls neu erstellen...

Davon ab: Entweder die heissgeliebte, riesengroße Exceltabelle, ggf. haut die Syno vorher eine Warnung raus, oder halt Monitoring der Zertifikate

 

[ottosykora]

Ansonsten selbst Zertifikate erstellen, welche der vorgesehenen Lebensdauer der Geräte entspricht (z.B. 3 oder 5 Jahre).

das darf eigentlich nicht mehr möglich sein. Wenn ich heute so ein erstelle muss es ja ungültig sein, weil es ja maximal 366 Tage gelten darf

das kann also endlos kompliziert werden, werde wohl bei allen neuen DS alles https ausschalten versuchen, hoffe die Browser nehmen es

 

[blurrrr]

Das gilt für die Browser, nicht für die Zertifikate selbst

EDIT: https://www.medienpalast.net/blog/browser-hersteller-verkuerzen-ssl-zertifikats-lebensdauer/
EDIT2: Wenn es Dir lediglich um die Webzertifikate geht, Lets Encrypt? Alternativ jedes Jahr einfach neue erstellen... Je nach Anzahl der Boxen ggf. einmal einen Durchlauf jährlich, oder halt über's Jahr verteilt - ganz nach Lust und Laune.

 

[Benares]

Ich denke auch, dass das nicht anders geht. Selbst wenn die DS so ein selbst signiertes Zertifikat automatisch verlängern würde, müsste man es ja trotzdem erst auf die Clients verteilen und wieder als vertrauenswürdig einstufen.

 

[ottosykora]

Dann halt https ausschalten, dann gibt es kein Problem, bis dann mal Browser sagt es gibt gar kein http mehr auch intern nicht


ich habe mich einfach gewundert wie es Synology plant.

 

[blurrrr]

Der hier macht bestimmt keine Zicken

 

[ottosykora]

war das noch schön damals, als iwr so jung waren, habe ich tatsächlich genutzt damals, bin dann schnelle auf Nettamer und Arachne Browser umgestiegen