Webserver, Baikal und Zertifikate

[Levieathan]

Hallo liebe Com,

ich habe seit einem Jahr ein DS215j System von Synology und bin sehr zufrieden damit. Ich nutze es bisher nur zur Datensicherung mit der Cloudstation und dem Timebackup
und arbeite auf freigegebenen Laufwerken.
Ich habe also bisher keinen Webserver eingerichtet.

Nun war mein Anliegen meine Kontaktdaten auf verschiedenen Systemenen zu synchronisieren. Meine Wahl viel auf Baikal, da ich hierzu einiges im Internet an Informationen gefunden habe und das Einrichten recht einfach funktioniert hat. Ich habe also die Web Station und HTTPS über den DSM aktiviert.

Wie im Internet beschrieben habe ich für den Zugriff unter meinem Windows Phone 8.1 ein Zertifikat mit OpenSSL erstellt.
Windows Phone hat dieses Zertifikat akzeptiert und installiert. Trotzdem kommt beim Aufruf des eingerichteten Kontos die Fehlermeldung '80072F0D'. Also ein Problem mit dem Zertifikat.
Jetzt meine Frage:
Muss das Zertifikat nicht auch auf dem NAS eingerichtet sein? Muss dazu ein Webserver eingerichtet sein mit Domäne und Subdomäne, oder reicht für den Zugriff und die
Zertifikaterstellung die feste IP aus dem lokalen Netz aus? (Gibt es dazu eine Beschreibung, wie ich zuerst einen Webserver einrichte, diese Daten für die Zertifikaterstellung nutze und dann das selbe Zertifikat für beliebige Clients zur Verfügung stelle?) Irgendwie finde ich immer nur einen Teil des Puzzles, aber nie, wie alles miteinander zusammen hängt ;-)
Ich will die Synchronisation nicht aus dem Internet, sondern nur über WLAN ohne Routeranpassung, direkt auf dem NAS vornehmen.

Ich habe noch keine Erfahrung mit Baikal und habe nicht bemerkt das Synology einen CardDAV Server bereitstellt. Zu welchem Paket würdet Ihr mir raten? Oder gibt es keine wesentlichen Unterschiede?

Gruß und Danke
Levieathan

 

[heavy]

Hallo Levieathan erstmal willkommen im Forum

Ich kenne Baikal nicht und auch carddav benutze ich nicht aber wie hast du das zertifikat denn erstellt? Und ja es muss auf der DS eingerichtet sein, denn eigentlich liefert die es aus und die clients fragen dann bei der Registrierungsstelle nach ob es echt ist. Den Punkt zur importierung findest du in der DS unter dem Menue "sicherheit" /Zertifikat.

 

[Tommes]

Hallo und willkommen im Forum!

Ich halte die Einrichtung eines eigenen Zertifikates sowie den Aufbau einer verschlüsselten Verbindung innerhalb deines lokalen LAN's / WLAN's ein wenig für "übers Ziel hinausgeschossen", es seih denn, du vertraust deinem eigenen lokalen Netzwerk nicht. Auch benötigst du für ein signiertes Zertifikat eine eigene Domain, welche du offensichtlich nicht hast.

Aber falls du drauf bestehst, deine Verbindung auch im LAN zu verschlüsseln und somit mit einem Zertifikat auszustatten, dann nutze doch einfach das bereits erstellte, unsignierte Zertifikat von Synology, welches bereits auf der DS angelegt ist. Das würde imho vollkommen ausreichen. Hier noch der Link zur ZertIfikatsverwaltung aus der DSM-Hilfe: https://help.synology.com/dsm/?lang...&link=AdminCenter/connection_certificate.html

BTW: Um Baikal ist es in letzer Zeit ziemlich still geworden, auch sind die Aktionen für Baikal 2 (https://github.com/netgusto/Baikal) scheinbar zum Erliegen gekommen. Die Zukunft von Baikal steht also in den Sternen. Anderseits funktioniert der Baikalserver immer noch ziemlich zuverlässig und tut was er soll. Nichts desto trotz kannst du ja auch mal mit dem CardDAV Server von Synology rumspielen. Findest du im Paketzentrum und Informationen dazu in der DSM-Hilfe.

Tommes

 

[diaphon]

@Tommes: Windows Phone 8.1 akzeptiert nur HTTPS verbindungen. Daher muss leider ein Zertifikat für die Synchronisierung verwendet werden.

