In diesem konkreten Beispiel geht es um eine Synology RS812 mit DSM 4.0 und einem Commodo SSL Zertifikat.
Falls Du für deine Synology ein eigenes Zertifikat generieren möchtest, verweise ich Dich auf diese offizielle Anleitung.
Falls Du erst ein SSL Zertifikat kaufen willst, gibt es verschiedene günstige möglichkeiten.
- namecheap.com (ab 8.95$ / Jahr)
- startssl (class1 ssl gratis)
- rapidssl.com (ab 49$ / Jahr)
Schritt 1:
Verbindung via SSH mit der Synology herstellen (Anleitung)
Schritt 2:
Erstellen eines temp Verzeichnisses und wechseln in dieses:
mkdir /usr/local/ssl/
cd /usr/local/ssl/
falls diese fehlermeldung erscheint:
mkdir: can’t create directory ‘/usr/local/ssl/’: File exists
- diese einfach ignorieren. das bedeutet nur das dieses verzeichnis bereits existiert, was gut ist.
Schritt 3:
Generieren eines certificate authority keys:
openssl genrsa -des3 -out ca.key 2048
Achtung, falls diese Fehlermeldung erscheint:
WARNING: can’t open config file: /usr/syno/ssl/openssl.cnf
Dann musst Du zuerst diesen Code ausführen. (herunterladen einer default config für openssl)
cd /usr/syno
mkdir ssl
cd ssl
wget http://123adm.free.fr/home/pages/documents/syno-cert_fichiers/openssl.cnf
cd /usr/local/ssl/
danach Schritt 3 nochmals starten.
Jetzt werdet ihr gefragt:
Enter pass phrase for ca.key:
hier einfach 1234 eingeben, dann enter drücken
dann nochmals 1234 eingeben, dann enter drücken
(dies ist die sicherung des private key’s, normalerweise sollte man hier ein sicheres passwort eingeben, in unserem fall spielt das gerade keine rolle, da die synology einen unverschlüsseltes key file braucht später!)
nun generieren wir das key certifikat:
openssl req -new -key ca.key -out ca.csr
hier werden wir wieder nach dem passwort gefragt, wir geben 1234 und enter ein
danach kommen wichtige informationen für das zertifikat.
sehr wichtig ist, dass bei Common Name (eg, YOUR name) der domainname rein gehört!
bei dem punkt A challenge password []: sollte ein sicheres passwort eingetragen werden, dieses sollte man sich aufschreiben. (in eine textdatei posten)
nun generieren wir endlich das zwischenzertifikat, das wir benötigen um überhaupt an ein zertifikat zu bestellen.
openssl x509 -days 3650 -signkey ca.key -in ca.csr -req -out ca.crt
man wird wieder nach dem passwort gefragt, wir tippen wieder unser 1234 und enter ein
nun haben wir endlich unser file:
jetzt geben wir folgendes ein:
vi ca.csr
nun erscheint unser CERTIFICATE REQUEST textblock, dieser sieht etwa so aus:
—–BEGIN CERTIFICATE REQUEST—–
MIIC/jCCAeYCAQkHMQYTBGFmZmUwDQYJKoZIhvcNAQEFBQADggEBABvI6/HCnm6Hf53EUcTg
Fw97N01gXh/jOW0A7qXLAeTFcDo3oNmOii/a8R8Gr4Zime6y3Bbhut3XAYWLHZdW
l+eOBHHKcR70i7pbfFqTWECMajjoXOseubmFtZS5jb20xIzAhBgkqhkiG9w0BCQEWFGFkbWluQGRv
bWFpbm5hbWUuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzMkb
W+IxEEG9KtOhMQKwCT/V6ZNi/1qr6mWg6VQa88ODlC84/FMOIdzFeGEIrvc8nL8X
cKvyJMADAKdgSw5WRIjj und noch mehr 
—–END CERTIFICATE REQUEST—–
kopiere nun den ganzen text und füge ihn bei deinem Zertifikatsanbieter in das CSR Feld ein.
TIPP: Falls der Anbieter eine Liste bereitstellt von Anwendungszwecken, wähle dort Apache / OpenSSL aus
danach verlassen wir vi wieder in dem wir eingeben:
:q!
und danach enter drücken
Schritt 4
damit die synology das key file annimmt, muss man das key file wieder entschlüsseln:
openssl rsa -in ca.key -out ca_synology.key
danach wieder das ‘passwort’ 1234 eingeben (Enter pass phrase for ca.key:)
Schritt 5
Voraussetzungen:
- Wir haben das entschlüsselte file mit dem namen
- Wir sind im Besitz von dem Zertifikatsfile von unserem Anbieter (zb commodo)
a) Einloggen auf die Synology DSM Oberfläche.
b) Systemsteuerung -> DSM Einstellungen -> HTTP-Dienst öffnen
c) Auf ‘Zertifikat importieren’ klicken und das Zertifikate und das Key File hochladen
d) zu Systemsteuerung -> Webdienste -> HTTP-Dienst wechseln
e) ein Häckchen setzen bei HTTPS-Verbindung für Webdienste aktivieren
So hat es bei mir funktioniert.
Quellen:
- verschlüsselter key problem synology
- Problem mit der fehlenden openssl.cnf beheben
- Synology Wiki SSL Zertifikate
