QTS 4.3 - Let's Encrypt SSL Zertifikat mit wenigen Klicks erstellen

  • lukasp hat eine neuen Artikel hinzugefügt:


    [entry]163[/entry]


  • Hallo Lukas,


    vielleicht kannst du das noch ergänzen: Das Zertifikat ist für drei Monate gültig. Vor Ablauf der Gültigkeit soll man eine Nachricht an die Email-Adresse bekommen, die man bei der Zertifikateinrichtung hinterlegt hat. Das Zertifikat kann aber auch vor der Email-Nachricht erneuert werden. So die Aussagen auf der QTS 4.3 World Tour.


    Jede Zertifikateinrichtung bedarf einer Authentifizierungsprüfung. Das heißt, dass der Zertifikatsaussteller überprüfen muss, ob derjenige der das Zertifikat beantragt auch dazu berechtigt ist. Lets Encrypt überprüft dazu bei der Einrichtung und bei jeder Erneuerung, ob das Nas mit der Domäne-Adresse über Port 80 erreichbar ist. Es muss im Router eine Weiterleitung von Port 80 auf die interne IP-Adresse der Nas eingerichtet sein. Wenn UPnP in Router und Nas aktivert ist, erstellt sich die Nas die Freigabe automatisch selber. Es ist aber empfehlenswert als Admin die Übersicht über die Freigaben zu halten und diese Aufgabe der Nas nicht zu überlassen. UPnP im Router also nicht zu aktivieren. Grundsätzlich gilt aus Sicherheitsgründen auch weiterhin, dass nur die Ports am Router geöffnet sein sollen, die unbedingt benötigt werden. Sofern man keine anderen Webdienste nutzt, über die die Nas über Port 80 im Internet erreichbar sein muss, empfiehlt es sich, den Port 80 nur kurzfristig für die Zertifikatserstellung bzw. -erneuerung zu öffnen und dnanach wieder zu schließen.


    Wenn du magst, kannst du den Textblock gerne 1:1 übernehmen.


    Gruß Dirk

  • Keine Ursache.


    Die Frage, ob die Nas sich denn nicht das Zertifikat automatisch verlängern könnte, wurde übrigens auf der World Tour auch gestellt. Dies ist wohl nach den Regeln von Let´s Encrypt nicht erlaubt/erwünscht und wird von QNAP deshalb nicht umgesetzt werden. Ich kann mir aber vorstellen, dass uns über kurz oder lang über den Club App Store eine entsprechende Funktion zur Verfügung steht.

  • Solange die Benachrichtigung per Mail funktioniert, ist es auch nicht notwendig. Es sollte ja im Interesse der Benutzer bleiben, sich um die Verlängerung des SSL Zertifikates zu kümmern. Ein simpler Kalendereintrag im Smartphone tut es auch :)

    Einmal editiert, zuletzt von lukasp ()

  • Eine Frage habe ich dazu.


    Kann ich auch den DNS Eintrag von myqnapcloud nehmen?!


    Oder brauche ich z.B. einen bei dyndns?!


    Vielen Dank.

  • Wenn ich mich mal traue die BETA zu installieren, dann prüfe ich das mal ;) Möchte aber ungern mein Produktiv-NAS dafür nutzen :)


    Danke aber trotzdem für eure Antworten!

  • Ich habe es bei mir ausprobiert und es klappt mit der myqnapcloud ohne Probleme, sie wird sogar selbst bei der Einrichtung vorgeschlagen. Anfangs hatte ich Probleme bei der Aktivierung, sie schlug immer fehl mit der Meldung, dass der Port 80 nicht offen sei. Nachdem ich dann den Webserver auf Port 80 und die Anmeldung auch über http erlaubt habe und nicht wie oben beschrieben über Sicherheit das Let's encrypt Zertifikat erneuert habe sondern über die APP myQNAPcloud funktionierte dann alles.

  • Hallo, wenn ich das wie oben beschrieben mache kommt direkt bei mir:


    Code
    "Authentifizierung fehlgeschlagen. Bitte prüfen Sie den DNS-Server oder schauen Sie nach, ob Port 80 funktioniert."


    Und nu? :) bei 192.168.178.20:80 komm ich aufs interface, die Firtz leitet 80 an 80 meiner QNAP weiter..


    MFG

  • Habe es eben getestet:


    Port 80 Weiterleitung an die IP-Adresse der QNAP, der Webserver auf der QNAP läuft auf Port 80.
    Konnte mein Zertifikat ohne Probleme erneuern.


    Grüße,
    Lukas

  • Habe schon mitbekommen, dass du deine QNAP resetten willst. Wäre cool, wenn du nach der neuen Initialisierung berichten könntest, ob es mit dem SSL Zertifikat geklappt hat.