Hi Levieathan,

erstmal zu Deinen Fragen:

Muss das Zertifikat nicht auch auf dem NAS eingerichtet sein?

Ja

Muss dazu ein Webserver eingerichtet sein ...

Bei Baikal - Ja, aber dazu reicht die WebStation der DiskStation

... oder reicht für den Zugriff und die Zertifikaterstellung die feste IP aus dem lokalen Netz aus?

Ja, die feste IP reicht.

Ich will die Synchronisation nicht aus dem Internet, sondern nur über WLAN ohne Routeranpassung, direkt auf dem NAS vornehmen.

So mache ich das auch und zwar erfolgreich mit CardDav sowie Baikal und verschiedenen OS (Windows 7, Windows Phone 8.1, iOS)

Zu welchem Paket würdet Ihr mir raten?

CardDAV Server von Synology funktioniert wunderbar!
Ich persönlich bevorzuge immer die Packages von Synology. Hier habe ich das Gefühl eine gute Software zu verwenden, die auch längerfristig gepflegt wird.


Kurzer Exkurs:
Für Kontakte verwende ich den CardDAV Server. Vorteil ist der geringe Installationsaufwand sowie die Nutzung der Useraccounts auf der DiskStation.
Für Kalender verwende ich im Moment noch Baikal. Ab dem nächsten Patch werde ich aber vorraussichtlich wieder den CalDAV Server von Synology verwenden. (Mehr Details Hier)


Etwas Installationshilfe:
Die Diskstation unterstützt sogenannte 'Selbst unterzeichnete Zertifikate'. Damit können eigene Zertifikate erstellt werden (auch für reine IPs).
Dieses Zertifikat kann dann auf dem Windows Phone installiert werden. Bitte nicht vergessen die WebStation neu zu starten, sonst wird das Zertifikat nicht übernommen und es taucht wieder der Fehler '80072F0D' auf. Mir hatte für die Problemlösung auch geholfen die URL für den CardDAV server im Browser anzusehen und dort das Zertifikat zu prüfen. Damit konnte ich dann auch verifizieren, dass das richtige Zertifikat auf dem Server läuft.


FAZIT
Kontakte mit CardDAV Server von Synology funktioniert super.
Kalender mit CalDAV Server von Synology funktioniert super. (Beim Windows Phone 8.1 hoffentlich auch mit dem nächsten Patch)


Ich hoffe ich konnte helfen.

Gruß,
Alex

 

[Frogman]

...
Die Diskstation unterstützt sogenannte 'Selbst unterzeichnete Zertifikate'. Damit können eigene Zertifikate erstellt werden (auch für reine IPs).
Dieses Zertifikat kann dann auf dem Windows Phone installiert werden. Bitte nicht vergessen die WebStation neu zu starten, sonst wird das Zertifikat nicht übernommen und es taucht wieder der Fehler '80072F0D' auf. Mir hatte für die Problemlösung auch geholfen die URL für den CardDAV server im Browser anzusehen und dort das Zertifikat zu prüfen. Damit konnte ich dann auch verifizieren, dass das richtige Zertifikat auf dem Server läuft.
...

Wenn man diesen Absatz liest, kann man schon eher durcheinander kommen. Es wird nur von "Zertifikaten" gesprochen, keinerlei Unterscheidung...
"Selbst unterzeichnete Zertifikate" haben erst einmal nichts direkt mit "eigenen Zertifikaten" zu tun - ein eigenes Zertifikat heißt erst einmal nur, dass man sich einen öffentlichen SSL-Serverschlüssel (der verkürzend auch gerne als 'Zertifikat' bezeichnet wird) als eine Hälfte zusammen mit einem dazugehörigen privaten Server-Schlüssel (denn um ein Schlüsselpaar handelt es sich dabei), selbst erzeugen kann. Jedes beliebige SSL-Server-Zertifikat (also den öffentlichen Teil eines Schlüsselpaares) kann man selbst unterzeichnen - was nichts anderes bedeutet, dass man mit einem entsprechenden "Root"-Zertifikat das Server-Zertifikat signiert (was im Details bedeutet, dass man mit dem privaten Teil des Root-Zertifikats das Server-Zertifikat unterschreibt).
Auf einem Client, der auf den Server verschlüsselt zugreifen soll, muss zunächst für den eigentlichen verschlüsselten Zugriff nichts installiert werden - das Server-Zertifikat liefert der Server beim Zugriff aus. Üblicherweise sind Betriebssysteme bzw. zugreifende Client-Software heute aber so eingestellt, dass sie beim Zugriff überprüfen, ob der Common Name im vom Server ausgelieferten Serverzertifikat mit der beim Aufruf verwendeten Domain übereinstimmt und im Weiteren, ob das Serverzertifikat von einer der anerkannten offiziellen Root-CAs signiert wurde (was bei einem selbstsignierten Serverzertifikat nicht der Fall ist). Um die damit zwangsweise erfolgende Warnung, dass es sich bei der Verbindung um keine vertrauenswürdige handelt, zu vermeiden, kann man die öffentliche Hälfte des Root-Zertifikats (d.h. Schlüsselpaares), dessen private Hälfte zur Signierung des Serverzertifikats verwendet wurde, zur Liste der vertrauenswürdigen Root-CAs auf dem Client (also bspw. dem Windows Phone) hinzufügen.

