Synology HowTo

Let’s Encrypt SSL-Zertifikat für Synology

Home
Schreibe einen Kommentar

Let’s Encrypt Zertifikat Erstellen

Let’s Encrypt Zertifikate mit einfacher Bereitstellung und Anwendung für Synology DSM.

Die Vorteile von Let’s Encrypt Zertifikate sind, dass sie automatisiert sind, eine kurze Lebensdauer von 90 Tage haben, und dass sie völlig KOSTENLOS sind!

Let’s Encrypt ist eine offene Zertifizierungsstelle (Certificate Authority, CA), und eine Dienstleistung der Internet Security Research Group (ISRG).

https

Eine Kurzanleitung zur Installation von Let’s Encrypt SSL auf einer Synology DiskStation oder RackStation.

Voraussetzungen bevor es los geht

  • Ein eigener Domain-Name wie zB. MaxMusterBilder.ch wird vorausgesetzt.
  • Der DDNS-Dienst von Synology kann hilfreich sein und die Nutzung ist kostenlos.
  • Ein CNAME-DNS Eintrag bei einem DNS Registrator, um Anfragen an den DDNS-Dienst weiterzuleiten.
  • Aktivieren der Weiterleitung von Port 80 auf dem Router zum NAS, Let’s Encrypt benötigt zur Validierung den HTTP Zugang, ohne wird es nicht funktionieren.

Let's Encrypt ZertifikatLet’s Encrypt SSL auf Synology NAS Installieren

Anmelden zum NAS und im DSM navigieren zu: Systemsteuerung> Sicherheit> Zertifikat – und auf Hinzufügen klicken.

Synology Systemsteuerung Sicherheit Zertifikat

Wähle Neues Zertifikat hinzufügen.

Synology Zertifikat erstellen

Wähle Zertifikat von Let’s Encrypt abrufen, und aktiviere, Als Standardzertifikat festlegen.

Auf Synology ein Let's Encrypt Zertifikat erstellen

Gib nun abschließend dein Domainname und deine E-Mail-Adresse ein und wähle Übernehmen.

Synology Let's Encrypt Zertifikat abrufen

Von nun an erhält dein Synology NAS das Let’s Encrypt SSL-Zertifikat und startet die Webdienste automatisch neu. Jetzt kannst Du mit https://nas.maxmusterbilder.ch verschlüsselt auf die Webseiten auf dem NAS zugreifen. Alle 90 Tage erneuert das Synology NAS das Let’s Encrypt SSL-Zertifikat automatisch.

Möchte man mehrere SSL-Zertifikate nutzen, ist es möglich die Zertifikate über den Button Konfigurieren zu verwalten.

Synology Let's Encrypt Zertifikat Konfigurieren

Die Synology Web Station sollte natürlich für Web Projekte zuvor installiert sein.

Quellen Links:  letsencrypt.org  Synology DSM Zertifikate verwalten

Workaround

FortiClient ssl-vpn Failed

Home
Schreibe einen Kommentar

Failed to establish the VPN connection. This may be caused by a mismatch in the TLS version. Please check the TLS version settings in the Advanced of the Internet options. (-5029)

Beim FortiClient kann der aufbau einer SSL-VPN Verbindung zur FortiGate folgende Warnung ausgeben.

Symptom

Failed to establish the VPN connection. This may be caused by a mismatch in the TLS version. Please check the TLS version settings in the Advanced of the Internet options.

Ursache

Das mittlerweile veraltete kryptografische Protokoll TLS 1.0 ist ab FortiOS 6.0 per default nicht mehr aktiviert. Es wird empfohlen mindestens TLS 1.1 (Cipher Suites) für Authentifizierung und Datenverschlüsselung zu verwenden. Wir sind derzeit bei TLS 1.3, das von der IETF (Internet Engineering Task Force) genehmigt wurde.

Lösung

Möchte man ältere Clients weiter verwenden, die man im Verlauf einer Migration über Update Rollout erst später mit TLS 1.2 oder höher einsatzbereit hat, kann auf der FortiGate das TLS 1.0 aktiviert werden.

Überprüfen der aktuellen TLS Einstellung, aus der FortiGate Console mit CLI Command:

FG60E # get vpn ssl settings | grep tls
tlsv1-0             : disable
tlsv1-1             : enable
tlsv1-2             : enable
dtls-hello-timeout  : 10
dtls-tunnel         : enable

Im CLI die Cipher Suite TLS 1.0 aktivieren.

config vpn ssl settings
set tlsv1-0 enable

Auch kann beim Client die TLS Version aus dem Microsoft Windows Snapin (inetcpl.cpl) Internetoptionen angepasst werden.

Windows-Logo + R

Win + R und der Eingabe von inetcpl.cpl

inetcpl.cpl ausführen

Bei Internetoptionen im Registerabschnitt Erweitert die TLS Version 1.0 aktivieren.

Internetoptionen Erweitert TLS 1.0 verwenden

Weitere Problemlösungen

Bei älteren Windows Versionen, oder bei Router mit PPPoE Internet Anbindung, können Fehler beim aufbau von SSL-VPN Verbindungen wie folgt behoben werden.

Es erscheint im FortiClient die Fehlermeldung:

Unable to establish the VPN connection. The VPN server may be unreachable (-5)

Dazu überprüft man die MTU grösse der Netzwerkschnittstellen, mit folgendem Befehl aus einer geöffneten Eingabeaufforderung 

netsh interface ipv4 show subinterface

Die Ausgabe kann in etwa wie folgt aussehen:

C:\> netsh interface ipv4 show subinterface

   MTU  Medienerkennungsstatus   Bytes eingehend  Bytes ausgehend  Schnittstelle
------  ---------------  ---------  ---------  -------------
  1500                5          0          0  Ethernet
  1500                1  598892209   19487894  WiFi
  1500                5          0          0  Mobilfunk
  1500                1       5248     144442  VMware Network Adapter VMnet1
  1500                5          0          0  LAN-Verbindung* 1
  1500                1          0     134436  VMware Network Adapter VMnet8
  1500                5          0          0  LAN-Verbindung* 5
4294967295                1          0      67869  Loopback Pseudo-Interface 1
  1500                5          0          0  Bluetooth-Netzwerkverbindung
  1500                5          0          0  Ethernet 3

Die MTU Size überprüfen und ggf. auf 1400 anpassen. In einer als Administrator geöffneten Eingabeaufforderung, mit ausführen von netsh.

netsh interface ip4 set subinterface Ethernet mtu=1400 store=persistent

Alternativ dazu Regedit aufrufen und zu folgendem Schlüssel navigieren.

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces

unter dem entsprechenden Interface mit der passenden IP Adresse, hier {222e135b-d09c-47a3-9236-63a041a02ea6} den Schlüssel MTU mit Wert 578 Hexadecimal ändern.

Regedit Interface mit der passenden IP Adresse

Nach einem Computer neustart kann die SSL-VPN Verbindung aufgebaut werden.