Im Rahmen der zunehmenden Digitalisierung unseres Alltags häufen sich immer größere Datenmengen an. Selbst private Haushalte haben einen steigenden Bedarf an Speicherplatz. Allerdings ist es nicht immer nur damit getan, diese Datenmengen, egal ob nun Fotos, Videos aus dem letzten Urlaub oder auch wichtige Dokumente, einfach nur irgendwo ab zu speichern. Gerade Fotos und Videos sollen überall im Haus für jeden zugänglich gemacht werden. Hier haben sich in den letzten Jahren zunehmen NAS Systeme für den privaten Einsatz durchgesetzt. Diese erlauben nicht nur die zentrale Speicherung, sondern bieten dank Streaming Server und allerlei anderer Annehmlichkeiten auch Möglichkeiten diese Daten einfach und schnell auf Fernseher, Tablets oder Mobiltelefonen verfügbar zu machen.
Nun will man aber diese Daten nicht nur im Heimnetz verfügbar haben, sondern auch von unterwegs auf das wichtige Dokument mit der Präsentation zugreifen können. Oder man möchte den Bekannten die Urlaubsfotos der letzten Reise zeigen. Hierfür bieten die gängigen NAS Systeme jede Menge Möglichkeiten. Entscheidend bei all dem ist aber stets, eine sichere Verbindung zum Heimnetz aufzubauen. Nun ließe sich sicherlich auch via VPN eine sichere Tunnel-Verbindung aufbauen, jedoch ist dies für einige Anwendungen einfach zu umständlich. Man greift auf die bewährte Methode des Zugriffs via HTTP mit SSL Verschlüsselung zurück. Und damit man beim Zugriff auf das Heimnetz keine Warnmeldung auf Grund des selbst-signierten SSL Zertifikats mehr erhält, wächst schnell der Wunsch nach einem signierten SSL Zertifikat für die eigene Domain. Diese Anleitung soll zeigen, wie man ein kostenloses SSL Zertifikat für die eigene DynDNS Domain vom Anbieter StartCom erhält und dieses in den Router und das eigene NAS importiert, konkret anhand einer AVM Fritz!Box und einem NAS System des Herstellers Synology.
Als Alternative empfiehlt sich Let’s Encrypt. Eine entsprechende Anleitung, wie man Let’s Encrypt auf dem eigenen NAS und der Fritz!Box einrichtet, habe ich hier veröffentlicht.
Voraussetzungen und benötigtes Werkzeug
Für den sicheren SSL Zugang mit Zertifikat sind folgende Voraussetzungen und Werkzeug nötig:
- Router mit Dyn DNS Funktion und der Möglichkeit, eigene SSL Zertifikate zu importieren. Sämtliche AVM Fritz!Boxen und Router, deren Firmware auf den OpenSource Projekten DD-WRT, OpenWRT oder Tomato basieren, beherrschen dies. Vom ISP bereitgestellte Router, wie etwa die SpeedPort Modelle der Telekom bieten diese Möglichkeiten nicht, oder nur teilweise. Will man lediglich auf die Funktionen des NAS Systems im Heimnetz zugreifen, muss der Router nicht zwingend die Möglichkeit für eigene SSL Zertifikate bieten.
- NAS mit der Möglichkeit, eigene SSL Zertifikate zu importieren. Die Modelle der gängigen Hersteller wie Synology oder QNAP beherrschen dies. Andere, einfachere Modelle wie etwa von Western Digital oder Seagate bieten diese Option nicht. Ein Blick in das Handbuch des eigenen Geräts sollte klären, ob dies unterstützt wird.
- Eine eigene Domain (Also beispielsweise <domainname>.de) mit Dyn DNS Funktion oder fester IP. Sub-Domains von Anbietern wie etwa DynDNS.org funktionieren nicht. Hoster, die DynDNS anbieten, gibt es viele. Eine Liste aller Anbieter findet sich auf Webhostlist.de. Ich persönlich nutze Strato.
- Eine E-Mail Konto der Domain Adresse mit postmaster, hostmaster oder webmaster@<domainname>.<tld>.
- Einen Texteditor, der die Möglichkeit bietet, Dateien im ASCII Format abzuspeichern. Ein kostenloser Editor, der diese Funktion unterstützt, ist Notepad++.
Ist all das gegeben, kann es auch schon losgehen.
Zertifikat von StartCom ausstellen lassen
Als erstes erstellen wir in einigen wenigen Schritten ein Zertifikat vom Anbieter StartCom.
