Synology Q&A 2021 Zertifikat im lokalen Netzwerk

[hautschi]

Hallo liebe Forengemeinde,

ich nutze meine DS218play aktuell rein im lokalen Netzwerk und verbinde mich von außen per VPN, um auf das NAS zuzugreifen (DS File, Synology Photos und Synology Drive am Smartphone + CalDAV/CardDAV Sync sowie am Laptop dann auch per Browser oder eingebundene Laufwerke).
Leider muss ich oft auf HTTP zurückgreifen, da das standardmäßige Synology-Zertifikat bei meiner lokalen IP-Adresse (logischerweise) vom Browser oder Endgerät/App als nicht vertrauenswürdig eingestuft wird, sofern ich eine HTTPS Verbindung aufbauen möchte. Ein eigenes lokales Zertifikat kann ich mir nicht über die eingebauten Funktionen (z. B. Let's Encrypt) holen, da die DiskStation selbst nicht online kommt (und ich nicht weiß, ob Let's Encrypt für lokale IP-Adressen sowas überhaupt kann, denke mal nicht...).
Gibt es eine einfach zu nutzende Funktion für "Normalos", sich ein eigenes Zertifikat fürs lokale Netzwerk zu generieren und auf der DS zu nutzen, ohne dass man dafür seine eigene CA aufmachen muss usw. - das ist mir in meiner knapp bemessenen Freizeit dann doch zu viel Spielerei. Falls nein, ist sowas seitens Synology in Planung?

Besten Dank für eure Hilfe

 

[DaChicken]

Gibt es eine einfach zu nutzende Funktion für "Normalos", sich ein eigenes Zertifikat fürs lokale Netzwerk zu generieren und auf der DS zu nutzen, ohne dass man dafür seine eigene CA aufmachen muss usw.

Kurze Antwort: Nein

Falls nein, ist sowas seitens Synology in Planung?

Etwas länger: Wird nicht kommen, da dein Browser die Zertifikate überprüft und da nur Öffentliche CAs drin sind und diese auch nur Öffentlich Erreichbare IPs "Zertifizieren". Daher geht ohne eigene CA unsw. nichts.

 

[Pako1997]

Naja, was funktionieren sollte: Stell dir ein Zertifikat für deine lokale IP Adresse der NAS aus und importiere es als vertrauenswürdig in deinem Browser (z.B. Firefox).

Tatsächlich brauchst du aber kein HTTPS (privatgebrauch), denn das VPN verschlüsselt ja schon alles, stellt sozusagen also das S in HTTPS dar. (Klar, es funktioniert anders, aber es kommt auf dasselbe hinaus)

Ergänzung (9. Dezember 2021)

Etwas länger: Wird nicht kommen, da dein Browser die Zertifikate überprüft und da nur Öffentliche CAs drin sind und diese auch nur Öffentlich Erreichbare IPs "Zertifizieren". Daher geht ohne eigene CA unsw. nichts.

Man kann bei (einigen, Firefox) Browsern auch eigene Zertifikate importieren und als vertrauenswürdig einstufen.

 

[hautschi]

@DaChicken Danke für die Antwort, ich hatte es ja befürchtet Hast du zufällig einen Link zu einer leicht verständliche Anleitung parat, wie man sowas macht? Bin mir noch unschlüssig ob ich die Zeit für dieses "nice-to-have feature" investieren soll...
Bringt das einen Mehrwert, wenn man eh per VPN im lokalen Netzwerk hängt? Man würde halt davon ausgehen, dass keiner den lokalen Netzwerkverkehr belauscht...

 

[Pako1997]

Bringt das einen Mehrwert, wenn man eh per VPN im lokalen Netzwerk hängt? Man würde halt davon ausgehen, dass keiner den lokalen Netzwerkverkehr belauscht...

Nun ja, die Frage ist natürlich eine Abschätzungsfrage:

Wenn dein größtes Problem wenn jemand in deinem lokalen Netzwerk unterwegs ist das abhören von dem HTTP Verkehr zur NAS ist dann kümmer dich darum das abzusichern, also HTTPS (ist aber aufwändig).
Effektiv würde ich als normaler Privatmensch auch das lokale Netz als sicher einstufen und hier erstmal damit anfangen das lokale Netz nach außen hin zu sichern, hier ist Aufwand zu Nutzen höher.

