Hyper Backup Zertifikatsauthentifizierung schlägt fehl

[beis]

Hallo zusammen,

ich möchte an der neuen DS 723+ (DSM 7.2.1-69057 Update5) einen Backup-Job mit Hyper Backup (4.1.1-3758) einrichten. Sicherungszeiel ist eine externe Diskstation, die bei ener Bekannten steht mit Hyper Backup Vault.
Die externe Diskstation ist eine DS214se, DSM 7.1.1-42962 Update 6, hängt an einer DSL-Leitung mit dynamischer IP-Adresse. Domainname ordentlich eingerichtet, DynDNS-Service ordentlich und zuverlässig eingerichtet (funktioniert seit Jahren ohne zu mucken).

Beim Anlegen des Backup-jobs mit dem Datensicherung-Assistent unter "Datensicherungsziel-Einstellungen" kann ich mich an der Diskstation anmelden und ein Verzeichnis auswählen. Drücke ich auf weiter erhalte ich die Fehlermeldung "Überprüfung des Zertifikats fehlgeschlagen. Wählen Sie, ob Sie dem Zertifikat direkt vertrauen oder die Zertifikatsprüfung ignorieren wollen.". Danach heißt es unter "Zertifikatsauthentifizierung" "Fehlgeschlagen".

Ich habe mal gekuckt wie auf dem Zielserver das Zertifikat aussieht. Ich finde es ist alles so wie es sein soll.
Jetzt weis ich nicht was falsch sein könnte. Hat jemand eine Idee?

Vielen Dank für Eure Hilfe!

Viele Grüße
beis

 

[Flessi]

Wenn das Zertifikat aus der DS von synology.com kommt, kannst du ihm doch vertrauen und dieses auch anklicken und gut isses.
Siehe auch hier.

 

[plang.pl]

Das Problem ist aber, dass man das dann nach jeder Aktualisierung des Certs manuell nochmal machen muss. Wenn nicht, läuft das Backup nicht mehr. Das dürfte alle 3 Monate der Fall sein.

 

[beis]

Hallo Flessi,

das stimmt und habe ich auch gemacht.
Im Allgemeinen nehme ich jedoch solche Kleinigkeiten sehr ernst, da dass oft ein Hinweis darauf ist, dass etwas nicht so ist wie es sein soll. Speziell rund um Zertifikate nehme ich so etwas sehr genau.

Grüße
beis

 

[synfor]

Ich habe mal gekuckt wie auf dem Zielserver das Zertifikat aussieht. Ich finde es ist alles so wie es sein soll.

Und wird das auch für Hyper Backup Vault verwendet? Systemsteuerung > Sicherheit > Zertifikate > Einstellungen

Wenn das Zertifikat aus der DS von synology.com kommt, kannst du ihm doch vertrauen und dieses auch anklicken und gut isses.

Nein, da sollte eben nicht das Zertifikat von Synology kommen. Leider scheint es da in Hyper Backup nur Vertrauen oder Ignorieren zu geben. Gebraucht werden da zur Entscheidung schon ein paar mehr Infos, damit man sich nicht ins Knie schießt.

 

[patrickn]

Darüber bin ich auch schon gestolpert...

DS116 DSM 6.2 -> DS223 DSM 7.2 geht durch ohne Zertifikatwarnung.
DS223 auf DS116 - Zertifikatwarnung, ohne Angabe warum.

Stellt man für Hyperbackup-Backup V das Synology Zertifikat ein oder erstellt ein eigenes, wird in dem Ausrufezeichen/Info hinter Zertifikatwarnung wenigstens der Inhalt des Zertifikats angezeigt, und man kann sicher sein, dass es auch das korrekte ist.

Einziger Unterschied zwischen den letsencrypt Zertifikaten: DS116 nutzt kein ECC, während die DS223 ein ECC Zertifikat nutzt.

 

[Benie]

@beis Hast Du den wie bereits hier schon erwähnt das Zertifikat hier in den Einstellungen richtig zugeordnet?

