Mit Let’s Encrypt lassen sich gratis vertrauenswürdige SSL-Zertifikate erstellen.
Mit dem DSM 6.0 unterstützt Synology Let’s Encrypt als Aussteller von SSL Zertifikaten. Wenn jedoch noch kein DSM 6.x zur Verfügung steht wird ein wenig komplizierter.
Nach einigen erfolglosen Versuchen dieses Problem zu lösen bin ich auf den Blog-Post von raorn gestossen.
Vorbedingung:
- NAS muss von extern erreichbar sein (Port 80 & 443)
- Zugriff via SSH auf das NAS
ACME-Client
Die Installation des Zertifikates passiert via Shell. Da die installierte BusyBox einen sehr eingeschränkten Funktionsumfang hat bietet sich die Installation vom ACME-Client an.
cd /volume1
wget https://raw.githubusercontent.com/Neilpang/acme.sh/master/acme.sh
sh ./acme.sh --install --nocron --home /volume1/.acme.sh
. /volume1/.acme.sh/acme.sh.env
Zertifikat ausstellen und installieren
acme.sh --issue \
-d domain.org \
--webroot /var/lib/letsencrypt \
--certpath /usr/syno/etc/ssl/ssl.crt/server.crt \
--keypath /usr/syno/etc/ssl/ssl.key/server.key \
--capath /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt \
--reloadcmd '/usr/syno/sbin/synoservicecfg --reload httpd-sys'
Im obenstehenden Befehl muss natürlich domain.org mit derjenigen auf welche das Zertifikat ausgestellt werden soll ersetzt werden.
Das war der letzte Schritt der via Shell gemacht werden muss.
Aktualisierung des Zertifikats
Eine Besonderheit von Let’s Encrypt Zertifikaten ist, dass diese nur eine Gültigkeit von 90 Tagen haben. Das heisst die Zertifikate müssen relativ oft aktualisiert werden.
Dieser Vorgang kann auch automatisiert werden.
Das mit Hilfe eines Task vom Task Scheduler via DSM gemacht werden.
- Anmelden an DSM
- Systemsteuerung
- Aufgabenplaner
- Erstellen -> Benutzerdefiniertes Skript
/volume1/.acme.sh/acme.sh --cron --home /volume1/.acme.sh
- Zeitplan so wählen, dieser Befehl innerhalb von 90 Tagen einmal ausgeführt wird
Quelle: http://blog.raorn.name/2017/02/lets-encrypt-certificates-on-synology.html
Hi,
Thank you very much. This post helped me a lot.
I had to login to the diskstation as root and not as admin, what I usually do, to install acme client the way explained above.
And I needed to manually add the folder ssl.intercrt.
The rest was straight forward.
Thanks and Cheers
Patric