 

[Helge01]

Eine eigene CA ist mit XCA sehr einfach. Dieses Programm gibt es für Linux, Mac und Windows.

 

[hautschi]

@Helge01 vielen Dank, das kuck ich mir mal an.

@Pako1997 grundsätzlich ist nichts aus meinem lokalen Netz von Außen erreichbar, ich habe keine Ports weitergeleitet o.ä.
Alle Verbindungen von Außen gehen über VPN, daher schätze ich das schon mal als relativ sicher ein. Zu holen ist bei mir jetzt auch nicht viel, das kritischste Item auf dem NAS ist meine Passwortdatenbank, aber die ist ja auch verschlüsselt…also noch eine Hürde bevor Dritte da an relevante Infos kommen.
Wenn es jedoch mit einfachen Mitteln möglich ist, da mittels HTTPS nochmals eine Hürde mehr aufzubauen - warum nicht
Gelegenheit macht Diebe und wenn’s zu schwierig ist dann lassen die meisten doch die Finger davon.
Aber Danke für alle eure Anregungen und Vorschläge, hat mich bei dem Thema deutlich voran gebracht 👍

 

[hautschi]

So, hab das mit XCA mal ausprobiert. Geht ja super einfach
Eine CA erstellt (Root-Zertifikat) und ein normales Zertifikat für die Diskstation (Server Auth). Das frisst die DiskStation auch wunderbar. Das Root-CA hab ich in den Windows-Zertifikatspeicher importiert und auch auf den iOS Geräten installiert.
Leider werden Verbindungen weiterhin als nicht sicher eingestuft, weil die CA unbekannt ist.
Was mach ich falsch?

 

[Helge01]

@hautschi Schön das es mit der CA klappt.
Hast du unter IOS Einstellungen / Allgemein / Info / Zertifikatsvertrauenseinstellungen für deine CA das Vertrauen aktiviert?

Weiter sollt man beachten das IOS keine Zertifikate (außer die CA selbst) länger als 2 Jahre als vertrauenswürdig akzeptiert. Man kann das aber umgehen in dem man das Ausstelldatum der Zertifikate z.B. auf den 01.01.2018 in XCA einstellt. Diese sind dann immer Vertrauenswürdig, egal wie viele Jahre die gültig sind.

 

[hautschi]

Hallo @Helge01, erneut vielen Dank. Hab die iOS-Einstellung gesetzt. In Windows taucht das Zertifikat auch im Zertifikatsspeicher auf, aber Firefox scheint den ja standardmäßig nicht zu benutzen. Wenn ich das Root-Zertifikat da einfüge, klappt das zwar, aber folgende Fehlermeldung kommt beim Zugriff auf das Webinterface der DiskStation: "Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN".
Was muss ich denn beim Zertifikat einstellen, damit das klappt? Meine DS ist erreichbar unter der IP (192.168.xxx.xxx) sowie unter einer lokalen Domain (DS218-xxx.local).

Meine Einstellungen waren bisher (wohl falsch?!):
Netscape Base Url:
192.168.xxx.xxx
Netscape SSL Server Name:
DS218-xxx

 

[Helge01]

@hautschi Ich habe mal von jedem Schritt eine Bildschirmaufnahme gemacht und die relevanten Sachen markiert. Es ist eigentlich selbsterklärend, bei deiner IP-Adresse musste ich eine gültige angeben statt xxx (192.168.111.111). Die Laufzeit von 25 Jahren ist bewusst gewählt, da man sich dadurch nicht mehr um die Zertifikate kümmern muss und bei einer Kompromittierung ist eine neue CA schnell erstellt. Die Anfangszeit der Zertifikate wurde auf den 01.01.2018 korrigiert, da ältere Zertifikate nicht unter die maximale Laufzeit von 2 Jahren fallen. Für jedes neues Serverzertifikat sind die Schritte ab Bild 8 zu wiederholen. Man kann zu den Zertifikaten mehr Angaben machen (Bild 3, 10), das ist aber für die Funktion nicht notwendig. Wichtig ist nur der commonName (cn) für den DNS Namen und wie in deinem Fall, wenn der Zugriff auch über die IP-Adresse erfolgen soll, der Subject Alternative Name (SAN) mit der IP-Adresse.

