Let’s Encrypt-Zertifikate auf Synology-NAS einrichten

Let' s Encrypt Logo

Let’s Encrypt befindet sich seit Dezember 2015 in der öffentlichen Beta und kann seitdem von jedem kostenlos benutzt werden. In der Praxis gibt es allerdings noch Einschränkungen, da die Einrichtung eines entsprechenden Let’s-Encrypt-Zertifikats in vielen Fällen manuelle Handarbeit erfordert und noch nicht vollautomatisch abläuft. Nicht so bei Synology. Der taiwanesische NAS-Spezialist hat Let’s Encrypt mit dem neuen DiskStation Manager (DSM) 6.0 integriert, wodurch ein Zertifikat automatisch generiert und im System installiert werden kann.

Vorbereitung

Damit die automatische Zertifikatsanforderung funktioniert, muss Port 80/TCP vom Internetrouter auf das NAS-System weitergeleitet werden. Für den Zugriff vom Internet auf das NAS werden dann ggf. noch weitere Portweiterleitungen benötigt (siehe Ende des Artikels).

Bei einer FRITZ!Box könnt ihr die benötigte(n) Portweiterleitung(en) unter “Internet”, “Freigaben” und “Portfreigaben” einrichten.

Let’s Encrypt-Zertifikate einrichten

Anschließend wechselt ihr in die Weboberfläche eures Synology-Systems und öffnet die “Systemsteuerung”. Dort wählt ihr dann “Sicherheit” und oben den Reiter “Zertifikate” aus.

Anfangs ist hier nur das Standard-Zertifikat von Synology zu sehen. Mit einem Klick auf den Button “Hinzufügen” startet ihr die Erzeugung eures Let’s Encrypt Zertifikats.

Im  Zertifikats-Assistenten müsst ihr zuerst “Neues Zertifikat hinzufügen” auswählen.

Auf der zweiten Seite wählt ihr den Punkt “Zertifikat von Let’s Encrypt abrufen” aus. Sofern das neue Zertifikat für alle Dienste genutzt werden und automatisch installiert werden soll, müsst ihr zusätzlich noch das Häkchen bei “Als Standardzertifikat festlegen” setzen.

Im letzten Schritt müsst ihr euren Domain-Namen angeben, in vielen Fällen dürfte das eure dynamische DNS-Adresse sein. Mit Klick auf “Übernehmen” wird der Vorgang abgeschlossen. D.h. es werden die benötigten Schlüssel erzeugt, die Authentifizierung gegenüber Let’s Encrypt erfolgt und das neue Zertifikat wird im System installiert.

Hier lauert aber noch ein Problem. Lautet eure Adresse beispielsweise “synology.dyndns.com” oder “synology.selfhost.de”, werdet ihr vermutlich folgende Fehlermeldung erhalten:

Die Richtlinien von Let’s Encrypt erlauben nur eine beschränkte Anzahl von Zertifikatsanforderungen für eine Domain, unabhängig der Subdomain. Im Klartext bedeutet das, dass nur fünf Zertifikate pro Domäne (z.B. dyndns.com, selfhost.de, usw.) und Woche ausgestellt werden. In diesem Fall waren andere Nutzer schneller und man müsste ein paar Tage warten. In der Realität dürfte es aber eher unrealistisch sein, dass man genau den Zeitpunkt erwischt, wann wieder ein Zertifikat für seine Domain erstellt werden kann. Als gute Alternative empfehle ich den Dienst “FreeDNS, bei welchem einige Tausend verschiedene Domains verfügbar sind.

Wenn der letzte Schritt erfolgreich beendet wurde, wird das neue Zertifikat von Let’s Encrypt in eurer Zertifikatsliste angezeigt. Des Weiteren könnt ihr hier festlegen, welches Zertifikat für welchen Dienst genutzt werden soll.

Falls ihr noch weitere Dienste aus dem Internet nutzen wollt, dürft ihr die entsprechende Portweiterleitung im Router nicht vergessen. Hier wäre Beispielsweise Port 5001/TCP für die Weboberfläche der Synology, Port 6690/TCP für die Cloud Station, Port 22/TCP für SSH oder Port 443/TCP für die Photo Station zu nennen.

Das Zertifikat ist 90 Tage gültig, wird aber vor dem Ablaufen automatisch durch DSM erneuert. Denkt daran, dass die automatische Erneuerung wieder über Port 80 läuft.

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter und Facebook folgt.

16 Antworten

  1. Matthias sagt:

    Vielen Dank für die Erklärung. Auf Let’s encrypt für DSM habe ich sehnlichst gewartet.

