Synology kommt bereits seit der DSM 6.2 sehr gut mit den Zertifikaten von Let´s encrypt zurecht und bietet neben der manuellen Beantragung von Zertifikaten auch die Option der automatischen Verlängerung von ablaufenden Zertifikaten.

Dazu verwendet Synology eine eigene Registrierungsanfrage, bei der der Anwender mit Hilfe eines Assisistenten, ein kostenloses Zertifikat beim Aussteller Let´s encrypt anfordern kann. Diese Zertifiakte sind kostenlos und haben eine reguläre Laufzeit von 90 Tage. In diesem Zeitraum sollte das Zertifikat verlängert werden, damit auch weiterhin ein fehlerfreier Aufruf der Synology über HTTPS:// möglich ist.

Die Zertifkatsverlängerung erfolgt in der Regel über einen automatischen Prozess im DSM und erfordert lediglich die Einrichtigung von zwei Portfreigaben 80 und 443. Für den Fall, dass der automatische Verkängerungsprozess nicht selbstständig ausgeführt wird, stellt Synology auch ein eigenständiges Script bereit.

Eigenes Zertifikat beantragen

Ebenso können auch Zertifikate von anderen Anbietern eingebunden werden, dies erfolgt über den Importvorgang in der Zertifikatsverwaltung und erfodert mindestens 2 von 3 Dateien für den erfolgreichen Import.

Für den Import ist der private Schlüssel private.key und das Zertifikat selbst unbedingt erforderlich. Das Zwischen- oder Brückenzertifikat ist optional ebenfalls einzuliefern.

Der private Schlüssel wird i.d.R. beim Beantragen einer Zertifikatsanforderung erzeugt und hängt unmittelbar mit dem Antrag (certificate request *.csr) und somit auch mit dem eigentlichen Serverzertifikat (*.cer) zusammen.

Vorhandenes Zertifikat vom Internet-Anbieter nutzen

Grundsätzlich ist es auch möglich ein bestehendes Zertifikat von der eigenen Webseite seines Internet-Providers zu verwenden, sofern man den Zugriff auf die Key und die CSR Datei hat. Bei Strato ist das mit dem klassischen PowerWeb-Tarif scheinbar nicht möglich, sondern erst mit dem Wechsel auf ein teueres Paket, welches einen virtuellen Server beinhaltet.

Bei IONOS reicht auch das Standart-Web Paket nicht aus, da hier die Zertifikatsdateien nicht im passenden Format für den späteren Import bereit gestellt werden, bzw. der persönliche Schlüssel (erforderlich) nicht hrunter geladen werden kann. Ich vermute aber auch hier, dass es mit einem deutlich größeren Vertrag wohl auch möglich sein wird.

Bei All-Inkl liegen die 3 Dateien zwar vor, greifen jedoch (zumindest in den kleineren Hosting-Paketen) auch auf die kosenlosen Zertifkate von Let´s encrypt zurück und sind ebenfalls nur 90 Tage gültig.

Ledigleich bei Domain Factory konnte ich das Serverzertifikat (*.cer), das Brückenzertifikat (*.bundle) und den persönlichen Schlüssel für den Import in die Synology herunterladen.

Zertifikat beim SSL-Anbieter bestellen

Eine weitere Alternative ist die Bestellung eines eigenen Zertifikats direkt bei einem SSL-Provider wie ssl-trust.com oder einer offiziellen Zertifizierungsstelle.  Hier kann man bereits ein passendes Zertifikat für eine Domäne mit einer Laufzeit von 12 Monaten, für rund 35 € bestellen.

Selbst für die Registrierung von 2 oder oder mehr unterschiedlicher Domänennamen, fallen pro Jahr auch nicht mehr als 90 € an. Der Bestellprozess besteht daraus, seinen Wunsch-Domänennamen anzugeben und den passenden Tarif auszuwählen. Im zweiten Schritt muss dann der persönliche Schlüssel und die Zertifikatsanforderung hochgeladen werden.

Im letzten Schritt muss dann noch die Domänenvalidierung durchgeführt werden, was über eine Domäneneigene E-Mail-Adresse oder per Validierungs-Datei, die per FTP auf die Webseite geladen wird, durchgeführt werden kann.

Hierbei gilt allerdings zu beachten, dass die E-Mail-Validierung allerdings nur mit einer handvoll zulässigen E-Mail-Adressen möglich ist. Man sollte sich also vorher eine passende E-Mail-Adresse, wie webmaster@ oder admin@ anlegen um den Prozess erfolgreich abwickeln zu können, oder die Lösung mit FTP wählen.

Die Zertifikatsanforderung *.cer kann mit Hilfe eines Scripts auf unterschiedlichen Systemen erzeugt werden. Eine Anleitung und ein Script-Generator dazu befinden sich auf der Webseite des Anbieters.

Da es seit dem DSM 7 keine Möglichkeit mehr gibt eine Zertifikatsanforderung für ein neues Zertifikat direkt über die Synology zu erstellen, bleibt dem Windows-Anwender noch die Option, die CSR-Datei über den Internet-Information-Manager (IIS) zu erzeugen.

Letzerer müsste allerdings erst nachinstalliert werden, sofern man nicht über einen eigenen Windows-Server verfügt. Alternativ geht das natürlich auch mit einer älteren Synology, auf der das DSM 7 noch nicht installiert ist.

Unterstützung gesucht ?

Sofern Sie sich für ein eigenes Zertifikat interessieren und Unterstützung bei der Antragstellung, Validierung und Import der Zertifikate benötigen, können wir Sie dabei gerne mit einem persönlichen Coaching unterstützen.

Wir erstellen für Sie die Zertifikatsanforderung *.CSR und den persönlichen Key und helfen Ihnen bei der Antragsstellung und Validierung, sowie bei der Einbindung (import) und Zuweisung der Zertifikate in Ihre Synology.

Wie können wir Ihnen helfen ?