Synology Server im privaten Netz und Zertifikatsfehler beim Zugriff auf diesen Server, Trick mit Let’s Encrypt Zertifikat

Ich bekomme bei der Anmeldung auf meinem Synology Server immer einen Zertifikatsfehler, möchte einen Let’s encrypt zert installieren, mein Server hat die private IP 192.168.0.100, der Router 192.168.0.1, es ist auch möglich, statische Einträge auf krakovic.de zu platzieren, bitte um schritt für schritt Anleitung und die Info, wie ich dann später auf den SYNO Server zugreifen soll

Das Hauptproblem ist: Let’s Encrypt stellt Zertifikate nur für Domains aus, die „von außen“ erreichbar sind oder deren Inhaberschaft via DNS bewiesen werden kann. Da dein Server nur lokal unter 192.168.0.100 erreichbar sein soll, nutzen wir einen Trick: Wir lassen Let’s Encrypt glauben, der Server sei kurzzeitig online, um das Zertifikat zu validieren.

Hier ist die Schritt-für-Schritt-Anleitung für dein Szenario:

1. DNS-Eintrag bei deinem Provider (z.B. Strato, IONOS, etc.)

Du musst eine Subdomain erstellen, die auf deine öffentliche IP-Adresse zeigt (auch wenn du sie später nur intern nutzt).

  • Erstelle einen A-Record für syno220.krakovic.de.
  • Als Ziel-IP gibst du deine aktuelle öffentliche IP an (findest du über wieistmeineip.de).
  • Hinweis: Wenn du eine dynamische IP hast, ist das für den Moment egal, solange sie jetzt gerade stimmt.

2. Router-Vorbereitung (Port 80)

Let’s Encrypt prüft die Domain über Port 80.

  • Logge dich in deinen Router (192.168.0.1) ein.
  • Leite Port 80 (TCP) auf die IP deines NAS (192.168.0.100) weiter.
  • Stelle sicher, dass keine Firewall auf der Synology den Port 80 blockiert.

3. Zertifikat auf der Synology erstellen

  1. Gehe zu Systemsteuerung > Sicherheit > Zertifikat.
  2. Klicke auf Hinzufügen > Neues Zertifikat hinzufügen > Weiter.
  3. Wähle Zertifikat von Let’s Encrypt abrufen.
  4. Domainname: syno220.krakovic.de
  5. E-Mail: Deine E-Mail (für Benachrichtigungen).
  6. Klicke auf Übernehmen.
    • Fehlermeldung? Warte 5 Minuten (DNS-Propagierung) und prüfe, ob Port 80 wirklich offen ist.

4. Den „Lokale-IP-Trick“ anwenden

Sobald das Zertifikat erstellt ist, kannst du die Portfreigabe im Router wieder löschen – wir brauchen sie nur alle 3 Monate zur Erneuerung. Damit du intern keine Fehlermeldungen bekommst, musst du deinem Computer sagen, dass syno.krakovic.de eigentlich die lokale IP ist:

Variante A (Nur für deinen PC): Ändere die hosts-Datei an deinem Computer (Windows: C:\Windows\System32\drivers\etc\hosts): Füge unten diese Zeile hinzu: 192.168.0.100 syno220.krakovic.de

Variante B (Sauber für alle Geräte): Ändere im DNS-Menü deines Domain-Anbieters den A-Record von der öffentlichen IP auf die lokale IP 192.168.0.100. Das klingt komisch, funktioniert aber wunderbar für Zertifikate im Heimnetz.

Zugriff auf den Server

Ab sofort nutzt du nie wieder die IP-Adresse im Browser, sondern immer den Namen:

URL: https://syno220.krakovic.de:5001

Dein Browser sieht: „Ah, ich soll zu syno.krakovic.de. Das Zertifikat sagt, es gehört syno.krakovic.de. Alles sicher!“ Das Schloss wird grün und die Fehlermeldungen verschwinden.

Zusammenfassung der nächsten Schritte

DNS A-Record auf 192.168.0.100 ändern.

DNS A-Record auf öffentliche IP setzen.

Port 80 im Router öffnen.

Zertifikat im DSM holen.

Port 80 wieder schließen.