[HowTo] Gültiges, kostenloses Zertifikat von Let's Encrypt (für Synology Besitzer)

msa1989

Neuer User
Mitglied seit
3 Aug 2011
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Hallo,

ich möchte mit einem kleine Tutorial heute unter anderem meine Erkenntnis festhalten. Wenn man auf seine Fritzbox von ausserhalb zugreift, dann bekommt man in der Regel eine Zertifikatswarnung. Ich denke das kennt ihr bereits. Das ganze lässt sich beheben, wenn man ein gültiges Zertifikat in der Fritzbox hinterlegt.

Vorwort:
Ich bin im Besitz einer Synology Diskstation. Mit der neuesten Betriebssystemversion (Diskstation Manager 6) wurde Let's Encrypt integriert. Damit lassen sich gültige, kostenlose Zertifikate für Domains ausstellen. Wer mehr über Let's Encrypt erfahren will: Hier ist die Website


Inhalt:

  1. Vorraussetzungen
  2. Ausstellen eines gültigen Zertifikats im DSM
  3. Exportieren des Zertifikats
  4. Zusammenfügen der Teile zu einer Datei
  5. Importieren in die Fritzbox

1. Vorraussetzungen


  • Eure Fritzbox sowie die Diskstation verfügen über die gleiche DynDNS-Adresse (z.B. meine-eigene-adresse.no-ip.com)
  • Ihr habt eine Fritzbox (neuestes Betriebssystem schadet nicht)
  • Eine Synology Diskstation mit der Betriebssystemversion 6.0 oder höher
  • Während das Zertifikat erstellt wird, MUSS Port 80 freigegeben sein für eure Diskstation:
    port.jpg
    Nachdem das Schritt 2 abgeschlossen wurde, kann die Portfreigabe wieder deaktiviert werden


2. Austellen des Zertifikats

Ihr loggt euch in die Diskstation ein und öffnet die Systemsteuerung
systemst.png


Dort wählt ihr den Punkt "Sicherheit"
In dem Menü wählt ihr anschließend den Punkt "Zertifikat" und klickt auf "Hinzufügen"
cert.png


Jetzt klickt ihr euch durch

  • Neues Zertifikat erstellen
  • Zertifikat von Let's Encrypt abrufen
In dem folgenden Fenster gebt ihr eure Daten ein:
ausstellung.png


Bei Domainname die DynDNS Adresse eurer Fritzbox. Bei E-Mail eure E-Mail Adresse.
(Ich verwende Let's Encrypt seit einigen Monaten und habe noch nie eine E-Mail von denen erhalten)
Das Feld "Betreff Alternativer Name" kann leer bleiben.
Mit einem Klick auf "Übernehmen" wir das Zertifikat erstellt und ist ab diesem Zeitpunkt in der Synology Box verfügbar.

3. Exportieren des Zertifikats

Dieser Schritt geht sehr flott. Das soeben erstellte Zertifkat sollte gelistet sein. Ihr markiert es und klickt anschließend auf "Zertifikat exportieren"
Jetzt bekommt ihr ein Zip-Archiv mit 3 Dateien:
zip.png


4. Zusammensetzen der Zertifkate

Die Fritzbox bietet leider (Stand Heute) nicht die Möglichkeit an die 3 Teile getrennt hochzuladen. Deswegen müssen die Teile zusammengefügt werden.
Dafür könnt ihr einen Text-Editor eurer Wahl hernehmen. Die Zertifikate müssen in folgender Reihenfolge zusammengesetzt werden:
  1. cert.pem
  2. chain.pem
  3. privkey.pem

Ihr macht einen Rechtsklick auf "cert.pem" und öffnet es mit einem Editor. Das ganze sollte ungefähr so aussehen:
Code:
-----BEGIN CERTIFICATE-----
MIIESzCCAzOgAwIBAgIJAPoYTYFkI/zDMA0GCSqGSIb3DQEBCwUAMIG7MQswCQYD
...
rj6Qf+FXSCMOoR0/2ZjAFhM8+s0p83HhnyY=
-----END CERTIFICATE-----

Nachdem ihr den Code für jede Datei habt, kopiert ihr die Codes einfach hintereinander. Am Schluss sieht das dann etwa so aus:
Code:
-----BEGIN CERTIFICATE-----
MIIESzCCAzOgAwIBAgIJAPoYTYFkI/zDMA0GCSqGSIb3DQEBCwUAMIG7MQswCQYD
...
rj6Qf+FXSCMOoR0/2ZjAFhM8+s0p83HhnyY=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIESzCCAzOgAwIBAgIJAPoYTYFkI/zDMA0GCSqGSIb3DQEBCwUAMIG7MQswCQYD
...
f1w8DdnkabOLGeOVcj9LQ+s67vBykx4anTjURkbqZslUEUsn2k5xeua2zUk=
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
MIIESzCCAzOgAwIBAgIJAPoYTYFkI/zDMA0GCSqGSIb3DQEBCwUAMIG7MQswCQYD
...
sthvULhGkYTP/QwkDXADscMjV0+Vbjp24t2KTNFvQOvRzQuNpzCCDA==
-----END RSA PRIVATE KEY-----

