https Zertifikat mit Let's Encrypt für die DiskStation einrichten
Im vorigen Post habe ich berichtet, wie man die DiskStation aus dem Internet erreichbar macht. Das wollen wir aber nur auf sichere Weise zulassen, also fehlt uns noch ein Zertifikat für die DiskStation, damit das ganze funktioniert.
Let's Encrypt ist ein Konsortium, das es sich zur Aufgabe gemacht hat, kostenfreie Zertifikate zur Verfügung zu stellen, um möglichst viel Kommunikation im Internet gesichert laufen lassen zu können. Dafür bedanken wir uns und nutzen ein solches Zertifikat für den sicheren Zugriff auf unser eigenes NAS aus dem Internet heraus. Die Zertifikate kosten nämlich anderswo einiges an Geld und aus dem Internet heraus heißt es ja schon, wenn man mittels der Handy-App DS Cam über das Mobilfunknetz auf die Home Security-Kameras zugreift.
Im Synology DSM wechseln wir also wieder in "Systemsteuerung/Sicherheit", auf den Reiter "Zertifikat". Hier auf "Hinzufügen" klicken, um ein neues Zertifikat von Let's Encrypt zu beantragen.
Im zweiten Schritt wählen wir "Zertifikat von Let's Encrypt abrufen" und legen dieses mittels Checkbox als das Standardzertifikat für die DiskStation fest:
Danach gibt man seinen Domain-Namen ein. Wenn wir dem Beispiel aus dem vorigen Blogpost folgen, wäre das "einen-namen.duckdns.org".
Bei der E-Mail sollte man unbedingt eine E-mailadresse angeben, unter der man erreichbar ist. Let's Encrypt Zertifikate haben eine limitierte Gültigkeitsdauer von d.Zt. 90 Tagen. Vor Ablauf dieser Frist muss das Zertifikat erneuert werden, damit danach noch alles funktioniert. An die in diesem Schritt angegebene E-Mailadresse werden rechtzeitig vor erreichen der Gültigkeitsdauer Erinnerungsmails geschickt, so dass man nicht unerwartet auf dem Trockenen sitzt.
Übrigens, seit ca. Juli 2017 muss man nicht mehr in den Einstellungen der App "MJPEG Streaming erzwingen" setzen. Das war zumindest für mich auf einem Nexus 5x vorher zwingend notwendig. MJPEG ist aber kein Format, das man für einen kompakten Stream nutzen will. Erfreulicherweise hat das auch Synology inzwischen gemerkt.
Let's Encrypt ist ein Konsortium, das es sich zur Aufgabe gemacht hat, kostenfreie Zertifikate zur Verfügung zu stellen, um möglichst viel Kommunikation im Internet gesichert laufen lassen zu können. Dafür bedanken wir uns und nutzen ein solches Zertifikat für den sicheren Zugriff auf unser eigenes NAS aus dem Internet heraus. Die Zertifikate kosten nämlich anderswo einiges an Geld und aus dem Internet heraus heißt es ja schon, wenn man mittels der Handy-App DS Cam über das Mobilfunknetz auf die Home Security-Kameras zugreift.
Im Synology DSM wechseln wir also wieder in "Systemsteuerung/Sicherheit", auf den Reiter "Zertifikat". Hier auf "Hinzufügen" klicken, um ein neues Zertifikat von Let's Encrypt zu beantragen.
Danach gibt man seinen Domain-Namen ein. Wenn wir dem Beispiel aus dem vorigen Blogpost folgen, wäre das "einen-namen.duckdns.org".
Bei der E-Mail sollte man unbedingt eine E-mailadresse angeben, unter der man erreichbar ist. Let's Encrypt Zertifikate haben eine limitierte Gültigkeitsdauer von d.Zt. 90 Tagen. Vor Ablauf dieser Frist muss das Zertifikat erneuert werden, damit danach noch alles funktioniert. An die in diesem Schritt angegebene E-Mailadresse werden rechtzeitig vor erreichen der Gültigkeitsdauer Erinnerungsmails geschickt, so dass man nicht unerwartet auf dem Trockenen sitzt.
Mit "Übernehmen" wird das Zertifikat jetzt automatisch von der DiskStation importiert und installiert. Wir können es jetzt erstmals wagen und die DiskStation mittels https aufrufen:
https://einen-namen.duckdns.org:54321
Sofern wir das Portforwarding aus dem vorigen Blogpost erfolgreich eingerichtet haben, sollte uns dieser Aufruf im Browser die Login-Seite der DiskStation anzeigen. Abgesichert über https und ohne Warnmeldung des Browsers, wie es bei selbsterstellten Zertifikaten der Fall ist.
Auch DS Cam kann man jetzt über https nutzen: Auf der Login-Seite den Haken bei "HTTPS" setzen und in das oberste Feld ebenfalls schreiben
https://einen-namen.duckdns.org:54321
Falls wir das Portforwarding nicht eingerichtet haben, schreibt man statt :54321 einfach :5001 in den Browser. DS Cam ruft automatisch den Standard-Port 5001 auf, sodass wir den Doppelpunkt mit folgendem Standard-Port in der App einfach weglassen können.
Es hat inzwischen hoffentlich auch jeder mitbekommen, dass der Standard-Client für die Surveillance Station nicht mehr der Browser ist. Sondern vielmehr ein eigener Client, der dann natürlich auch über https erreichbar ist (sofern man das im LAN denn machen möchte). Herunterladbar z.B. von dieser Seite (unten).
Tipp: Wenn die Gültigkeit des Zertifikats abläuft, erneuert man es mit genau dem oben beschriebenen Prozedere - nur, dass man in Schritt 1 "Vorhandenes Zertifikat ersetzen" wählt.
Anmerkungen
Leider hat es Synology in der Vergangenheit immer wieder geschafft, dass irgendwas in DS Cam nicht funktionierte. Auch wenn der Zugriff über HTTPS bereits bestens funktionierte - als eines Tages das Let's Encrypt Zertifikat erneuert werden musste, war es damit vorbei. Dann klappte auf einmal der Login nicht mehr. Erst eine Deinstallation der App auf dem Handy und eine folgende Neuinstallation ließen die Dinge wieder rund laufen. Inzwischen gibt es schon eine neuere Version von DS Cam, wo dieser Bug hoffentlich behoben wurde. Falls nicht und nach einem erneuerten Zertifikat geht nichts mehr - die App neu installieren könnte helfen.Übrigens, seit ca. Juli 2017 muss man nicht mehr in den Einstellungen der App "MJPEG Streaming erzwingen" setzen. Das war zumindest für mich auf einem Nexus 5x vorher zwingend notwendig. MJPEG ist aber kein Format, das man für einen kompakten Stream nutzen will. Erfreulicherweise hat das auch Synology inzwischen gemerkt.
Kommentare
Kommentar veröffentlichen