#
  • Home
  • Service
    • NAS Installation
    • Backup Strategien
    • Fernzugriff & VPN
    • Drive Server / Collaboration
    • Mobile Apps
    • Mail Server
    • Virtualisierung
    • Individuelle Lösungen
  • Blog
    • NAS Server als Exchange Ersatz
    • Single Point of Failure bei Backups vermeiden
    • Synology DSM Zertifikatfehler
    • DSM 7.1 inkompatibles Partitionslayout
  • Kontakt
  • Shop
    • Mein Konto
    • Warenkorb
    • Kasse
    • Wunschliste
    • Log In
0,00 € Cart

NAS-Central Blog

Lösungen für NAS Systeme

Startseite / Allgemein / Synology DSM Zertifikatfehler – Verbindung fehlgeschlagen, Zertifikat abgelaufen oder ungültig
  • Allgemein, Backup, System

Synology DSM Zertifikatfehler – Verbindung fehlgeschlagen, Zertifikat abgelaufen oder ungültig

Seit DSM 4.2 war es möglich, selbst signierte Zertifikate im DSM zu hinterlegen. Diese Funktionalität wurde mit DSM 7 abgeschafft. Gleichzeit ist das Standard Zertifikat nur noch ein Jahr lang gültig und erneuert sich automatisch. 

Was zur Verbesserung der Sicherheit gut gemeint ist hat in der Praxis häufig unerwünschte Nebeneffekte. Im schlimmsten Fall wird das Gegenteil erreicht, wenn beispielsweise Backups unbemerkt nicht mehr laufen oder VPN Verbindungen plötzlich nicht mehr aufgebaut werden können.

Durch die kurze Zertifikatsgültigkeit in DSM 7 können Backups und VPN Verbindungen unbemerkt ausfallen. Über die DSM Oberfläche sind diese Fehler nicht zu beheben, doch es gibt Lösungen.

DSM 7 Standardzertifikat nur noch ein Jahr gültig

Nach der Installation von DSM 7 ist das Standardzertifikat nur noch ein Jahr gültig

DSM am 08.11.2022 installiert

Am 09.11.2023 wir der DSM das Zertifikat austauschen wodurch der DSM die Vertrauensstellung an zahlreichen Stellen verliert.

Zuordnung von Zertifikaten

In den Sicherheitseinstellungen ist jedem Dienst, der mit einem anderen Gerät oder Dienst kommuniziert, ein Zertifikat zugewiesen.

Wird das Zertifikat getauscht hat dies zur Folge, dass die Gegenstelle das neue Zertifikat nicht kennt und diesem somit nicht vertraut. Das Zertifikat muss erneut bekannt gemacht werden, was nur an der Gegenstelle selbst erfolgen kann.

Ausfall der VPN Verbindung durch Tausch des Zertifikats

Wird das Zertifikat des VPN Servers getauscht können Clients keine Verbindung mehr aufbauen, bis ihnen das neue Zertifikat bekannt gemacht wurde. Hierzu benötigt man Zugriff auf den Server um das Zertifikat runter zu landen und auf den Client, um das Zertifikat zu installieren.

  • Ohne funktionierendes VPN hat man in der Regel nur Zugriff auf eine Seite. Ohne zweite Person auf der Gegenseite ist das Problem häufig nicht zu beheben.
  • Wird das VPN für Systemanwendungen wie beispielsweise Backups genutzt, so fällt das Backup u.U. unbemerkt aus.
  • Sind viele Clients an den VPN Server angebunden und wird das neue Zertifikat über unsichere Wege wie z.B. Email verteilt bringt der Zertifikatstausch eher einen Sicherheitsverlust als einen Gewinn.

Der Active Backup for Business Agent führt keine Backups mehr aus

Wird das Zertifikat für Active Backup for Business vom NAS getauscht, weil es ungültig geworden ist, so stellt der Agent – ohne, dass es eine Warnung geben würde – die Erstellung der Backups ein.

Um die Backups wieder aufzunehmen muss manuell auf jedem Client das neue Zertifikat bestätigt werden. Leider gibt es keine Möglichkeit, das neue Zertifikat über ein Active Directory auszurollen. Zertifikate im Zertifikatestore werden vom  Agenten nicht berücksichtigt.

Die Lösung des Problems: Eine längere Gültigkeit der Zertifikate

Was in der Theorie gut gemeint ist führt in der Praxis zu teils erheblichen Problemen, die teils nur aufwendig zu beheben sind. Fällt ein Backup durch ein Zertifikatstausch unbemerkt aus, ist dies absolut kontraproduktiv.

Grundsätzlich ist eine längere Zertifikatsgültigkeit im Intranet unkritisch. Dass ein Zertifikatstausch bei Active Backup for Business nicht so ohne weiteres möglich ist, scheint auch dem Hersteller bekannt zu sein, denn bei neueren Installationen wird für Active Backup for Busines ein Zertifikat mit zehn Jahren Gültigkeit eingerichtet.

