Seit einigen Tagen bietet Let’s Encrypt nun Wildcard-Zertifikate an. Diese Gelegenheit habe ich genutzt, mein nicht mehr ganz neues Synology NAS mit einem solchen auszustatten.

Natürlich braucht es dafür kein Wildcard-Zertifikat, aber dieses verhindert, dass der konkrete Hostname in den Certificate Transparency Logs (wie bspw. bei crt.sh) auftaucht.

Da Synology seine eigenen Pfade und Utilities benutzt um Zertifikate zu speichern und zu verwalten ist die Konfiguration nicht ganz offensichtlich.

Zertifikate und Schlüssel befinden sich unter /usr/syno/etc/ssl/.
Der Private Key gehört in /usr/syno/etc/ssl/ssl.key/server.key.
Das Zertifikat selbst gehört in /usr/syno/etc/ssl/ssl.crt/server.crt.
Das Intermediate-Zertifikat von Let’s Encrypt gehört in /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt.
Das DST Root Zertifikat (hier) gehört in /usr/syno/etc/ssl/ssl.crt/ca.crt.

Sobald diese Dateien an Ort und Stelle sind wird der Webserver über folgendes Kommando neu gestartet:

synoservicectl --reload httpd-sys
synoservicectl --reload httpd-user

Fertig!