SynologyLogo_enu_no_slogan_for_webGestartet habe ich die Aktion bereits vor einigen Monaten mit der Erweiterung meiner Synology DS213J um eine weitere Festplatte. Zudem hatte ich meine auf der Diskstation (DS) gehosteten Websites (4 Domains) ausgemistet und war dabei sie alle mit einem eigenen, gültigen SSL-Zertifikat auszustatten.

Aber fangen wir vorne an, naja, fast vorne. Den Einbau einer Festplatte und die Probleme bei NFS Freigaben hatte ich ja schon im Artikel über Kodi erläutert, also starten wir mit den SSL Zertifikaten.

SSL Zertifikate für Domains erstellen und installieren

Es gibt unzählige Tutorials darüber wie ihr für eure private Website ein gültiges, zertifiziertes SSL-Zertifikat erzeugen könnt. Unter anderem idomiX erklärt in seinem Youtube Video wie ihr dieses zu erzeugen habt und es anschließend auf der Synology installieren könnt. Das ganze gibt es aber auch in englisch und wahrscheinlich auch in einigen anderen Sprachen von anderen Bloggern. Die genaue Vorgehensweise muss ich daher nicht erläutern, aber noch einmal die nötigen Voraussetzungen dafür aufzeigen.

  1. Wichtigster Punkt: Ihr benötigt eine EIGENE Domain! Wenn ihr jetzt nicht wisst was das ist, so könnt ihr sicher sein, dass ihr keine besitzt. Eine Domain muss von euch käuflich erworben werden und kostet euch je nach Top-Level-Domain (TLD) mindestens 50Cent/Monat! Was ist eine Domain? Nehmen wir mich als Beispiel, meine Domain lautet c-eckl. Diese Domain wiederum liegt in der TLD .de. Meine kompletter Domainnamen lautet somit c-eckl.de.
    Wichtig: Für die Beantragung eines eigenen SSL-Zertifkates ist es nicht ausreichend eine sogenannte Subdomain zu besitzen wie z.B. c-eckl.dyndns.org oder c-eckl.synology.me. Da die hier enthaltenen Domains dyndns.org und synology.me den jeweiligen Firmen gehören und nicht euch!
  2. Um auf den Webserver eurer Synology mittels https zugreifen zu können, also alle Daten verschlüsselt zu senden oder zu empfangen (wichtig vor allem für das übermitteln von privaten Daten), muss euer Server ein SSL-Zertifikat haben. Dieses kann man sich in der Systemsteuerung eurer DS selbst erstellen und einbinden, es wird von den Browsern aber nicht als sicher eingestuft (zu sehen am roten Schloßsymbol im Browser). Das ist nicht verwunderlich, da selbstsignierte Zertifikate nunmal von jedem erzeugt werden können und so nicht sicher ist, ob das Zertifikat tatsächlich vom Besitzer der Website stammt. Daher gibt es die signierten Zertifikate, die sich von den unsignierten dahingehend unterscheiden, dass ein Zertifizierer (globalsign, digicert, …) euer Zertifikat beglaubigen (unterschreiben = sign -> Signiertes Zertifikat). Für diesen Prozess muss der Domaininhaber, also ihr selbst, gebenüber dem Zertifizierer belegen, dass er selbst die Domain auch wirklich besitzt.
    Der Prozess an sich ist sehr sehr einfach und unterscheidet sich von der Erstellung eines self-signed certificate nur geringfügig, trotzdem verlangen die Zertifizierer hierfür nicht unerhebliche Gebühren. Mit dem Anbieter StartCOM gibt es unter anderem ein Unternehmen, das für Privatnutzer signierte SSL-Zertifikate ausgibt die von fast allen Browsern und Betriebssystemen als sicher eingestuft und damit mit einem Grünen Schloss im Browser und ohne Fehlermeldung akzeptiert werden.
  3. Für das Erstellen des Zertifkates verweise ich auf das Video von idomiX, will aber noch einen Hinweis geben: Für das Erstellen des Zertifkates benötigt ihr zum einen eine eigene Domain (siehe Punkt 1) zum anderen aber auch zwingend eine Subdomain. Im Video wird hier diskstation.domain.de verwendet, also die Subdomain diskstation. Das mag für den dort beschriebenen Anwendungsfall passend sein, solltet ihr aber Websiten auf eurer DS hosten, wollt ihr natürlich eine andere Subdomain verwenden. Weiß schon jemand welche? Richtig: www! Ja, auch das bekannte www ist nichts anderes als eine mögliche Subdomain und diese sollte auch für die Erstellung des Zertifikates verwendet werden, weil ansonsten eure Websites nicht ohne Fehlermeldung angezeigt werden wenn die Besucher sie mit www.meinedomain.de oder https://www.meinedomain.de aufrufen! Da das Zertifikat die Domain selbst beinhaltet (also domain.de) funktioniert der folgender Aufruf meinedomain.de oder https://meinedomain.de sofern euer Apache-Webserver entsprechend konfiguriert ist trotzdem.

Die Zertifikate können nun in den jeweiligen Konfigurationsdateien der Virtualhosts hinterlegt werden. Je nach abfragendem Server werden nun alle Websiten ohne SSL-Fehlermeldung angezeigt. Browser ohne SNI Unterstützung melden weiterhin bei all den Seiten Fehler die nicht zur Hauptdomain gehören.

Da dem Artikel ein erneuter Umbau der DS in den Weg gekommen ist, erscheint er dann doch leicht verzögert. Sollte ich in den nächsten Monaten nochmal an die Konfigurationsdateien des Apache Hand anlegen, werde ich diese hier posten, um das Einbinden der Zertifikate noch zu zeigen. Vorerst soll mir der Artikel selbst als Gedächtnisstütze dienen, aber vielleicht hilft er ja dem ein oder anderen.

IT-Frühjahrsputz – Leicht verspätet

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.