 

[hautschi]

@Helge01 Du bist einfach der Wahnsinn VIelen Dank für deine Mühe mit den Screenshots, hat alles funktioniert und läuft nun wie gewünscht, Verbindung wird ohne Murren hergestellt und als vertrauenswürdig eingestuft...bzw. es kommen keine Warnungen mehr.
Hast du nen Bier-Spendenlink für mich oder sowas?

 

[Helge01]

Danke gern geschehen. 🍺

Du bist einfach der Wahnsinn

Das sagt meine Frau auch hin und wieder, nur meint sie das vermutlich etwas anders.

Ich denke in Zukunft wird der Tag kommen wo die Browserhersteller http begraben und dann wäre man zum Administrieren im eigenen Netz auf alte Browser angewiesen. Eine eigene CA ist ja mit Hilfe von XCA leicht erstellt.

 

[hautschi]

Das sagt meine Frau auch hin und wieder, nur meint sie das vermutlich etwas anders.

Das hoff ich doch für dich

Auf jeden Fall läufts jetzt problemlos, vielen Dank nochmal!

 

[Synology_1]

@hautschi
Die Tipps von @Helge01 haben ja schon zum Ziel geführt.


GGfs wäre noch NAT Loopback. Soweit ich weiß kann man das auch in der Fritzbox einstellen.

Aber wenn es jetzt läuft, dann ist es ja perfekt.
Never touch a running system....außer man hat Lust zu basteln

MFG
Philip

 

[jptreky]

Hallo,
ich habe das gleiche Problem wie Hautschi.
Jetzt habe ich mit das XCA Tool runtergeladen und installiert aber ich kann kein neues Zertifikat erstellen. die Botton sind ausgegraut.

Was muss ich tun damit ich über das XCA Tool ein Zertifikat laut Helge01 Anleitung erstellen kann?

Gruß
jptreky

Edit:
hat sich erledigt. Hab es hinbekommen.

 

[krownhill]

@hautschi Ich habe mal von jedem Schritt eine Bildschirmaufnahme gemacht und die relevanten Sachen markiert. Es ist eigentlich selbsterklärend, bei deiner IP-Adresse musste ich eine gültige angeben statt xxx (192.168.111.111). Die Laufzeit von 25 Jahren ist bewusst gewählt, da man sich dadurch nicht mehr um die Zertifikate kümmern muss und bei einer Kompromittierung ist eine neue CA schnell erstellt. Die Anfangszeit der Zertifikate wurde auf den 01.01.2018 korrigiert, da ältere Zertifikate nicht unter die maximale Laufzeit von 2 Jahren fallen. Für jedes neues Serverzertifikat sind die Schritte ab Bild 8 zu wiederholen. Man kann zu den Zertifikaten mehr Angaben machen (Bild 3, 10), das ist aber für die Funktion nicht notwendig. Wichtig ist nur der commonName (cn) für den DNS Namen und wie in deinem Fall, wenn der Zugriff auch über die IP-Adresse erfolgen soll, der Subject Alternative Name (SAN) mit der IP-Adresse.

Vielen Dank für diese tolle Anleitung, hast du vielleicht einen Tipp für Android, ich bekomme das zertifikat da einfach nicht installiert. Habe das Root Ca als .pem exportiert, beim Install unster Android 12 kommt aber nur die Meldung " kein zu installiernedes Zertifikat", eine Idee?

 

[Helge01]

@krownhill Gemäß Google muss folgendes erfüllt sein:

Android unterstützt DER-codierte X.509-Zertifikate, die in Dateien mit CRT- oder CER-Dateiendungen gespeichert werden.

Du musst das CA Zertifikat im binären DER Format exportieren.

 

[krownhill]

@Helge01 habe es versucht, geht nicht, ich bekomme es nicht mal in Windows importiert -> der Dateityp ist nicht erkennbar lautet die Fehlermeldung. Ich habe die Zertifikate unter Windows nach der Bildanleitung erstellt.

 

[Helge01]

Hast du das Zertifikat im DER Format aus XCA exportiert und die Dateiendung auf .crt oder .cer abgeändert?