Synology NAS – Let’s encrypt

Am 3. Dezember 2015 startete letsencrypt.org die öffentliche Beta zur Verteilung von kostenlosen SSL Zertifikaten. Ich versuche hier eine Anleitung zu erstellen, wie man die Zertifikate auf ein Synology NAS bekommt.

Der Client läuft (aktuell) nicht auf der Synology. Aus diesem Grund werden die Zertifikate von einem Linux Server angefordert und in der synlogy importiert.

Auf einem Linux Server wird das Tool GIT benötigt. Eine Installationsanleitung gibt es hier.

Der Letsencrypt Client lässt sich pe

git clone github.com/letsencrypt/letsencrypt.git

installieren. Wir wechseln in das Verzeichnis

cd letsencrypt

und fordern das Zertikat für unsere Domäne(n) an.

./letsencrypt-auto certonly -a manual --server acme-v01.api.letsencrypt.org/directory --rsa-key-size 4096 -d xyz.domain.de -d domain.de -d www.domain.de --agree-dev-preview

Bitte noch nicht mit ENTER bestätigen, es müssen nun die Voraussetzungen auf der Synology geschaffen werden

Als nächstes loggen wir uns als User root per ssh auf die Synologie ein und wechselen in das Verzeichnis /var/services/web

cd /var/services/web

und legen die Verzeichni�e an, die letsencrypt zur Validierung unseres Zertifikates benötigt

mkdir -p .well-known/acme-challenge

Im Terminal des Linux Servers befindet sich eine Zeile die mit printf „%s% beginnt. Diese kopieren wir und führen Sie auf der Synology aus.

printf "%s" nureinBeispielderkomplettenZeile_PFEQFOZWHKrL41sRg0h120bC2qI9vAAzGYphyo > .well-known/acme-challenge/BloedsinnPtzf3xNn_PFE

und überprüfen ob die erstellte Datei über Port 80 von extern zu erreichen ist.

xyz.domain.de/.well-known/acme-challenge/BloedsinnPtzf3xNn_PFE

Nun bestätigen wir mit ENTER auf dem Linux Server, das letsencrypt die Domäne überprüfen darf. Die erstellten Zertifikate finden wir nun im Verzeichnis /etc/letsencrypt/live/xyz.domain.de. 

Die Dateien importieren wir über DSM (Systemsteuerung – Sicherheit – Zertifikat – Zertifikat importieren).

Die Zertifikate sind 90 Tage gültig, mit oben genannten Befehlen können aber jederzeit neue erstellt und importiert werden. Im empfehle nicht bis zum letzten Tag zu warten 😉