Let’s Encrypt Zertifikat auf einem alten Synology NAS mit DSM 5.2

Mit Let’s Encrypt lassen sich gratis vertrauenswürdige SSL-Zertifikate erstellen.

Mit dem DSM 6.0 unterstützt Synology  Let’s Encrypt  als Aussteller von SSL Zertifikaten. Wenn jedoch noch kein DSM 6.x zur Verfügung steht wird ein wenig komplizierter.

Nach einigen erfolglosen Versuchen dieses Problem zu lösen bin ich auf den Blog-Post von raorn gestossen.

Vorbedingung:

  • NAS muss von extern erreichbar sein (Port 80 & 443)
  • Zugriff via SSH auf das NAS

ACME-Client

Die Installation des Zertifikates passiert via Shell. Da die installierte BusyBox einen sehr eingeschränkten Funktionsumfang hat bietet sich die Installation vom ACME-Client an.

cd /volume1

wget https://raw.githubusercontent.com/Neilpang/acme.sh/master/acme.sh

sh ./acme.sh --install --nocron --home /volume1/.acme.sh

. /volume1/.acme.sh/acme.sh.env

Zertifikat ausstellen und installieren

acme.sh --issue \
-d domain.org \
--webroot /var/lib/letsencrypt \
--certpath /usr/syno/etc/ssl/ssl.crt/server.crt \
--keypath /usr/syno/etc/ssl/ssl.key/server.key \
--capath /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt \
--reloadcmd '/usr/syno/sbin/synoservicecfg --reload httpd-sys'

Im obenstehenden Befehl muss natürlich domain.org mit derjenigen auf welche das Zertifikat ausgestellt werden soll ersetzt werden.

Das war der letzte Schritt der via Shell gemacht werden muss.

Aktualisierung des Zertifikats

Eine Besonderheit von Let’s Encrypt Zertifikaten ist, dass diese nur eine Gültigkeit von 90 Tagen haben. Das heisst die Zertifikate müssen relativ oft aktualisiert werden.

Dieser Vorgang kann auch automatisiert werden.

Das mit Hilfe eines Task vom Task Scheduler via DSM gemacht werden.

  1. Anmelden an DSM
  2. Systemsteuerung
  3. Aufgabenplaner
  4. Erstellen -> Benutzerdefiniertes Skript
    1. /volume1/.acme.sh/acme.sh --cron --home /volume1/.acme.sh
    2. Zeitplan so wählen, dieser Befehl innerhalb von 90 Tagen einmal ausgeführt wird

Quelle: http://blog.raorn.name/2017/02/lets-encrypt-certificates-on-synology.html

SuisseID, ja ich habe einen Anwendungsfall gefunden

Im letzten Bericht über die SuisseID war meine Aussage, dass ich die SuisseID nicht verwende.
Fast wie ein guter Vorsatz für das 2013 habe ich mir vorgenommen die SuisseID vermehrt einzusetzen. Es gibt unterdessen einige
Web-Lösungen die das Login mit SuisseID anbieten, bis jetzt habe ich das zwar zur Kenntnis genommen, jedoch nie wirklich beachtet.
Nebst brack.ch bietet auch die KPT das Login mit SuisseID an.

Als erstes musste ich die nötige Software zur Verwendung der SuisseID auf meinem Rechner installieren. Einerseits den Treiber für den USB-Token andererseits die Software Sign! zum signieren von Dokumenten. Letzteres ist an sich nicht nötig um die Login-Funktionalitäten der Webseiten nutzen zu können.

Anschliessend an die Installationen konnte ich (fast) ohne Probleme meine SuisseID mit meinem Account verknüpfen. Mit dem Browser CoolNovo funktioniert das Login nicht, da dieser Browser nicht auf die SuisseID zugreifen kann. Da bleibe ich jedoch dran, ich gehe davon aus, dass es auch mit diesem Browser möglich sein sollte.
Testeshalber nutzte ich halt den Internet Explorer. Mit diesem funktioniert das Login mit SuisseID einwandfrei.

Was ist nun der Vorteil mit dem SuisseID-Login?