Schritt 1: Registrieren und Erstellen eines persönlichen Zertifikats
Zunächst ist eine Registrierung bei StartCom erforderlich. Im Control Panel findet sich unter dem Punkt Sign Up ein Registrierungsformular. Die hier angegeben Daten müssen zwingend der Wahrheit entsprechen, ansonsten kann StartCom die Ausstellung des Zertifikats verweigern. Idealerweise hinterlegt man hier dieselben Daten, die für die Registratur der Domain benutzt wurden.
Nach dem Absenden des Formulars ist eine Bestätigung erforderlich. Den hierfür benötigten Schlüssel erhält man an die zuvor angegebene E-Mail Adresse. Nun geht es an die Erstellung des persönlichen Zertifikats. Dies wird zur Anmeldung bei StartCom benötigt und ersetzt den Benutzernamen und das Passwort, sollte also gut aufbewahrt werden. Die Voreinstellung Hochgradig belässt man und klickt auf Continue. Der Browser meldet nun eine erfolgreiche Installation eines Persönlichen Zertifikats.
Im nächsten Schritt sichern wir zunächst das soeben installierte Persönliche Zertifikat, um es später – etwa im Falle einer Neu-Installation – wieder zur Verfügung zu haben. Dies unterscheidet sich je nach Browser. Unter Firefox findet sich die entsprechende Option unter Einstellungen, Erweitert, Zertifikate, Zertifikate anzeigen. Das dort unter Ihre Zertifikate hinterlegte Zertifikat markieren und mit Sichern exportieren. Das hinterlegte Passwort für das Backup sollte gut aufbewahrt werden, da es für den Import erneut benötigt wird. In Chrome funktioniert dies ähnlich, die entsprechende Funktion findet sich dort in den Einstellungen unter Erweiterte Einstellungen und Zertifikate verwalten.
Schritt 2: Bestätigung der Domain-Inhaberschaft
Bevor wir das Zertifikat ausstellen lassen können, muss nun zunächst eine Domain hinterlegt und bestätigt werden, dass ihr der Eigentümer selbiger seid. Im Control Panel findet sich der Validation Wizard. Aus der Drop-Down Liste wählt man Domain Name Validation. Im nächsten Schritt gibt man den Domainnamen sowie das TLD-Kürzel ein. Für die Bestätigung ist es nun zwingend notwendig, dass ihr Zugriff auf das webmaster@<domainname>.<tld> Konto habt. An diese wird nun erneut ein Bestätigungs-Schlüssel geschickt. Habt ihr diesen eingegeben, ist die Domain bestätigt und bei StartCom hinterlegt.
Schritt 3: Private Key und Zertifikat generieren
Im letzten Schritt generieren wir einen Private Key und das eigentliche Zertifikat. Der Private Key sollte niemals aus der Hand gegeben werden, er stellt sicher, dass nur der Inhaber dieses berechtigt ist, das SSL Zertifikat zu verwenden. Im Certificates Wizard wählt man Web Server SSL/TLS Certificate. Im nächsten Schritt wird nun der Private Key erstellt. Man sollte ein möglichst langes Passwort verwenden. Dieses Passwort wird später noch benötigt, also sollte auch dieses sicher aufbewahrt werden. Den nun erstellten Private Key kopiert man komplett in den Texteditor und speichert diese Datei als ssl.key. Beachtet, dass das Format unbedingt auf ASCII gestellt sein muss.
Im nächsten Schritt wählt man nun die zuvor angelegte Domain aus und wählt die Sub-Domain, für die das Zertifikat ausgestellt werden soll. Das Zertifikat wird sowohl für die Sub-Domain, als auch die Top-Level Domain ausgestellt. Im konkreten Beispiel stellen wir das Zertifikat auf die www Subdomain aus. Der Zugriff kann demnach später sowohl via www.<domainname>.<tld> als auch via <domainname>.<tld> erfolgen.
Nach der Bestätigung erhaltet ihr das fertige Zertifikat. Unter Umständen wird das Zertifikat nicht sofort ausgestellt, sondern erst von StartCom überprüft. Unter diesem Fall könnt ihr das Zertifikat dann in der Toolbox unter Retrieve Certificate abholen, sobald ihr die Bestätigungs-E-Mail erhalten habt. Das Zertifikat kopiert ihr wieder komplett in den Texteditor und speichert dies unter ssl.crt, wie bereits zuvor mit ASCII Formatierung.
