Let’s Encrypt-Zertifikate auf Synology-NAS einrichten
Let’s Encrypt befindet sich seit Dezember 2015 in der öffentlichen Beta und kann seitdem von jedem kostenlos benutzt werden. In der Praxis gibt es allerdings noch Einschränkungen, da die Einrichtung eines entsprechenden Let’s-Encrypt-Zertifikats in vielen Fällen manuelle Handarbeit erfordert und noch nicht vollautomatisch abläuft. Nicht so bei Synology. Der taiwanesische NAS-Spezialist hat Let’s Encrypt mit dem neuen DiskStation Manager (DSM) 6.0 integriert, wodurch ein Zertifikat automatisch generiert und im System installiert werden kann.
Vorbereitung
Damit die automatische Zertifikatsanforderung funktioniert, muss Port 80/TCP vom Internetrouter auf das NAS-System weitergeleitet werden. Für den Zugriff vom Internet auf das NAS werden dann ggf. noch weitere Portweiterleitungen benötigt (siehe Ende des Artikels).
Bei einer FRITZ!Box könnt ihr die benötigte(n) Portweiterleitung(en) unter “Internet”, “Freigaben” und “Portfreigaben” einrichten.
Let’s Encrypt-Zertifikate einrichten
Anschließend wechselt ihr in die Weboberfläche eures Synology-Systems und öffnet die “Systemsteuerung”. Dort wählt ihr dann “Sicherheit” und oben den Reiter “Zertifikate” aus.
Anfangs ist hier nur das Standard-Zertifikat von Synology zu sehen. Mit einem Klick auf den Button “Hinzufügen” startet ihr die Erzeugung eures Let’s Encrypt Zertifikats.
Im Zertifikats-Assistenten müsst ihr zuerst “Neues Zertifikat hinzufügen” auswählen.
Auf der zweiten Seite wählt ihr den Punkt “Zertifikat von Let’s Encrypt abrufen” aus. Sofern das neue Zertifikat für alle Dienste genutzt werden und automatisch installiert werden soll, müsst ihr zusätzlich noch das Häkchen bei “Als Standardzertifikat festlegen” setzen.
Im letzten Schritt müsst ihr euren Domain-Namen angeben, in vielen Fällen dürfte das eure dynamische DNS-Adresse sein. Mit Klick auf “Übernehmen” wird der Vorgang abgeschlossen. D.h. es werden die benötigten Schlüssel erzeugt, die Authentifizierung gegenüber Let’s Encrypt erfolgt und das neue Zertifikat wird im System installiert.
Hier lauert aber noch ein Problem. Lautet eure Adresse beispielsweise “synology.dyndns.com” oder “synology.selfhost.de”, werdet ihr vermutlich folgende Fehlermeldung erhalten:
Die Richtlinien von Let’s Encrypt erlauben nur eine beschränkte Anzahl von Zertifikatsanforderungen für eine Domain, unabhängig der Subdomain. Im Klartext bedeutet das, dass nur fünf Zertifikate pro Domäne (z.B. dyndns.com, selfhost.de, usw.) und Woche ausgestellt werden. In diesem Fall waren andere Nutzer schneller und man müsste ein paar Tage warten. In der Realität dürfte es aber eher unrealistisch sein, dass man genau den Zeitpunkt erwischt, wann wieder ein Zertifikat für seine Domain erstellt werden kann. Als gute Alternative empfehle ich den Dienst “FreeDNS“, bei welchem einige Tausend verschiedene Domains verfügbar sind.
Wenn der letzte Schritt erfolgreich beendet wurde, wird das neue Zertifikat von Let’s Encrypt in eurer Zertifikatsliste angezeigt. Des Weiteren könnt ihr hier festlegen, welches Zertifikat für welchen Dienst genutzt werden soll.
Falls ihr noch weitere Dienste aus dem Internet nutzen wollt, dürft ihr die entsprechende Portweiterleitung im Router nicht vergessen. Hier wäre Beispielsweise Port 5001/TCP für die Weboberfläche der Synology, Port 6690/TCP für die Cloud Station, Port 22/TCP für SSH oder Port 443/TCP für die Photo Station zu nennen.
Das Zertifikat ist 90 Tage gültig, wird aber vor dem Ablaufen automatisch durch DSM erneuert. Denkt daran, dass die automatische Erneuerung wieder über Port 80 läuft.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
Vielen Dank für die Erklärung. Auf Let’s encrypt für DSM habe ich sehnlichst gewartet.
