Synology: Let’s Encrypt Zertifikate automatisch verlängern

Greift man von extern auf ein NAS von Synology zu, empfiehlt es sich sehr HTTPS zu aktivieren. Mit Hilfe von Let’s Encrypt bekommt man ein kostenloses Zertifikat. Let’s Encrypt ist super, jedoch laufen die Zertifikate nach 90 Tagen aus. Alles kein Problem, da man das automatische Verlängern automatisieren kann. Und normalerweise sollte das ohne zusätzliche Schritte funktionieren. In meinem Fall ist das Zertifikat schon zwei Mal ausgelaufen und es wurde nicht automatisch verlängert. Das Verlängern über die Weboberfläche finde ich sehr umständlich. Deswegen greife ich der Synology ein bisschen unter die Arme und löse das Verlängern des Zertifikates durch eine regelmäßige Aufgabe aus.

In den Systemeinstellungen rufst du den Aufgabenplaner auf. Über Erstellen > Geplante Aufgabe > Benutzerdefiniertes Skript erstellst du eine neue Aufgabe.

Im ersten Tab wird nur der Name der Aufgabe und der Benutzer, unter dem die Aufgabe ausgeführt werden soll, angeben. Beim Benutzer muss root ausgewählt sein.

Unter dem Tab Zeitplan, wird angegeben wie oft die Aufgabe ausgeführt werden soll. In meinem Fall wird jeden Tag um 15 Uhr überprüft, ob die Zertifikate verlängert werden können.

Abschließend wird im letzten Tab der Befehl angegeben, der die Zertifikate verlängert. Wenn man möchte kann man sich noch via Mail benachrichtigen lassen. Das Programm hat standardmäßig keine Ausgabe. Möchte man mehr Informationen per Mail erhalten, muss man den Parameter -v anhängen.

/usr/syno/sbin/syno-letsencrypt renew-all

Beim Ausführen der Aufgabe wird zuvor geprüft ob eine Verlängerung des Zertifikates nötig ist. Erst wenn das Zertifikat kurz vor dem Ablaufen ist, wird es auch wirklich verlängert. Der Port 80 muss auch auf die Synology zeigen, damit die Verlängerung funktioniert.

5 Kommentare zu “Synology: Let’s Encrypt Zertifikate automatisch verlängern

  1. Danke für die Anleitung. Der Port 80 muss doch aber nur bei der Erstellung des Zertlis offen sein und nicht bei der Erneuerung. Muss er offen sein wegen dem Skript. Sicherheitstechnisch finde ich das schlecht

    1. Das kann ich dir gar nicht so genau beantworten. Und ich bekomme die Situation auch nicht nachgestellt, weil ich das Zertifikat erst verlängert habe.

      Sehe das persönlich nicht so kritisch, wenn der Port 80 offen ist. Ist ein Standard-Port wie 443 auch. Ist auch nötig, wenn man non-https auf https umleiten will.

      Du kannst den Port 80 ja mal dicht machen und schauen, ob das Zertifikat trotzdem verlängert wird. Wäre dann auch super, wenn du berichtest.

  2. Hallo zusammen

    Bin wie viele andere auch über das „Erneuerungsproblem“ meines Let’s Encrypt Zertifikat für mein Syno NAS gestolpert…

    Bezüglich Port 80 kann ich bestätigen dass er offen sein muss!
    Habe obiges Script erst nur mit offenem HTTPS Port 443 ausgeführt. Da geschiet nichts.
    Bei zusätzlich geöffnetem HTTP Port 80 wurde nach ca. 10sec das Ablaufdatum meines Zertifikates aktualisiert angezeit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.