 

[Tommes]

@Frogman
Sehr schön... fast schon bilderbuchmäßig erklärt!

Tommes

 

[Snyder]

Ich hoffe, mit meinem Problem in diesem Thread richtig zu sein:

Auf meiner DS213j mit DSM 5.2 verwende ich seit geraumer Zeit einen baikal-Server, der per DDNS-Service unter der Adresse [xyz].myds.me/baikal/cal.php/principals/[username]/ als Kalenderserver (bzw. mit der gleichen URL statt cal.php card.php als Adressbuchserver) läuft. Verwendet wird ein Adressbuch sowie diverse Kalender, die auf verschiedenen Geräten mit iOS sowie OS X synchronisiert werden.

Zum Fall: Mein iPhone ist kaputt gegangen und ich habe mir ein Lumia mit Windows Phone 8.1 gekauft. Seither dokter ich vergeblich daran herum, mit baikal zu synchronisieren. Habe den Workaround mit dem icloud-Konto zum Einrichten verwendet, das Zertifikat aus der DS exportiert, die Datei von ca.crt nach ca.cer umbenannt (hier liegt wohl der Fehler?), am Telefon importiert und erhalte nun die bekannte Fehlermeldung 80072F06.

Am Mac habe ich keine Möglichkeit gefunden, das Zertifikat zu wandeln - dafür braucht es wohl einen PC. Oder nicht? Hat jemand geschafft, unter WP 8.1 mit baikal zu syncen und wie könnte es gehen? Nähere mich tiefgreifender Frustration.

 

[Snyder]

Update: Zertifikat am PC gewandelt und am Handy neu eingespielt. Hilft nix. Hat niemand eine Idee?

 

[Frogman]

Erklär doch mal, was Du da wandeln willst...

 

[Snyder]

Sorry, ich kann erst am Wochenende mein Problem ausführlich (und hoffentlich technisch korrekt) schildern. Vielen Dank schon mal fürs Ohr und bis dann.

 

[Snyder]

Ich versuch's nochmal: Wie Post #7 beschrieben läuft ein baikal-Server auf meiner DS und liefert per DDNS einwandfrei mehrere Kalender und ein Adressbuch an diverse iOS- und OS X-Geräte aus. Nach zwangsweisem Neukauf eines Handys und damit verbundenem Wechsel auf Windows Phone frickel ich vergeblich dran rum, Kalender und Adressbuch mit dem neuen Telefon zu syncen.

Herausgefunden habe ich dabei: WP 8.1 macht ausschließlich SSL (Baikal läuft bei mir von vorneherein so), das selbst erstellte Zertifikat dafür soll am PC von "ca.crt" nach "ca.cer" gewandelt und dann ins Windows-Handy eingespielt werden. Hab ich gemacht, hat nix geholfen. Siehe wie gesagt Post #7.

Bei http://phasenkasper.de/baikal-unter-windows-phone-8-1-nutzen habe ich gelesen, dass cal.php und card.php ausgetauscht werden müssen, damit die Chose läuft. Habe ich dann auch gemacht. Das Apple-Gerümpel synct nach wie vor, WP liefert weiterhin die Fehlermeldung 80072F06 aus. Adresse ist [xyz].myds.me/baikal/cal.php/principals/[username]/ bzw. card.php an der gleichen Stelle für den Adressbuchserver. https:// voranstellen hat nichts gebracht, hinzufügen von :443 vor /baikal auch nichts.

