DSM 7.2 Zertifikat für LAN erstellen?

[mensa]

Hallo,

meine DS218+ ist einfach unter "NAS" erreichbar. Kann ich mir dafür ein Zertifikat erstellen und aktivieren?
Wie genau geht das? Hat da bitte jemand ein Tutorial? Hätte das hier gefunden, scheint aber so leider in DSM 7 nicht mehr zu funktionieren: https://jeangalea.com/setup-ssl-synology-nas/

 

[Benie]

Lies Dir mal das durch Synology hat selbst eine sehr umfangreiche Knowledge, dort findest Du zu allen Themen etwas.

https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/connection_certificate?version=7

 

[Rotbart]

Das Thema kommt hier ca 2 x pro Woche, bitte mal die SuFu benutzen.Zertifikat geht nur auf Domainnamen nicht auf IP. Stichpunkte wären z.b.Quickconnect, Addguard.

 

[mensa]

Würde dafür auch eine Dyndns Domain reichen? Also z.B. xxx.mooo.com ?

 

[Rotbart]

Geht auch

 

[mensa]

Aber dann ist es trotzdem ungültig, wenn ich auf meine lokale NAS im Netzwerk einfach über "NAS" zugreife, oder?

 

[ctrlaltdelete]

ja, du musst es dann intern auch über dyndns ansprechen.

 

[Ulfhednir]

Zertifikat geht nur auf Domainnamen nicht auf IP. Stichpunkte wären z.b.Quickconnect, Addguard.

Genauso wie sich das Gerücht hält, dass man kein IP basiertes SSL-Zertifikat erstellen könnte.

siehe auch dazu meinen BeitraG:
https://www.synology-forum.de/threads/http-vs-https-intern-extern.129446/post-1111954

 

[mensa]

Cool, danke!
Könntest du mir bitte erklären, wie ich mir sowas für meine IP 192.168.1.6 oder Hostname NAS erstellen kann unter DSM 7.2?
Auf die Shell hätt ich auch Zugriff.

 

[Benares]

Schau mal ins Wiki. Ist zwar recht alt der Artikel aber im Grunde immer noch richtig.

 

[Ulfhednir]

Korrekt. Und wer nicht auf der Diskstation herumwurschteln will, kann sich auch für Windows einen OpenSSL-Client herunterladen.
Muss dann halt in der CMD wurschteln.

 

[plang.pl]

Oder man nutzt eine Domain / DDNS plus eigenen DNS-Server. Ich nutze dafür AdGuard

 

[mensa]

Schau mal ins Wiki. Ist zwar recht alt der Artikel aber im Grunde immer noch richtig.

Danke, hab alles nach dem Wiki gemacht und DS neugestartet, allerdings wird das Zertifikat nicht verwendet.
Muss man das noch in der GUI machen?

 

[Benares]

Taucht es unter Systemsteuerung, Sicherheit, Zertifikat auf? Wenn ja, musst du es noch in den Einstellungen dort dem jeweiligen Dienst zuordnen.
Da es ja selbstsigniert ist, musst du es auch noch auf den Clients als vertrauenswürdig einstufen (z.B. über certmgr.msc nach "Vertrauenswürdige Stammzertifizierungsstellen" importieren )

 

[mensa]

Nein, erscheint dort leider nicht.
So sieht es im Filesystem aus:

root@NAS:/usr/syno/etc/ssl# ls -l ./ ssl*
./:
total 36
drwx------ 3 root root 4096 Nov  5 11:18 bak
drwxr-xr-x 2 root root 4096 Mar 28  2022 cfg.d
drwx------ 2 root root 4096 Oct  6  2018 cgi.key
-r-------- 1 root root  245 Oct  6  2018 dh1024.pem
-r-------- 1 root root  424 Apr 19  2021 dh2048.pem
-r-------- 1 root root  769 Sep  7  2018 dh4096.pem
drwx------ 2 root root 4096 Nov  5 11:35 ssl.crt
drwx------ 2 root root 4096 Nov  5 11:35 ssl.csr
drwx------ 2 root root 4096 Nov  5 11:35 ssl.key

ssl.crt:
total 8
-rw------- 1 root root 1034 Nov  5 11:34 ca.crt
-rw------- 1 root root 1005 Nov  5 11:35 server.crt

ssl.csr:
total 8
-rw------- 1 root root 696 Nov  5 11:34 ca.csr
-rw------- 1 root root 696 Nov  5 11:35 server.csr

ssl.key:
total 8
-rw------- 1 root root 963 Nov  5 11:34 ca.key
-rw------- 1 root root 887 Nov  5 11:34 server.key

 

[Thonav]

Mal eine andere Frage - warum musst Du im eigenen Netz verschlüsselt auf Deine DS zugreifen?

 

[Benares]

Ich bin mir grad nicht sicher, ob der Schritt "Austausch der Dateien" im Wiki noch so stimmt. Ich habe beim letzten Mal das Zertifikat über die DSM-GUI importiert.

 

[mensa]

Mal eine andere Frage - warum musst Du im eigenen Netz verschlüsselt auf Deine DS zugreifen?

Ich glaube verschlüsselt sind die Daten ja auch ohne Zertifikat, da HTTPS, oder?

 

[Thonav]

Ja - daher erstell doch einfach im Browser eine Ausnahme und fertig. Beantwortet aber nicht meine Frage, warum Du nicht einfach per http (unverschlüsselt) zugreifst?