SSL Zertifikat nach jedem Neustart verschwunden

okamzol · 18. Nov 2017

Hallo zusammen,

ich habe schon die Suche intensiv bemüht, aber niemand scheint ein ähnliches Problem zu haben.

Mein Problem ist, daß ich ein Wildcard-Zertifikat (GlobalSign AlphaSSL Wildcard) für sämtliche Subdomains nutze. Das NAS ist natürlich auch unter einer Sub zu erreichen. (Randinfo: Ich habe für meine Domain und Subs einen HSTS Eintrag und das NAS ist per A Record im DNS eingetragen.)
Frisch nach dem Import des Zertifikats ist auch alles in Ordnung, aber wenn das NAS (übrigens DS215j) neugestartet wird, ist das Zertifikat weg, bzw. der Webserver hat wieder eins von Syno gezogen, und ich muß mich mit der IP anmelden, da ein Zugriff über Domainnamen nicht möglich ist. Dann wieder das Zertifikat als neues Standardzertifikat importieren und Webserver neu starten - wieder alles grün. ...bis zum nächsten Neustart. Irgendwie nervt das gewaltig. Mit der DSM Version scheint das nichts zu tun zu haben, da ich das Problem schon seit Kauf des Dings habe und da war es 5.x und nun 6.1.

Daher meine Frage, wie bekomme ich die Kiste dazu, auch nach jedem Neustart das, bzw. mein Zertifikat zu laden?

Bin für jeden Tip dankbar.

Oliver

Anzeige · 18. Nov 2017

Hallo okamzol,

Bücher und Hardware zum Thema gibt es bei Amazon: SSL Zertifikat nach jedem Neustart verschwunden

okamzol · 22. Nov 2017

Keiner einen Vorschlag?

okamzol · 22. Dez 2017

Wirklich keiner?

Fusion · 22. Dez 2017

Offensichtlich nicht.

Das Zertifikat ist aus der Liste der Zertifikate verschwunden nach Neustart?
Oder sind nur die Zuordnungen unter Konfigurieren nicht mehr richtig?
Das Werkszertifikat von Synology kann man einfach stehen lassen, oder löscht du das?

Hört sich jedenfalls nach Bug an
Hast du schon ein Ticket bei Synology offen?

okamzol · 22. Dez 2017

Hallo und Danke für die Antwort.

Das Werkszertifikat hatte ich eigentlich gelöscht, zumindest aus der Liste der angezeigten Zertifikate. Da steht nur meins drin und das auch nach einem Neustart - nur ist es halt nicht gültig. Es scheint, als wenn nach einem Neustart da zwar mein Zertifikat aufgelistet - und als Standard gesetzt - ist, aber der Inhalt der des Werkzertifikat ist... Also kurz, die Zuordnung der in der Oberfläche angezeigten und der tatsächlich genutzten Zertifikate scheint mir falsch.

Und nein, bei Synology hab ich noch kein Ticket aufgemacht. Werde ich dann gleich aber mal.

Fusion · 22. Dez 2017

Wie gesagt, das Syno eigene kann man einfach in der Liste stehen lassen. Das stört niemanden. Und man ist in der Lage alle anderen Zertifikate zu löschen, wenn man das wollte (weil eines immer übrig bleiben muss).

Wichtig ist vor allem die Zuordnung von Zertifikaten zu Diensten in der Liste die man hinter dem Knopf "Konfigurieren" findet.
Das was dort für den Dienst "Standard" ausgewählt ist, ist z.B. das Standard Zertifikat.
In der Listen-Übersicht gibt es ebenfalls die Option "Standard /Default Zertifikat" zu setzen, die hat aber keinerlei Auswirkungen in diese Richtung.

okamzol · 22. Dez 2017

Tja, nun ist das Syno-Zert aber aus der Liste gelöscht und eigentlich sollte es nicht mehr stören...

Bei der Konfiguration der Dienste ist überall (Standard, WebDAV, FTPS) mein Zertifikat eingestellt.

Bei Synology im Support Portal habe ich jetzt mal ein Problemticket aufgemacht, mal schauen, was dabei rauskommt.

Danke soweit

Fusion · 22. Dez 2017

mmh, dann könnte eventuell beim Löschen / Zuordnen was schief gegangen sein, wenn er trotzdem noch das Syno ausliefert (aus der Luft zaubert er sich das ja nicht).

Dann wäre noch mal mit verschiedenen Browsern / Profilen zu probieren, vielleicht liegt auch da ein Problem bei der Seitenaktualisierung.
Alternativ kannst du mir auch in einer PN die URL schicken und ich schaue mal von mir aus, was ich sehe, für den Fall, dass er bei dir das Syno eigene lädt.

Oder man probiert nochmal neu anzufangen und erstellt ein syno-selbst-signiertes, löscht alles andere und importiert dann wieder und stellt nur die Dienste um.

blurrrr · 22. Dez 2017

Sowas sollte sich sowieso bald erledigt haben, wenn Lets Encrypt die Wildcard-Zertifikate auf die Menscheit loslässt, dann müssen Hersteller wie Synology sowieso mitziehen und dann darf es solche Fehler nicht mehr geben

Was man natürlich - sofern das alles nicht so klappt - noch ziemlich dirty versuchen könnte... das selbstsignierte Syno-Zertifikat inkl. Keys und allem mit dem eigenen zu überschreiben (unter Beibehaltung der Namensgebung des Syno-Zertifikats und aller beteiltigen Dateien). Find ich persönlich zwar ziemlich hässlich und ist eben auch ziemlich dirty, aber wäre ja eh nur ein Workaround, sofern das andere überhaupt nicht will auf Dauer.