Könnte ein neues Zertifikat Abhilfe schaffen, und falls ja, was für eines?

 

[Frogman]

..., das selbst erstellte Zertifikat dafür soll am PC von "ca.crt" nach "ca.cer" gewandelt und dann ins Windows-Handy eingespielt werden. Hab ich gemacht, hat nix geholfen. Siehe wie gesagt Post #7.

Ich hatte ja schon gefragt, was Du da gewandelt haben willst. Ein Umbenennen einer ca.crt in ca.cer geht nicht!
Hintergrund ist, dass ein Zertifikat, was man in Windows Phone installieren will, im Format DER vorliegen muss. Liegt das Zertifikat wie bei Synology im Format PEM vor (zu erkennen daran, dass der Inhalt mit "—– BEGIN..." anfängt), muss es konvertiert werden! Das Ganze hat im Übrigen nicht wirklich etwas mit den Endungen *.cer oder *.crt zu tun.

Du kannst die Konvertierung auch auf der Konsole der DS durchführen mit

openssl x509 -in cert.crt -outform der -out cert.der

, wobei Du für cert.crt den Namen des entsprechenden Zertifikats einsetzen musst, wie es bei Dir heißt. Das konvertierte Zertifikat liegt dann mit der Datei cert.der vor und kann unter Windows Phone importiert werden.
Details kannst Du bspw. auch hier finden.

 

[Snyder]

Uiui, ob ich das hinkriege... Andererseits habe ich die besagte ca.crt bereits auf einem Windows-Rechner in ca.cer im Format DER umgewandelt und auf dem Telefon installiert. Glaube ich zumindest mich zu erinnern. Wo finde ich auf der DS die Konsole, und ist openssl dort bereits installiert?
Sorry, bin halt ein noob, der nichts neu erfinden, sondern lediglich sein Windows-Gerät syncen will... was auf meinem iPod Touch mit iOS 5 ohne Probleme geht...

 

[goetz]

Hallo,
schau mal in unser Wiki, Die Kommandozeile.
openssl ist bereits da.

Gruß Götz

 

[Frogman]

... Andererseits habe ich die besagte ca.crt bereits auf einem Windows-Rechner in ca.cer im Format DER umgewandelt und auf dem Telefon installiert. Glaube ich zumindest mich zu erinnern. ...

In #7 hast Du von "umbenennen" gesprochen.

 

[Snyder]

Das stimmt. Zu dem Zeitpunkt habe ich es (da kein Windowsrechner zur Hand war) erstmal so probiert, dann (Post #8) gewandelt. Ich versuche mich später mit der Anregung von goetz.

Vielen Dank schonmal!!

 

[Frogman]

...dann (Post #8) gewandelt.

Die Frage ist, was Du da genau gemacht hast?

 

[Snyder]

Im Windows-Explorer kann das Zertifikat doch unter "Eigenschaften" exportiert werden, war das nicht so? Da habe ich wohl im Format DER exportiert. Leider komme ich gerade nicht an ein Windows-Gerät... werde das mit openssl nochmal angehen.

 

[Frogman]

Der Weg über den Export des betreffenden Root-CA-Zertifikats in Windows sollte funktionieren - dabei kann man DER-Format auswählen. Wichtig ist, dass man tatsächlich das Root-Zertifikat exportiert und im Windows-Phone importiert - ein etwaiges Intermediate (bspw. beim verbreiteten StartSSL) hilft da nichts.

 

[Snyder]

Das übersteigt jetzt bei weitem meine sog. Kompetenz... Als ich seinerzeit den DDNS-Service von Synology mit der Domain meinwunschname.myds.me einrichtete, war es glaube ich so, dass ich mir von Synology ein Zertifikat "geholt" habe, auf der DS installiert und gut war. Das blöde ist ja, dass man sich für so einmalige Sachen wie "ein Zertifikat installieren" irgendwie in die Materie einfuchst, und wenn es dann läuft, vergisst man (ich) sofort, wie es funktioniert.

Ist es evtl. eine gute Idee, das Zertifikat von der DS zu löschen, ein anderes (was für eines?) zu installieren, damit es noch klappt mit WP?