Let’s Encrypt befindet sich seit Dezember 2015 in der öffentlichen Beta und kann seitdem von jedem kostenlos benutzt werden. In der Praxis gibt es allerdings noch Einschränkungen, da die Einrichtung eines entsprechenden Let’s-Encrypt-Zertifikats in vielen Fällen manuelle Handarbeit erfordert und noch nicht vollautomatisch abläuft. Nicht so bei Synology. Der taiwanesische NAS-Spezialist hat Let’s Encrypt mit dem neuen DiskStation Manager (DSM) 6.0 integriert, wodurch ein Zertifikat automatisch generiert und im System installiert werden kann.
Vorbereitung
Damit die automatische Zertifikatsanforderung funktioniert, muss Port 80/TCP vom Internetrouter auf das NAS-System weitergeleitet werden. Für den Zugriff vom Internet auf das NAS werden dann ggf. noch weitere Portweiterleitungen benötigt (siehe Ende des Artikels).
Bei einer FRITZ!Box könnt ihr die benötigte(n) Portweiterleitung(en) unter “Internet”, “Freigaben” und “Portfreigaben” einrichten.
Let’s Encrypt-Zertifikate einrichten
Anschließend wechselt ihr in die Weboberfläche eures Synology-Systems und öffnet die “Systemsteuerung”. Dort wählt ihr dann “Sicherheit” und oben den Reiter “Zertifikate” aus.
Anfangs ist hier nur das Standard-Zertifikat von Synology zu sehen. Mit einem Klick auf den Button “Hinzufügen” startet ihr die Erzeugung eures Let’s Encrypt Zertifikats.
Im Zertifikats-Assistenten müsst ihr zuerst “Neues Zertifikat hinzufügen” auswählen.
Auf der zweiten Seite wählt ihr den Punkt “Zertifikat von Let’s Encrypt abrufen” aus. Sofern das neue Zertifikat für alle Dienste genutzt werden und automatisch installiert werden soll, müsst ihr zusätzlich noch das Häkchen bei “Als Standardzertifikat festlegen” setzen.
Im letzten Schritt müsst ihr euren Domain-Namen angeben, in vielen Fällen dürfte das eure dynamische DNS-Adresse sein. Mit Klick auf “Übernehmen” wird der Vorgang abgeschlossen. D.h. es werden die benötigten Schlüssel erzeugt, die Authentifizierung gegenüber Let’s Encrypt erfolgt und das neue Zertifikat wird im System installiert.
Hier lauert aber noch ein Problem. Lautet eure Adresse beispielsweise “synology.dyndns.com” oder “synology.selfhost.de”, werdet ihr vermutlich folgende Fehlermeldung erhalten:
Die Richtlinien von Let’s Encrypt erlauben nur eine beschränkte Anzahl von Zertifikatsanforderungen für eine Domain, unabhängig der Subdomain. Im Klartext bedeutet das, dass nur fünf Zertifikate pro Domäne (z.B. dyndns.com, selfhost.de, usw.) und Woche ausgestellt werden. In diesem Fall waren andere Nutzer schneller und man müsste ein paar Tage warten. In der Realität dürfte es aber eher unrealistisch sein, dass man genau den Zeitpunkt erwischt, wann wieder ein Zertifikat für seine Domain erstellt werden kann. Als gute Alternative empfehle ich den Dienst “FreeDNS“, bei welchem einige Tausend verschiedene Domains verfügbar sind.
Wenn der letzte Schritt erfolgreich beendet wurde, wird das neue Zertifikat von Let’s Encrypt in eurer Zertifikatsliste angezeigt. Des Weiteren könnt ihr hier festlegen, welches Zertifikat für welchen Dienst genutzt werden soll.
Falls ihr noch weitere Dienste aus dem Internet nutzen wollt, dürft ihr die entsprechende Portweiterleitung im Router nicht vergessen. Hier wäre Beispielsweise Port 5001/TCP für die Weboberfläche der Synology, Port 6690/TCP für die Cloud Station, Port 22/TCP für SSH oder Port 443/TCP für die Photo Station zu nennen.
Das Zertifikat ist 90 Tage gültig, wird aber vor dem Ablaufen automatisch durch DSM erneuert. Denkt daran, dass die automatische Erneuerung wieder über Port 80 läuft.
Neueste Kommentare