Einleitung

Synology kommt bereits seit der DSM 6.2 sehr gut mit den Zertifikaten von Let´s encrypt zurecht und bietet neben der manuellen Beantragung von Zertifikaten auch die Option der automatischen Verlängerung von ablaufenden Zertifikaten.

Dazu verwendet Synology eine eigene Registrierungsanfrage, bei der der Anwender, mithilfe eines Assistenten, ein kostenloses Zertifikat beim Aussteller Let´s encrypt anfordern kann. Diese Zertifikate sind kostenlos und haben eine reguläre Laufzeit von 90 Tage. In diesem Zeitraum sollte das Zertifikat verlängert werden, damit auch weiterhin ein fehlerfreier Aufruf der Synology über HTTPS:// möglich ist.

Die Zertifikatsverlängerung erfolgt in der Regel über einen automatischen Prozess im DSM und erfordert lediglich die Einrichtung von zwei Portfreigaben 80 und 443. Für den Fall, dass der automatische Veränderungsprozess nicht selbstständig ausgeführt wird, stellt Synology auch ein eigenständiges Script bereit.

Eigenes Zertifikat beantragen

Ebenso können auch Zertifikate von anderen Anbietern eingebunden werden, dies erfolgt über den Importvorgang in der Zertifikatsverwaltung und erfordert mindestens 2 von 3 Dateien für den erfolgreichen Import.

Für den Import ist der private Schlüssel private.key und das Zertifikat selbst unbedingt erforderlich. Das Zwischen- oder Brückenzertifikat ist optional ebenfalls einzuliefern. Der private Schlüssel wird i.d.R. beim Beantragen einer Zertifikatsanforderung erzeugt und hängt unmittelbar mit dem Antrag (certificate request *.csr) und somit auch mit dem eigentlichen Serverzertifikat (*.cer) zusammen.

Vorhandenes Zertifikat vom Internet-Anbieter

Grundsätzlich ist es auch möglich ein bestehendes Zertifikat von der eigenen Webseite seines Internet-Providers zu verwenden, sofern man den Zugriff auf die Key und die CSR Datei hat. Bei Strato ist das mit dem klassischen PowerWeb-Tarif scheinbar nicht möglich, sondern erst mit dem Wechsel auf ein treueres Paket, welches einen virtuellen Server beinhaltet.

Bei IONOS reicht auch das Standard-Web Paket nicht aus, da hier die Zertifikatsdateien nicht im passenden Format für den späteren Import bereitgestellt werden, bzw. der persönliche Schlüssel (erforderlich) nicht heruntergeladen werden kann. Ich vermute aber auch hier, dass es mit einem deutlich größeren Vertrag wohl auch möglich sein wird.

Bei All-Inkl liegen die 3 Dateien zwar vor, greifen jedoch (zumindest in den kleineren Hosting-Paketen) auch auf die kostenlosen Zertifikate von Let´s encrypt zurück und sind ebenfalls nur 90 Tage gültig.

Lediglich bei Domain Factory konnte ich das Serverzertifikat (*.cer), das Brückenzertifikat (*.bundle) und den persönlichen Schlüssel für den Import in die Synology herunterladen.

Zertifikat beim SSL-Anbieter bestellen

Eine weitere Alternative ist die Bestellung eines eigenen Zertifikats direkt bei einem SSL-Provider wie ssl-trust.com oder einer offiziellen Zertifizierungsstelle.  Hier kann man bereits ein passendes Zertifikat für eine Domäne, mit einer Laufzeit von 12 Monaten, für rund 35 € bestellen.

Selbst für die Registrierung von 2 oder mehr unterschiedlicher Domänennamen, fallen pro Jahr auch nicht mehr als 90 € an. Der Bestellprozess besteht daraus, seinen Wunsch-Domänennamen anzugeben und den passenden Tarif auszuwählen. Im zweiten Schritt muss dann der persönliche Schlüssel und die Zertifikatsanforderung hochgeladen werden.

Im letzten Schritt muss dann noch die Domänenvalidierung durchgeführt werden, was über eine Domäne eigene E-Mail-Adresse oder per Validierung-Datei, die per FTP auf die Webseite geladen wird, durchgeführt werden kann.

Hierbei gilt allerdings zu beachten, dass die E-Mail-Validierung allerdings nur mit einer handvoll zulässigen E-Mail-Adressen möglich ist. Man sollte sich also vorher eine passende E-Mail-Adresse, wie webmaster@ oder admin@ anlegen, um den Prozess erfolgreich abwickeln zu können, oder die Lösung mit FTP wählen.

Die Zertifikatsanforderung *.cer kann mithilfe eines Scripts auf unterschiedlichen Systemen erzeugt werden. Eine Anleitung und ein Script-Generator dazu befinden sich auf der Webseite des Anbieters.

Da es seit dem DSM 7 keine Möglichkeit mehr gibt, eine Zertifikatsanforderung für ein neues Zertifikat direkt über die Synology zu erstellen, bleibt dem Windows-Anwender noch die Option, die CSR-Datei über den Internet-Information-Manager (IIS) zu erzeugen.

Letzterer müsste allerdings erst nachinstalliert werden, sofern man nicht über einen eigenen Windows-Server verfügt. Alternativ geht das natürlich auch mit einer älteren Synology, auf der das DSM 7 noch nicht installiert ist.

 Unterstützung gesucht?

Wenn Sie Probleme bei der Zertifikatsregistrierung haben und Unterstützung bei der Antragstellung, Validierung und Import der Zertifikate benötigen, buchen Sie einen persönlichen Coaching-Termin bei uns, dann werden wir Sie bei der Einrichtung per TeamViewer unterstützen. Wir erstellen für Sie die Zertifikatsanforderung *.CSR und den persönlichen Key und helfen Ihnen bei der Antragsstellung und Validierung, sowie bei der Einbindung (import) und Zuweisung der Zertifikate in Ihre Synology.

Sollten Sie unter Termindruck stehen und sich lieber alleine durch das Thema arbeiten wollen, empfehle ich Ihnen unseren Online-Kurs zum Thema Zertifikate anzusehen und durchzuarbeiten.

Online-Kurse zum Thema

DSM 7 Grundlagen (kostenlos)

In unserem kostenfreien Einrichtungskurs lernst Du alle wichtigen Schalter, Einstellung und versteckten Optionen unter DSM 7.x kennen und kannst somit Deine Erfahrungen mit Deiner Synology erheblich ausbauen.

Wie können wir Ihnen helfen ?