Diese Datei speichert ihr unter einem bliebigen Namen mit der Endung *.pem:
save.png


5. Importieren in die Fritzbox

Unter Internet -> Freigaben -> Fritz!Box-Dienste findet man den Punkt "Benutzereigenes Zertifikat". Hier wählt man die gerade erstellte Datei aus.
Das Kennwort-Feld lässt man leer. Anschließend bestätigen mit einem Klick auf "Importieren":
import.png



Das wars. Jetzt sind sowohl eure Synology Box, als auch die Fritzbox über ein gültiges Zertifikat erreichbar.
Alle Schritte zusammen sollten nicht mehr als 5 Minuten dauern und lästige Meldungen sind anschließend verschwunden.
fritzbox.jpg
 
Ich vertraue nur meinen eigenen Zertifikaten. Sie lassen sich mit einer von mir nicht beworbenen Software kinderleicht erstellen.
 
Die Schritte darf man aber ständig wiederholen, da die Zertifikate nicht lange gültig sind, die DS tauscht diese im Hintergrund aus bzw. verlängert diese.

Da kann man sich für die FB auch ganz ohne DS ein kostenloses vom WoSing nehmen welches direkt 3 Jahre Gültigkeit hat.
 
Warum einen neuen Thread? Es gibt schon eine Lösung (auch ohne Synology)
 
@HabNeFritzbox
Ich kannte WoSign nicht.

Bezüglich der Wiederholung der Schritte. Sobald Let's Encrypt aus der Beta Phase raus ist, sollte sich dieses Problem auflösen (laut Ankündigung). Wann das soweit sein wird, weiß ich leider nicht. Momentan sind die Zertifikate leider immer nur 3 Monate gültig. Das hätte ich sinnvollerweise noch erwähnen müssen.

@thtomate12
Warum ein neuer Thread? Als ich bei Google bzw. hier im Forum suchte, hab ich keine Anleitung gefunden die diesen Anwendungsfall behandelt. Die bisherigen Lösungen die ich gefunden hatte, erfordern definitiv mehr Aufwand das Zertifikat zu erstellen. Ich gebe dir vollkommen recht, dass es viele erfolgreiche Wege gibt ein SSL Zertifikat von Let's Encrypt für eine Domain zu erstellen (Raspberry Pi, Xampp etc.). Dieser hier dauert halt nicht lange und ist ohne zusätzliche Hardware / Software möglich (für Besitzer einer Synology Diskstation). Deswegen hab ich das expliziet im Titel erwähnt.
 
Ich hatte ganze auch schon erwähnt gehabt in anderen Thema, hier ist aber noch mal etwas ausführlicher und mit Bildchen. ;)

Also schadet nicht die Anleitung. :)
 
Das Thema ist zwar schon älter, aber für mich trotzdem noch interessant. Synology hat leider den Inhalt der archiv.zip geändert. Statt der bekannten cert.pem, chain.pem und privkey.pem enthält das Archiv folgende Dateien: cert.pem, privkey.pem, syno-ca-cert.pem und syno-ca-privkey.pem.

Frage: mir fehlt die chain.pem. Heißt diese jetzt nur anders? Kann ich diese aus den bestehenden pem generieren? Ansonsten kann ich mir keine pem für die FritzBox erstellen. Hat da jemand ne Idee?
 
Ja, die Seite habe ich über google gefunden. Bringt meiner Meinung nach aber nicht viel. In dem Beitrag geht es um eine ca.crt, ca.key, server.crt und server.key bzw um cert.pem. privkey.pem, syno-ca-cert.pem und syno-ca-privkey.pem.

Von der chain.pem ist absolut nicht die Rede!

Vielleicht muss man auch einfach nur die syno-ca-cert.pem oder syno-ca-privkey.pem nehmen, dass weiß ich aber nicht und will es in Erfahrung bringen.
 
Da kann man sich für die FB auch ganz ohne DS ein kostenloses vom WoSing nehmen welches direkt 3 Jahre Gültigkeit hat.
Wobei WoSign keine besonders gute Reputation hat, und die Gefahr besteht, dass sie bei den Browsern auf der Abschußliste stehen.
 
Jemand ne Idee wie ich an die chain.pem komme?
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.