Hinweis für alle DSM 6 Nutzer:
Ab DSM 6 ist Let’s Encrypt eingebaut und der absolut einfachste Web zu einem Zertifikat. Wer also keinen Ärger will und DSM 6 und neuer hat, einfach ein Zertifikat mit Let’s Encrypt anfordern.
Für DSM 5 und älter:
StartSSL hat sein userinterface völlig neu gemacht und dabei auch ein paar Kleinigkeiten an der leistung geändert. Man kann seit kurzem nun beliebige Domain Zertifikate GRATIS ausgeben lassen. (Zuvor waren nur Hauptdomains möglich [example.com], jetzt gehen auch subdomains [mail.example.com]). Um das alles hinzubekommen bedarf es ein paar Vorbereitungen, aber es geht.
-
Man installiere auf seiner Synology den Mail server (ist ein Paket) und konfiguriere das gute Ding. Nicht vergessen ein Portforwarding von seinem Modem/Router auf den Server für den SMTP Port (25) zu setzen. Im Prinzip muß man die Mailbox nicht nutzen, man muß nur in der Lage sein eine email von hostmaster@xxx oder webmaster@xxx oder postmaster@xxx zu empfangen. Dazu reicht i.A. ein Alias (Einstellung im Mail Server) auf einen Synology User oder eine echte email-Adresse aus. Man teste das bis man Emails auf webmaster@xxx (oder einen der anderen) lesen kann.


-
Man logge sich bei http://startssl.org ein (oder registriere, wenn man nicht schon einen Login hat, z.B. für ein Gratis Email-Zertifikat) und beginne mit der Domain Validierung. Man gebe den vollen Domainnamen in die Box ein (z.B. abchaus.synology.me), warte bis das Ding alles ausgelesen hat und wähle die vorher eingerichtete email-Adresse. Die email muß man lesen und den darin enthaltenen Code in die vorgesehene Box eintragen.


-
Danach kann man sein csr als archive.zip herunterladen. Man öffne das ZIP und öffne mit einem Texteditor server.csr. Den Inhalt kopiere man in die Zwischenablage. Man gehe auf startssl auf Order SSL Certificate und paste das CSR rein. Man soll danach seinen private key speichern (copy paste ist nicht notwendig). Wenn man bestätigt, daß man den private key gespeichert hat, wird das Zertifikat erstellt. Man speichert ein weiteres ZIP Archiv.
-
Synology ist keine große Hilfe. Den privaten Key kann man so nicht importieren und man bekommt den Fehler, daß das Zertifikat nicht zum privaten key paßt. DAs umgeht man indem man auf startssl.org auf Tool Box geht, dort auf decrypt key und dort den privaten key hineinpasted (mit dem Paßwort). Man bekommt den entschlüsselten key und sichere den unter einem eigenen Namen (das geht für paranoide auch mit openssl lokal).

-
Zuletzt gehe man wieder auf seine Synology, gehe auf Sicherheit / Zertifikate, import Zertifikat. In die erste Zeile lade man sein ENTSCHLÜSSELTES private key file, in die zweite Zeile nehme man aus dem Zertifikats-ZIP aus dem Verzeichnis ApacheServer sein Zertifikat (2_*) und in die dritte Zeile tue man aus dem gleichen ZIP-Verzeichnis 1_root_bundle.crt). Bestätigen, nachdenken und man hat ein offizielles Zertifikat!

-
Wens stört, der kann seinen Mail-Server wieder anhalten oder deinstallieren. Aber in einem Jahr braucht man das ganze wieder…