Bei der erstmaligen Installation des Zertiifikates habe ich jedoch immer die Fehlermeldung, dass der Port 80 nicht freigegeben sei. Auf meiner Fritzbox ist der Port jedoch definitiv freigegeben. Und ein Port-Scan hat dies auch bestätigt.
Hast Du eine Idee für die Lösung des Problems?
Diese Meldung habe ich auch zwei Mal erhalten und beim dritten Versuch hats geklappt. Bist du sicher, dass Port 80 auf die Synology zeigt? Dort läuft der Webserver welcher die Zertifikatsanforderung von Let’s Encrypt bearbeitet.
Ansonsten könnte ich mir höchstens noch vorstellen, dass du an einem Internetanschluss mit DS-Lite sitzt. Hast du denn schon einmal versucht, ob die Portweiterleitung generell funktioniert?
Ja, nach mehrmaligen Versuchen ging es auch. Komische Sache. Aber Danke.
Wenn ich jetzt aus dem lokalen Netz draus zugreife bei mir : 192.168.187.140 (fest)
Wie kann ich dann auch das Zertifikat benutzen ?
Das ist nicht ganz trivial. Hier oder hier findest du weitere Infos.
Hi Tobi,
danke für den Guide. Ich würde auch gerne ein LE Zertifikat mit meiner Synology erstellen. Allerdings habe ich das Problem, dass ich eine Port 80 Weiterleitung für meine XBox brauche, die mir wichtiger ist als das LE Zertifikt. Gibt es eine Möglichkeit den LE Webserver auf der Synology über einen anderen Port laufen zu lassen?
Oder müsste ich alle 90 Tage den Port kurzzeitig auf die Syn. weiterleiten, damit das Zertifikat erneuert werden kann? Ist es möglich, das erst mal ins leere laufen zu lassen und dann nach wieder aktiver Portweiterleitung die Zertifikatserneuerung manuell anzustoßen?
Hallo Hans,
die erste Variante ist standardmäßig nicht möglich. Sicherlich kann man den Port ändern aber dann gibts sicher weitere Probleme z.B. bei Updates usw., weshalb ich das auf keinen Fall empfehlen würde.
Die zweite Methode sollte aber klappen!
Viele Grüße
Tobi
Aus Interesse – was wäre aus Deiner Sicht unter dem Aspekt der Sicherheit denn die attraktivere, “bessere” Lösung? Zugriff auf die Synology via DynDNS und LE-Zertifikat oder besser nur über VPN und lokaler IP? Beides läuft – bin mir nur nicht sicher und etwas paranoid, was die Erreichbarkeit meines NAS aus dem WWW betrifft. Danke und viele Grüße
Ganz klar die VPN-Variante!
THX ;)
Meine DS sollen nur Synology Dienste wie CardDAV, WebDAV usw über das Internet Abgewickelt werden. muss ich da die WebStation überhaupt aktiv haben? Das Let‘s Encrypt wird über Port 80 erneuert. Ist die WebStation darin beteiligt?
Danke
Kann ich dir leider nicht genau sagen, einfach ausprobieren :)
Ich denke, letsencrypt benötigt einen funktionierenden Webserver für die Installation des Zertifikats – daher sollte WebStation aktiviert sein.
Ich kann nur eins sagen! DANKE!!! Danach habe ich schon ewig gesucht. Sehr schöne und einfache Erklärung
Bie mir funktioniert das automatische Erneuern der Zertifikate nicht.
Manuell lässt es sich nur erneuern, wenn ich
1. Über die lokale IP (i.e. 192.168.x.xxx) auf DSM zugreife (ansonsten kommt die Meldung dass ich mich ab und wieder anmelden soll)
2. Die Firewall der DS temporär ausschalte. Aus irgendeinem Grund scheint diese den Zugriff des Let’s Encrypt Zert-Bots zu blockieren.
Ich weiss diese Seite ist alt, aber rel hoch in den Suchergebnissen. Vielleicht hilft das jemandem weiter ;)
Danke Marvin,
Dein Beitrag hat mich gerettet. Ich hab immer die Meldung bekommen “… kann keine Verbindung zu Let´s Encrypt hergestellt werden …”.
Nach Deaktivierung der Firewall in der DS hat´s dann funktioniert.
Dann bin ich draufgekommen, dass ich in meiner Firewall in der DS alle Länder ausser D und A ausgeschlossen habe. Daher war die Verbindung zu LE in der Schweiz gekappt.