 

Wie die Gültigkeit des Synolgoy Standardzertifikats verlängern?

Die Gültigkeit eines bestehenden Zertifikats kann nicht verlängert werden. Damit Probleme wie oben beschrieben nicht auftreten kann ein sog. self-signed Zertifikat installiert werden, bei dem  die Gültigkeit vorgeben werden kann.

Leider gibt es seit DSM 7 keine Möglichkeit mehr, ein solches Zertifikat über die Oberfläche zu erzeugen.

Self signed Zertifikat im Terminal erzeugen

Auf jedem Synology NAS kann das Terminal freigegeben werden. Folgender Befehl erzeugt ein selbst signierte Zertifikat mit 10 Jahren Gültigkeit.

				
					openssl req -x509 \
            -sha256 -days 3560 \
            -nodes \
            -newkey rsa:8192 \
            -subj "/CN=server.tld /C=DE/L=Stadt" \
            -keyout rootCA.key -out rootCA.crt 
				
			

Über die Option „Neues Zertifikat hinzufügen“ kann dieses Zertifikat eingespielt werden.

Zusammenfassung

Die kurzen Zertifikatsgültigkeiten unter DSM 7 können zu erheblichen Problemen führen, wenn Zertifikate ablaufen und automatisch getauscht werden. Bevor Dienste produktiv genutzt werden sollten die jeweils verwendeten Zertifikate geprüft werden. So werden böse Überraschungen vermieden, wenn Zertifikate unerwartet ungültig werden.

Darüber hinaus sollten generell wichtige Anwendungen und Prozesse wie beispielsweise Backups durch ein Monitoring überwacht werden. Ereignisse, die über den DSM selbst nicht überwacht werden können, können über andere Techniken, wie z.B. SNMP oder ein Missing Positive Monitoring überwacht werden.

Wir bieten fertige Monitoring-Konzepte für nahezu jede Anwendung, In-House oder extern über unseren Monitoring Server. Unser Monitoring arbeitet aktiv, d.h. es müssen keinerlei Ports von außen geöffnet werden und es gibt keinerlei externe Zugriffe auf das NAS.

Schreiben sie uns

Kontakt

für alle Anfragen

    Kontaktinformation

    • Nas-Central
    • Alzenachstr. 14, 54294 Trier
    • Email: info@nas-central.de
    • Telefon: +49 (0)651 9949 700
    • www.nas-central.de
    • Tags: Backup, Zeretifikate
    PrevVorheriger
    NächsterNext
    Weitere Beiträge
    Allgemein, Backup, System

    Synology DSM 7.1 Fehler: Das Layout der Systempartitionen ist inkompatibel

    Allgemein, Backup, System

    Synology DSM Zertifikatfehler – Verbindung fehlgeschlagen, Zertifikat abgelaufen oder ungültig

    Backup

    Single Point of Failure bei Backups vermeiden

    Kategorien
    • Allgemein (2)
    • Backup (3)
    • Collaboration (1)
    • System (2)
    Schlagwörter
    Adressbuch Backup Kalender Mail Zeretifikate

    NAS Lösungen für jede Anwendung

    Bitte kontaktieren sie uns

    Kontakt
    #

    Über 25 Jahre IT Management mit dem Anspruch, die besten Lösungen anzubieten.

    • +49 (0) 651 9949 700
    • info@nas-central.de
    • Alzenachstr. 14, 54294 Trier, Deutschland

    NAVIGATION

    • Home
    • Services
    • Blog
    • Shop
    • Kontakt
    • Impressum

    INFORMATION

    • Bezahlung
    • Versand
    • Widerrufsrecht
    • Datenschutz
    • Service Bedingungen
    • AGB

    BLOG BEITRÄGE

    Nov 20, 2020

    NAS Server als Exchange Ersatz

    Mrz 10, 2021

    Single Point of Failure bei Backups vermeiden

    Copyright © NAS-Central 2021

    * Alle Preise inkl. Mwst. zzgl .Versandkosten

    Cookie-Zustimmung verwalten
    Wir verwenden Cookies, um unsere Website und unseren Service zu optimieren.
    Funktional Always active
    Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
    Vorlieben
    Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
    Statistiken
    Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt. Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
    Marketing
    Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
    Manage options Manage services Manage vendors Read more about these purposes
    Einstellungen anzeigen
    {title} {title} {title}
    • Home
    • Service
      • NAS Installation
      • Backup Strategien
      • Fernzugriff & VPN
      • Drive Server / Collaboration
      • Mobile Apps
      • Mail Server
      • Virtualisierung
      • Individuelle Lösungen
    • Blog
      • NAS Server als Exchange Ersatz
      • Single Point of Failure bei Backups vermeiden
      • Synology DSM Zertifikatfehler
      • DSM 7.1 inkompatibles Partitionslayout
    • Kontakt
    • Shop
      • Mein Konto
      • Warenkorb
      • Kasse
      • Wunschliste
      • Log In

    Telefon: 0651 9949 700

    Was suchen sie?