    Bei der erstmaligen Installation des Zertiifikates habe ich jedoch immer die Fehlermeldung, dass der Port 80 nicht freigegeben sei. Auf meiner Fritzbox ist der Port jedoch definitiv freigegeben. Und ein Port-Scan hat dies auch bestätigt.

    Hast Du eine Idee für die Lösung des Problems?

    • Tobi sagt:

      Diese Meldung habe ich auch zwei Mal erhalten und beim dritten Versuch hats geklappt. Bist du sicher, dass Port 80 auf die Synology zeigt? Dort läuft der Webserver welcher die Zertifikatsanforderung von Let’s Encrypt bearbeitet.

      Ansonsten könnte ich mir höchstens noch vorstellen, dass du an einem Internetanschluss mit DS-Lite sitzt. Hast du denn schon einmal versucht, ob die Portweiterleitung generell funktioniert?

  2. Matthias sagt:

    Ja, nach mehrmaligen Versuchen ging es auch. Komische Sache. Aber Danke.

  3. Felix sagt:

    Wenn ich jetzt aus dem lokalen Netz draus zugreife bei mir : 192.168.187.140 (fest)

    Wie kann ich dann auch das Zertifikat benutzen ?

  4. Hans sagt:

    Hi Tobi,

    danke für den Guide. Ich würde auch gerne ein LE Zertifikat mit meiner Synology erstellen. Allerdings habe ich das Problem, dass ich eine Port 80 Weiterleitung für meine XBox brauche, die mir wichtiger ist als das LE Zertifikt. Gibt es eine Möglichkeit den LE Webserver auf der Synology über einen anderen Port laufen zu lassen?

    Oder müsste ich alle 90 Tage den Port kurzzeitig auf die Syn. weiterleiten, damit das Zertifikat erneuert werden kann? Ist es möglich, das erst mal ins leere laufen zu lassen und dann nach wieder aktiver Portweiterleitung die Zertifikatserneuerung manuell anzustoßen?

    • Tobi sagt:

      Hallo Hans,
      die erste Variante ist standardmäßig nicht möglich. Sicherlich kann man den Port ändern aber dann gibts sicher weitere Probleme z.B. bei Updates usw., weshalb ich das auf keinen Fall empfehlen würde.
      Die zweite Methode sollte aber klappen!
      Viele Grüße
      Tobi

  5. EffEss sagt:

    Aus Interesse – was wäre aus Deiner Sicht unter dem Aspekt der Sicherheit denn die attraktivere, “bessere” Lösung? Zugriff auf die Synology via DynDNS und LE-Zertifikat oder besser nur über VPN und lokaler IP? Beides läuft – bin mir nur nicht sicher und etwas paranoid, was die Erreichbarkeit meines NAS aus dem WWW betrifft. Danke und viele Grüße

  6. Michael sagt:

    Meine DS sollen nur Synology Dienste wie CardDAV, WebDAV usw über das Internet Abgewickelt werden. muss ich da die WebStation überhaupt aktiv haben? Das Let‘s Encrypt wird über Port 80 erneuert. Ist die WebStation darin beteiligt?
    Danke

  7. GeWe sagt:

    Ich kann nur eins sagen! DANKE!!! Danach habe ich schon ewig gesucht. Sehr schöne und einfache Erklärung

  8. Marvin Zurborg sagt:

    Bie mir funktioniert das automatische Erneuern der Zertifikate nicht.
    Manuell lässt es sich nur erneuern, wenn ich
    1. Über die lokale IP (i.e. 192.168.x.xxx) auf DSM zugreife (ansonsten kommt die Meldung dass ich mich ab und wieder anmelden soll)
    2. Die Firewall der DS temporär ausschalte. Aus irgendeinem Grund scheint diese den Zugriff des Let’s Encrypt Zert-Bots zu blockieren.

    Ich weiss diese Seite ist alt, aber rel hoch in den Suchergebnissen. Vielleicht hilft das jemandem weiter ;)

    • Waldemar sagt:

      Danke Marvin,
      Dein Beitrag hat mich gerettet. Ich hab immer die Meldung bekommen “… kann keine Verbindung zu Let´s Encrypt hergestellt werden …”.
      Nach Deaktivierung der Firewall in der DS hat´s dann funktioniert.
      Dann bin ich draufgekommen, dass ich in meiner Firewall in der DS alle Länder ausser D und A ausgeschlossen habe. Daher war die Verbindung zu LE in der Schweiz gekappt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert