Zertifikat
Ein Zertifikat kann verwendet werden, um SSL-Dienste des DiskStation zu sichern, z. B. Web (alle HTTPS Dienste), E-Mail oder FTP. Der Besitz eines Zertifikats ermöglicht es Benutzern, die Identität eines Servers und des Administrators zu validieren, bevor vertrauliche Informationen gesendet werden.
Unter Systemsteuerung > Sicherheit > Zertifikat können Sie Folgendes tun:
- Zertifikate von Let's Encrypt abrufen.
- Selbst signierte Zertifikate erstellen.
- Zertifikatsignierungsanforderungen für andere Zertifizierungsstellen erstellen.
- Die Zertifikatsignierungsanforderungen anderer signieren.
- Zertifikate auf dem DiskStation verwalten.
Anmerkung:
- Ab DSM 6.0 können Sie mehrere Zertifikate erstellen und zum DiskStation importieren.
- Wenn Sie bei Als Standardzertifikat festlegen ein Häkchen setzen, wird das derzeit bearbeitete Zertifikat als Standardzertifikat verwendet. Das ursprüngliche Standardzertifikat verliert seinen Standard-Status.
Zertifikate von Let's Encrypt
Zertifikate von Let's Encrypt erhalten:
Von der offenen und vertrauenswürdigen Zertifizierungsstelle Let's Encrypt können Sie automatisch kostenlose und sichere SSL/TLS-Zertifikate abrufen.
- Klicken Sie auf Hinzufügen.
- Wählen Sie Neues Zertifikat hinzufügen aus und klicken Sie auf Weiter.
- Wählen Sie Zertifikat von Let's Encrypt abrufen aus.
- Geben Sie die folgenden Informationen ein:
- Klicken Sie auf Übernehmen, um die Einstellungen zu speichern. Nach der Bestätigung wird das Zertifikat sofort in Ihr DiskStation importiert.
Anmerkung:
- Sie können bei Let's Encrypt Zertifikate nur mit einer begrenzten Anzahl von E-Mail-Konten beantragen. Ist die Höchstzahl überschritten, verwenden Sie ein bereits registriertes E-Mail-Konto, um weitere Zertifikate abzurufen.
- Sie können bei Let's Encrypt pro Domain nur eine begrenzte Anzahl von Zertifikaten beantragen. Wenn das Limit überschritten wurde, haben Sie folgende Möglichkeiten:
- Geben Sie den aktuellen Domainnamen als Betreff alternativer Name (SAN) ein und verwenden Sie einen anderen Domainnamen für die Zertifikatsanfrage.
- Geben Sie
*.SYNOLOGY_DDNS_DOMAIN_NAME
als SAN ein, um ein Wildcard-Zertifikat zu beantragen.
- Bevor die Zertifikate für Ihre Domains ausgestellt werden, führt Let's Encrypt eine Domainüberprüfung durch. Bitte stellen Sie sicher, dass auf Ihrem DiskStation und Ihrem Router Port 80 für die Domainüberprüfung aus dem Internet geöffnet ist. Jegliche sonstige Netzwerkkommunikation mit Let's Encrypt erfolgt zum Schutz Ihres DiskStation über HTTPS.
- Von Let's Encrypt ausgestellte Zertifikate sind 90 Tage lang gültig. Bevor die Zertifikate ablaufen, erneuert DSM sie nach erfolgreicher Domainüberprüfung automatisch. Bitte stellen Sie sicher, dass auf Ihrem DiskStation und Ihrem Router Port 80 für die Erneuerung des Zertifikats geöffnet ist.
- Wildcard-Zertifikate werden nur für Synology DDNS unterstützt.
Selbst unterzeichnete Zertifikate
Ein selbst signiertes Zertifikat ist ein Zertifikat, das von der Stelle erstellt und signiert wird, deren Identität es zertifiziert (in diesem Fall das DiskStation). Selbst unterzeichnete Zertifikate werden mit dem vom DiskStation erzeugten privaten Schlüssel unterzeichnet. Da selbst unterzeichnete Zertifikate nicht von Drittstellen ausgegeben werden, bieten sie weniger Beweiskraft über die Identität des Servers und werden normalerweise nur für sichere Kanäle zwischen dem Server und einer Gruppe von bekannten Benutzern verwendet.
Selbst signierte Zertifikate erstellen:
- Klicken Sie auf Hinzufügen.
- Wählen Sie Neues Zertifikat hinzufügen aus und klicken Sie auf Weiter.
- Wählen Sie Selbst signiertes Zertifikat erstellen aus.
- Folgen Sie den Anweisungen des Setup-Assistenten.
Zertifikatsignierungsanforderungen (CSR)
Neben von Let's Encrypt ausgestellten und selbst signierten Zertifikaten können Sie Zertifikate auch bei anderen kommerziellen und Drittanbieter-Zertifizierungsstellen beantragen. Um ein Zertifikat zu erhalten, müssen Sie möglicherweise wie folgt vorgehen:
- Zertifikatsignierungsanforderung (CSR) erstellen: Ein vom DiskStation erzeugter verschlüsselter Text, der Informationen enthält, die in Ihr Zertifikat aufgenommen werden, z. B. der Domainname, der Name des Unternehmens, der allgemeine Standort und die E-Mail-Adresse.
- Identifizieren Sie sich oder Ihr Unternehmen gegenüber der Zertifizierungsstelle und weisen Sie nach, dass Sie der Besitzer des Domainnamens sind, der in das Feld „Common Name“ der Zertifikatsignierungsanforderung eingegeben wurde.
Zertifikatsignierungsanforderungen erstellen:
- Klicken Sie auf CSR.
- Wählen Sie Zertifikatsignierungsanforderung (CSR) erstellen aus.
- Folgen Sie den Anweisungen des Setup-Assistenten, um die Zertifikatsignierungsanforderung zu erstellen und herunterzuladen.
- Senden Sie die CSR und die erforderlichen Informationen zur Bestätigung an die Zertifizierungsstelle.
Wenn Sie das angeforderte und von der Zertifizierungsstelle ausgestellte Zertifikat erhalten, können Sie es zusammen mit Ihrem privaten Schlüssel importieren.
Anmerkung:
Neben der Zertifikatsignierungsanforderung muss auch ein privater Schlüssel erzeugt werden. Zertifikatsstellen benötigen diesen privaten Schlüssel nicht. Bewahren Sie den privaten Schlüssel für Ihr DiskStation an einem sicheren Ort auf.
Zertifikatsignierungsanforderungen signieren:
Benutzer von anderen Geräten können Zertifikatsignierungsanforderungen senden, um zertifizierten Zugriff auf Ihr DiskStation zu erhalten. Sie können deren Anforderungen unter Verwendung des Root-Zertifikats des DiskStation signieren und die erzeugten Zertifikate an die Absender der Anforderungen übermitteln.
- Klicken Sie auf CSR.
- Klicken Sie auf Zertifikatsignierungsanforderung (CSR) signieren.
- Laden Sie die Zertifikatsignierungsanforderung hoch und geben Sie die entsprechenden Informationen ein.
- Klicken Sie auf Weiter. Das System unterzeichnet die Zertifikatanforderung und erstellt ein entsprechendes Zertifikat.
Zertifikatsmanagement
Zertifikate importieren:
Sie können ein zuvor exportiertes Zertifikat oder ein Zertifikat einer kommerziellen oder Drittanbieter-Zertifizierungsstelle zusammen mit einem privaten Schlüssel importieren, damit Ihr DiskStation für andere Geräte vertrauenswürdig ist.
- Klicken Sie auf Hinzufügen.
- Wählen Sie Neues Zertifikat hinzufügen und Zertifikat importieren aus.
- Befolgen Sie die Anweisungen des Assistenten, um den Zertifikatimport abzuschließen.
Anmerkung:
- Zwischenzertifikate sind für einige von Zertifizierungsstellen ausgegebene Zertifikate optional.
- Die Zertifikate müssen im X.509 PEM-Format vorliegen.
- Private Schlüssel müssen im RSA-Format vorliegen und dürfen nicht kennwortgeschützt sein.
Zertifikate exportieren:
Vorhandene Zertifikate können zur Verwaltung oder Archivierung heruntergeladen werden und können auch auf Geräten anderer Nutzer importiert werden, um Vertrauenswürdigkeit zwischen Ihrem DiskStation und deren Geräten herzustellen. Die exportierte Datei enthält das Zertifikat, den privaten Schlüssel und das selbst unterzeichnete Zertifikat des DiskStation.
- Wählen Sie das gewünschte Zertifikat aus.
- Klicken Sie auf Zertifikat exportieren.
Zertifikate erneuern:
Wenn Ihr Zertifikat bald abläuft, kann es mit dieser Option erneuert werden.
- Klicken Sie auf CSR.
- Wählen Sie Zertifikat erneuern und klicken Sie auf Weiter.
- Laden Sie den erzeugten privaten Schlüssel und die Zertifikatsignierungsanforderung herunter.
- Senden Sie die CSR zur Erneuerung des Zertifikats an die gewünschte Zertifizierungsstelle.
Zertifikate ersetzen:
Wenn Sie keine vorhandenen Zertifikate verwenden möchten, können Sie sie durch andere Zertifikate ersetzen.
- Klicken Sie auf Hinzufügen.
- Wählen Sie Vorhandenes Zertifikat ersetzen und das unerwünschte Zertifikat aus dem Dropdown-Menü aus.
- Befolgen Sie die Anweisungen des Assistenten, um das Ersetzen des Zertifikats abzuschließen.
Zertifikate bearbeiten:
Sie können die Beschreibung eines Zertifikats bearbeiten oder ein anderes Zertifikat als Standardzertifikat festlegen.
- Wählen Sie das gewünschte Zertifikat aus.
- Klicken Sie auf Bearbeiten und führen Sie eine der folgenden Maßnahmen durch:
- Ändern Sie die Beschreibung des Zertifikats und klicken Sie auf OK.
- Wählen Sie Als Standardzertifikat festlegen aus, um ihm den Status „Standard“ zuzuweisen, und klicken Sie auf Übernehmen.
Zertifikate konfigurieren:
Bei Bedarf können Sie ein Zertifikat für einen Dienst in ein anderes Zertifikat umwandeln.
- Klicken Sie auf Konfigurieren, um alle Dienste und die entsprechenden Zertifikate anzuzeigen.
- Klicken Sie auf das aktuelle Zertifikat des betreffenden Dienstes.
- Wählen Sie das richtige Zertifikat aus dem Dropdown-Menü aus.
- Klicken Sie auf OK.
Anmerkung:
- Das System-Standardzertifikat wird für Verbindungen angewendet, die nicht in der Liste der Dienste angeführt sind.
Zertifikate löschen:
- Wählen Sie das unerwünschte Zertifikat aus.
- Klicken Sie auf Löschen, um das Zertifikat zu löschen.
Anmerkung:
- Das Standardzertifikat kann nicht gelöscht werden.
- Wenn Sie ein Nicht-Standardzertifikat löschen, werden die entsprechenden Dienste vom Standardzertifikat übernommen. Beachten Sie, dass das Standardzertifikat mit diesen Diensten möglicherweise nicht uneingeschränkt kompatibel ist.
Zertifikate reparieren:
Bei Fehlern bei einem Zertifikat kann nicht mehr auf die Dienste zugegriffen werden, die dieses Zertifikat verwenden. Sie haben folgende Möglichkeiten, um das Zertifikat zu reparieren:
- Beantragen Sie ein neues Zertifikat, etwa bei Let's Encrypt.
- Importieren Sie das Zertifikat erneut.
- Ändern Sie das Zertifikat der Dienste.