Let’s Encrypt Zertifikat auf einem alten Synology NAS mit DSM 5.2

Mit Let’s Encrypt lassen sich gratis vertrauenswürdige SSL-Zertifikate erstellen.

Mit dem DSM 6.0 unterstützt Synology  Let’s Encrypt  als Aussteller von SSL Zertifikaten. Wenn jedoch noch kein DSM 6.x zur Verfügung steht wird ein wenig komplizierter.

Nach einigen erfolglosen Versuchen dieses Problem zu lösen bin ich auf den Blog-Post von raorn gestossen.

Vorbedingung:

  • NAS muss von extern erreichbar sein (Port 80 & 443)
  • Zugriff via SSH auf das NAS

ACME-Client

Die Installation des Zertifikates passiert via Shell. Da die installierte BusyBox einen sehr eingeschränkten Funktionsumfang hat bietet sich die Installation vom ACME-Client an.

cd /volume1

wget https://raw.githubusercontent.com/Neilpang/acme.sh/master/acme.sh

sh ./acme.sh --install --nocron --home /volume1/.acme.sh

. /volume1/.acme.sh/acme.sh.env

Zertifikat ausstellen und installieren

acme.sh --issue \
-d domain.org \
--webroot /var/lib/letsencrypt \
--certpath /usr/syno/etc/ssl/ssl.crt/server.crt \
--keypath /usr/syno/etc/ssl/ssl.key/server.key \
--capath /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt \
--reloadcmd '/usr/syno/sbin/synoservicecfg --reload httpd-sys'

Im obenstehenden Befehl muss natürlich domain.org mit derjenigen auf welche das Zertifikat ausgestellt werden soll ersetzt werden.

Das war der letzte Schritt der via Shell gemacht werden muss.

Aktualisierung des Zertifikats

Eine Besonderheit von Let’s Encrypt Zertifikaten ist, dass diese nur eine Gültigkeit von 90 Tagen haben. Das heisst die Zertifikate müssen relativ oft aktualisiert werden.

Dieser Vorgang kann auch automatisiert werden.

Das mit Hilfe eines Task vom Task Scheduler via DSM gemacht werden.

  1. Anmelden an DSM
  2. Systemsteuerung
  3. Aufgabenplaner
  4. Erstellen -> Benutzerdefiniertes Skript
    1. /volume1/.acme.sh/acme.sh --cron --home /volume1/.acme.sh
    2. Zeitplan so wählen, dieser Befehl innerhalb von 90 Tagen einmal ausgeführt wird

Quelle: http://blog.raorn.name/2017/02/lets-encrypt-certificates-on-synology.html

SuisseID, ja ich habe einen Anwendungsfall gefunden

Im letzten Bericht über die SuisseID war meine Aussage, dass ich die SuisseID nicht verwende.
Fast wie ein guter Vorsatz für das 2013 habe ich mir vorgenommen die SuisseID vermehrt einzusetzen. Es gibt unterdessen einige
Web-Lösungen die das Login mit SuisseID anbieten, bis jetzt habe ich das zwar zur Kenntnis genommen, jedoch nie wirklich beachtet.
Nebst brack.ch bietet auch die KPT das Login mit SuisseID an.

Als erstes musste ich die nötige Software zur Verwendung der SuisseID auf meinem Rechner installieren. Einerseits den Treiber für den USB-Token andererseits die Software Sign! zum signieren von Dokumenten. Letzteres ist an sich nicht nötig um die Login-Funktionalitäten der Webseiten nutzen zu können.

Anschliessend an die Installationen konnte ich (fast) ohne Probleme meine SuisseID mit meinem Account verknüpfen. Mit dem Browser CoolNovo funktioniert das Login nicht, da dieser Browser nicht auf die SuisseID zugreifen kann. Da bleibe ich jedoch dran, ich gehe davon aus, dass es auch mit diesem Browser möglich sein sollte.
Testeshalber nutzte ich halt den Internet Explorer. Mit diesem funktioniert das Login mit SuisseID einwandfrei.

Was ist nun der Vorteil mit dem SuisseID-Login?

Login-Ablauf ohne SuisseID:

  1. Benutzername eingeben
  2. Passwort eingeben
  3. Code (Email, SMS) eingeben

Login-Ablauf mit SuisseID:

  1. SuisseID am Rechner anschliessen, SuisseID Pin eingeben (pro Browser-Sitzung)
  2. Benutzernamen eingeben

Fazit

Mit der SuisseID können zwei Eingaben gespart werden. Somit wird das ganze schon interessanter. Je mehr Webseiten diese Login-Variante anbieten desto intensiver werde ich das nutzen.