Im letzten Schritt müssen wir nun nur noch den Private Key entschlüsseln. Ebenfalls in der Toolbox findet ihr hierfür den Punkt Decrypt Private Key. Kopiert nun den Inhalt eurer ssl.key Datei in das dafür vorgesehene Textfenster. Das benötigte Passwort ist jenes, welches wir vorher für den Private Key festgelegt haben. Den entschlüsselten Private Key kopieren wir erneut in den Texteditor und speichern ihn ASCII formatiert als decrypted_ssl.key ab.
Zu guter letzt benötigen wir nun nur noch das StartCom Global Certificate (CA). Dieses könnt ihr einfach hier herunterladen.
Zertifikat in das NAS importieren
Nun können wir das Zertifikat in das NAS importieren. Das konkrete vorgehen hängt vom jeweiligen NAS Modell ab. Wo sich die entsprechenden Menüpunkte befinden, lässt sich im Handbuch des Geräts nachschlagen. Das nachfolgende konkrete Beispiel zeigt, wie man das Zertifikat in eine Synology DiskStation mit DSM 5.2 einbindet.
Hierzu melden wir uns zunächst über den Browser in der NAS Oberfläche als Administrator an. In den Systemeinstellungen unter dem Punkt Sicherheit findet sich der Karteireiter Zertifikat. Ein Klick auf den Button Zertifikat importieren öffnet den Import-Dialog. Wir wählen nun als Privaten Schlüssel unsere zuvor abgespeicherte Datei decrypted_ssl.key, als Zertifikat die ssl.crt und als Zwischenzertifikat die im letzten Schritt heruntergeladene sub.class1.server.ca.pem. Nach dem Bestätigen importiert das NAS den Schlüssel und startet den Webserver neu. Dieser Vorgang kann einige Minuten dauern.
Nun solltet ihr im Abschnitt Server Zertifikat grün markiert den Vermerk Fremdzertifikat finden sowie eure (Sub-)Domain. Das Zertifikat wurde erfolgreich importiert und ihr solltet beim Aufruf der Domain in der Adressleiste eures Browsers bei der SSL Verschlüsselung einen Vermerk, dass die Identität bestätigt wurde, erhalten.
Import des Zertifikats in den Router
Wollt ihr ausschließlich auf euer NAS zugreifen, müsst ihr nicht zwingend ein Zertifikat in euren Router importieren. Wollt ihr dagegen auch etwa die Fernwartungs-Oberfläche eures Routers via SSL aufrufen oder nutzt ihr die bei einigen Modellen eingebaute NAS Funktion, müsst ihr das Zertifikat auch in der Oberfläche des Routers hinterlegen. Unser Beispiel zeigt, wie dies bei einer AVM Fritz!Box funktioniert.
Zunächst muss das Zertifikat in das korrekte Format umgewandelt werden. Die Fritz!Box benötigt Zertifikate im .pem Format. Diese lassen sich ganz einfach manuell erstellen. Hierzu kopieren wir den Inhalt unserer oben erstellten Dateien nach folgendem Schema in den Texteditor. Entsprechend sollte der Inhalt der Datei, die wir im ASCII Format als sslcert.pem abspeichern, wie folgt aussehen:
—–BEGIN RSA PRIVATE KEY—–
(Inhalt der ssl.key Datei)
—–END RSA PRIVATE KEY—–
—–BEGIN CERTIFICATE—–
(Inhalt der ssl.crt Datei)
—–END CERTIFICATE—–
Diese Datei kann nun in der Fritz!Box unter Internet, Freigaben im Reiter Fritz!Box Dienste unter dem Punkt Benutzereigenes Zertifikat importiert werden. (Beachtet, dass je nach Firmware Version die Menüpunkte etwas anders lauten können.) Das Passwort ist jenes, welches wir bei der Erstellung des Private Key benutzt haben. Nach dem erfolgreichen Import sollte unter Status die Verwendung eines benutzereigenen Zertifikats vermerkt sein.
Fazit
Die Verwendung eines vertrauenswürdigen Zertifikats, ausgestellt von einem Anbieter wie StartCom sorgt nicht nur dafür, dass die nervigen Warnmeldungen in Browsern oder mobilen Apps verschwinden, sondern schaffen auch Seriösität. Gerade wer von seinem NAS Dateien mit Kunden teilt, wird dies zu schätzen wissen. Aber auch für Privat-Haushalte lohnt sich der Aufwand, auf Grund des Sicherheits-Zugewinns.
Kommentar verfassen