 

[patrickn]

Sieht man doch auf seinem Screenshot, dass es zugeordnet ist für HB vault

 

[beis]

Hallo zusammen,

ich habe an ein paar Ecken versucht zu drehen.

Zum einen habe ich ein neues eigenes Zertifikat auf dem Zielserver erstellet und auch die Anwendung Hyper Backup Vault zugeordnet. ==> hilft nichts.

Soweit ich weis sollte für die Überprüfung der Zertifikate keine zusätzlichen Ports freigwgeben werden müssen. Richtig?
Ich habe auch nichts auffälliges gesehen.

Ansonsten habe ich noch Netzwerk gekuckt, jedoch nichts was mir aufgefallen wäre.

 

[Benares]

Gib mal testweise temporär noch Port 5001 frei, bis die Anmeldung durch ist.

 

[beis]

leider nicht, gleicher Effekt.

 

[Benares]

Hast du auch mal im Browser getestet, ob die Freigabe von 5001 funktioniert?, also https://familie.xxx.info:5001
Edit: Evtl. musst du das neue Zertifikat auch zum Standard-Zertifikat machen, damit es auch vom DSM verwendet wird.

 

[beis]

Ja habe ich. klappt auch Ordentlich, komme bei DSM heraus und der Browser akzeptiert das Zertifikat einwandfrei:



Grüße
beis

 

[Benares]

Dein Screenshot in #9 zeigt ein einzelnes Zertifikat, das nicht das Standardzertifikat ist. Hast du jetzt mehrere? (s. mein Edit in #12)

 

[Benie]

Du hast ja hier zwei Threads am laufen siehe hier handelt es sich hierbei um die selbe DS oder geht es da um zweierlei DS?

 

[beis]

Ja, wie im Beitrag #9 beschrieben habe ich versuchsweise für Hyper Backup Vault ein eigenes für Hyper Backup Vault eingerichtet.

 

[beis]

Du hast ja hier zwei Threads am laufen siehe hier handelt es sich hierbei um die selbe DS oder geht es da um zweierlei DS?

Es ist die selbe DS aber zwei unterschiedliche Probleme. Beim Popupblocker habe ich mich nur angestellt, das hier scheint zäher zu sein.

 

[Benares]

Dann mach das neue auch mal zum Standard-Zertifikat.

 

[Benie]

Ich frage deshalb, weil Du dort einmal geschrieben hast,

"Ich kann zwar auf "Vertrauen" drücken (Es erscheint in grün "Erfolgreich"), jecdoch macht das keinen Unterschied ob ich mich anmelden kann."

wenn hier ein grünes erfolgreich erschienen ist, hieß das doch bereits, daß das Zertifikat angenommen wurde, da gibt es dann im PopUp zwei möglichkeiten anzumelden, hast Du da beide versionen versucht? bei der Browserversion kommt wieder ein PopUp das zugelassen werden muß.

 

[beis]

So, jetzt der Reihe nach, sonst wird es missverständlich.

1. Der andere Threat ist gelöst, es war ein Popup, das der Browser unterdrückt hat. erledigt.

2. Wenn ich auf Vertrauen drücke, bedeutet das (so zumindest mein Verständnis), dass ich manuel 'verifiziere'. Hyperbackup merkt sich das und zeigt an, dass es sich um eine vertrauensvolle Gegenstelle handelt ==> Wird als vertrauensvoll ausgewiesen ("Erfolgreich").

3. Das Versuchs-Zertifikat habe ich jetzt wieder gelöscht. Die koplette DS meiner bekannten läuft wieder mit einem, dem Alten, Zertifikat. Ich habe es bei meinen Versuchen aktualisiert. Dieses Zertifikat akzeptiert mein Browser (https, DSM und Port 5001). Jedoch wenn ich den Backup-Job anlegen versuche habe ich das gleiche Problem wie vorher.