DSM als CA betreiben - ist das möglich?

[whitbread]

Hallo zusammen,

nachdem ja nun StartCom nicht mehr vetrauenswürdig ist, bin ich auf der Suche nach eine neuen Lösung für meine diversen Zertifikate. Da diese zumeist für interne Dinge genutzt werden ist LE für mich keine Lösung.

Daher habe ich erneut mit der Möglichkeit der self-signed Zertifikate auseinander gesetzt:
1. Ansatz: Erstellung Selbst-unterzeichnetes Zertifikat: Dummerweise erstellt DSM - jedenfall über die WebGUI - für jedes Zertifikat ein neues Root Zertifikat - fail.
2. Ansatz: Erstellung eines CSR und Unterzeichnung dieses CSR mit dem Root-Zertifikat des Systems: Dies wird leider von einem auf Synology Inc. CA lautendem Zertifikat unterzeichnet - fail.

Was ich erreichen möchte:
- eigenes Root-Zertifikat mit Zugriff auf den private Key
- Möglichkeit der Erstellung multipler SSL-Zertifikate mit eben diesem Root-Zertifikat

Irgendwo muss ja das Root-Zertifikat im DSM verankert sein. Weiss jemand wie ich das möglichst stressfrei gewechselt / installiert bekomme?

Oder bin ich auf dem falschen Dampfer uns muss mich von der Möglichkeit, dies über DSM zu lösen, verabschieden?!?

 

[whitbread]

Auch hier bin ich wohl alleine unterwegs

 

[Tommi2day]

Machen kann man das alles - auf der Kommandozeile mit Scripten. Openssl ist ja vorhanden. Eine CA mit der vorhandenen Gui geht eher nicht.

Ich würde(habe) eine eigene CA mit eigenem Root Zertifikat aufsetzen und das Zertifikat für die Syno damit unterschreiben. Dann trägst Du dieses Zertifikat in die "Vertrauenswürdige Stammzertifizierungsstellen" auf den Clients ein. Alle weiteren Zertifikate leitest Du davon ab. Entweder mit einem CSR von einem Device wie bei der Syno oder mit einem eigenen CSR erstellt von openssl. Für den Prozess gibt es auch reichlich Howtows im Netz.

 

[whitbread]

Eine CA mit der vorhandenen Gui geht eher nicht.

Danke für die - leider ernürchternde - Antwort. Wie so häufig für den Ottonormalo unverständlich, dass es halt kurz vor dem Ende hakt. Warum muss die GUI bei selbst-erstellten Zertifikaten immer eine neues root-Zert. erstellen? Und warum lässt sicht nicht einfach das root-Zertifikat festlegen bzw. austauschen, mit dem CSR's signiert werden?!?

Die OpenSSL-Variante ist einfach nicht mein Ding.

Zur Info: Habe jetzt die Funktionalität meines LAN-Routers dafür verwendet - da braucht das Signieren zwar ewig, aber mit der GUI kann ich wenigstens umgehen ...