Login-Ablauf ohne SuisseID:

  1. Benutzername eingeben
  2. Passwort eingeben
  3. Code (Email, SMS) eingeben

Login-Ablauf mit SuisseID:

  1. SuisseID am Rechner anschliessen, SuisseID Pin eingeben (pro Browser-Sitzung)
  2. Benutzernamen eingeben

Fazit

Mit der SuisseID können zwei Eingaben gespart werden. Somit wird das ganze schon interessanter. Je mehr Webseiten diese Login-Variante anbieten desto intensiver werde ich das nutzen.

KeePass der Passwort-Manager

Vor einiger Zeit habe ich mal über den Passwort-Manager KeePass geschrieben. Ich bin immer noch absolut begeistert von diesem Tool!

Was hat sich bei mir in der Verwendung geändert:

  1. Verwende zur Synchronisation nun Dropbox und nicht mehr FTP
  2. Mit dem Andriod-Client habe ich alle Passwörter wirklich immer dabei

Weitere Vorteile die sich bei mir durch die Verwendung von KeePass ergeben haben:

  1. Ich verwende viel sicherere Passwörter
  2. Ich habe quasi nirgendwo mehr das gleiche Passwort

Wer also auf der Suche nach einem Passwort-Manager ist, findet mit KeePass ein super Tool.

Übrigens gibt’s das Tool auch als portable Version. Das wiederum würde die Möglichkeit bieten, nicht nur das Datenbank-File in der Dropbox zu speichern, sondern gerade die ganze Anwendung!

Mit SuisseID unterschriebene Dokumente verunsichern

Neulich habe ich wiedermal meine SuisseID verwendet. Mein Plan war ein PDF zu unterschreiben. Einfache Idee, recht mühsame Umsetzung (ja ich möchte mich sehr gerne eines besseren belehren lassen).

Hürde 1:

Das PDF muss so erstellt werden, dass es unterschrieben werden kann. Bis jetzt habe ich leider noch keine Möglichkeit gefunden aus der Microsoft Office Palette ein PDF zu erstellen welches auch unterschrieben werden darf.
Es war mir nur möglich mittels Adobe Acrobat das PDF so zu erstellen, dass ich es anschliessend unterschreiben konnte.

Das Unterschreiben geht recht komfortabel , kein Problem.

Hürde 2:

Die Freude über das unterschriebene Dokument war recht gross, ja schon fast Euphorie artig. Doch dann machte ich den Fehler (zu Glück) und öffnete das Dokument noch im normalen Reader.

Da stach mir folgende Meldung ins Auge und vorbei war es mit der Euphorie:

Ich hab das Dokument auf diversen Rechnern geöffnet, mit dem selben Resultat.

Bis jetzt weiss ich nicht, wie ich diese Meldung verhindern kann. Ich dachte mir, dass ich ein vertrauenswürdiges Zertifikat gekauft habe.

Fazit:

– Ich hoffe, dass mir jemand sagen kann das ich etwas falsch gemacht habe
– Ein so unterschriebenes PDF verwirrt viel mehr als das es Sicherheit bringt und das sollte doch eigentlich der Zweck sein
– Solche unterschriebenen Dokumente sind unbrauchbar (nicht rechtlich aber rein von der Handhabung her)

 

SuisseID, Halbjahresfazit

Nun bin ich seit 180 Tagen „stolzer“ Besitzer einer SuisseID.

Fazit:
Ich verwende die SuisseID nicht. Am Anfang dachte ich mir, dass ich wenigstens die Signierungsfunktion für Emails nutzen werde. Doch diese Euphorie ist ziemlich schnell verflogen, da ich einerseits zu wenig „wichtige“ Mails schreibe, denn im Kollegenkreis ist es wohl ziemlich egal, ob meine Identität belegbar ist oder nicht. Ich hatte meinen Thunderbird so eingestellt, dass alle Mails standartmässig signiert werden. Das hat aber zur Folge, dass die SuisseID die ganze Zeit mit dem PC verbunden sein muss und ich jedes Mal das SuisseID-Passwort eingeben muss. Auf die Dauer wurde mir das zu mühsam, darum wird jetzt per Default nicht mehr signiert.

Mails an unbekannte Personen z.B Krankenkasse usw. werden schon noch signiert versendet. Das kommt zum Glück nicht so oft vor.

Die Möglichkeit Dokumente zu unterschreiben habe ich auch noch nie genutzt, da ich schlicht und ergreifend noch nie einen Anwendungsfall hatte. Ich denke das Unterschreiben von Dokumenten ist sinnvoll bei Bewerbungen oder ähnlichem.

Ich werde weiter berichten…