Kleine Überraschung, die zumindest ICH nirgends gelesen habe. DSM 7.0 unterstützt keine selbst-signierten Zertifikate. Das ist blöd, wenn man sein NAS lokal mit IP Adressen verwendet, denn das Let’s Encrypt Zertifikat ändert sich spätestens alle 90 Tage. Und dann muß man auf allen Systemen das neue Zertifikat neu bestätigen. Daher lokal self-signed. Und jetzt?
Immerhin erlaubt Synology das Importieren von Zertifikaten und nimmt dabei auch self-signed. Jetzt nur mal schnell eines machen. Mit Windows bekomme ich zwar ganz schnell mit powershell Zertifikate, aber nicht im gewünschten PEM X509 Format (und da ist Synology nicht verhandlungsbereit). Jetzt könnte man sich OpenSSL installieren und mit ungefähr den Zeilen helfen:
#generate the RSA private key openssl genpkey -outform PEM -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out priv.key #Create the CSR (Click csrconfig.txt in the command below to download config) openssl req -new -nodes -key priv.key -config csrconfig.txt -nameopt utf8 -utf8 -out cert.csr #Self-sign your CSR (Click certconfig.txt in the command below to download config) openssl req -x509 -nodes -in cert.csr -days 10950 -key priv.key -config certconfig.txt -extensions req_ext -nameopt utf8 -utf8 -out cert.crt
Die config schaut dann irgendwie so aus:
[ req ] default_md = sha256 prompt = no req_extensions = req_ext distinguished_name = req_distinguished_name [ req_distinguished_name ] commonName = 192.168.0.100 countryName = US stateOrProvinceName = CA localityName = Los Angeles organizationName = LAN [ req_ext ] subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always,issuer keyUsage=critical,digitalSignature,keyEncipherment extendedKeyUsage=critical,serverAuth,clientAuth subjectAltName = @alt_names [ alt_names ] IP.0 = 192.168.0.100
Oder, da einem das Zertifikat eh nicht heilig ist, nutzt man einen Online-Generator. Ich habe einfach einen der erst besten genommen und siehe da, Synology ist wieder happy:
https://certificatetools.com/