Zertifikat mit Startssl

[ubuntulinux]

Wildcard geht nur mit Class2. Hast Du das schon? Wenn Ja, mach ein Zertifikat mit der Subdomain *.

 

[frank-fgr]

Ja ich habe Class2 bereits seit Februar. Die Domain frank-fgr.de habe ich validiert. Wenn ich nun ein cert erstellen möchte, werde ich aber nich gefragt, ob es ein wildcard cert sein soll. Ich kann nichts finden, wo ich das erstellen kann. Und eine Validierung einer subdomain geht ja auch im Class2 nicht. Oder habe ich was übersehen?

 

[frank-fgr]

Nachtrag: da ich noch kein CSR erstellt habe und nicht einen privKey von Startssl haben möchte, habe ich bisher abgebrochen. Oder werde ich erst im Anschluss gefragt, ob es ein wildcard cert sein soll?

 

[ubuntulinux]

Lass' am besten alles von StartCom machen. Mach ein neues Zertifikat, aber anstatt eine Subdomain gibst Du einfach ein * ein.

 

[drago]

nein, startcom sendet emails an webmaster@domain oder postmaster@domain. An Subdomains schicken sie keine Mails.

sub.frank-fgr.de kannst Du mittels CNAME auf frank-fgr.dyndns.org leiten, dann funktioniert das auch mit dem Zertifikat wenn Du eine Domain hast. Du machst ein Wildcard cert *.frank-fgr.de dann kannst Du das Zertifikat mit sovielen Subdomains und Server welche unter einer Subdomain von frank-fgr.de sind benutzen wie Du willst.

dann würde ich mir das zertifikat bei http://www.hosteurope.de ausstellen lassen. 1. schnell und einfach zertifikate erstellen, 2. sie schicken zur validierung emails an subdomains

 

[ubuntulinux]

Aber ich bezweifle, dass sie ein Zertifikat auf eine dyndns ausstellen

 

[drago]

ich habe eine subdomain bei two-dns.de und es funktioniert ohne probleme

 

[frank-fgr]

Ich werde dann mal in den nächsten Tagen etwas damit herum spielen ....
Danke erst einmal für eure Hilfe.
Gruß
Frank

 

[drago]

mach nicht zu dolle, denn die syno mag das nicht so gerne

 

[Herbert_Testmann]

Wenn Du fertig probiert hast ... schreibst Du dann hier noch den ultimativen Tip für die Nachwelt rein. Certifikate wo, wie, Kosten werden hier regelmäßig angefragt.

Danke.

 

[loskochos]

Meine Zertifikatskette (bestehend aus 3 Zertifikaten - mein eigenes und die 2 von Startssl) habe ich in EINER Datei server.crt hintereinander reingepastet.

kurze Frage...wie hast du denn die Zertifikate 'hineingepastet'? D.h. welche Trenner sind zwischen den einzelnen Zertifikaten? ich habe nun für Domainnamen Zertifikate erstellt, in die jeweiligen Dateien gepastet, jedoch klappt es nur mit dem ersten Zertifikat..das 2. wird irgendwie nicht gezogen, und ich bekomme immer noch ne Fehlermeldung...

 

[voter]

Zitat von cpalm

Meine Zertifikatskette (bestehend aus 3 Zertifikaten - mein eigenes und die 2 von Startssl) habe ich in EINER Datei server.crt hintereinander reingepastet.

Ja das würde mich auch interessieren. Probiere es seit Tagen und bekomme immer nur das erste Zertifikat (bis zum ersten ----END CERTIFICATE----) "geladen", d.h. das zweite Zertifikat, welches unter einer anderen Domain fungieren soll, wird anscheinend ignoriert.

Details:

2 StartSSL-Zertifikate: 1. secure.meinedomain.org 2. ssl.meinedomain.org
Beide .key und .crt files jeweils per Fileeditor bzw. "cat"-Befehl in einer server.key und einer server.crt zusammengefügt (Paste & Copy) und die Dateien unter /usr/syno/etc/ssl in die jeweiligen Ordner ssl.key und ssl.crt eingefügt und Apache neugestartet.

Leider wird immer nur der erste Zertifikatseintrag in den Files ausgewertet, sprich: unter "secure.meinedomain.org" läuft alles wunderbar, unter "ssl.meinedomain.org" kommt eine Fehlermeldung, dass dieses Zertifikat ungültig ist, da es nur für "secure.meinedomain.org" und "meinedomain.org" ausgestellt ist.

Ich würde mich wirklich riesig freuen, wenn uns/mir jemand (zb: drago oder cpalm) weiterhelfen würden.

Danke im Voraus und LG.

 

[drago]

hi Voter,

soweit ich das weiß, benötigst du ein Wildcard SSL Zertifikat das für mehrere Domains genutzt werden kann.

http://www.globalsign.de/ssl/ssl-zertifikate-kaufen/wildcard-ssl/index.html

 

[voter]

Ja, danke das wusste ich. Es geht mir eigentlich nicht wirklich darum, die syno über 2 externe Adressen erreichen zu wollen. Viel mehr stellt sich bei mir die Frage, ob ich ein StartSSL Zertifikat gleichzeitig mit einem eigenem, selbst ausgestellten Zertifikat benutzen/verknüpfen/bündeln kann, damit ich beim https-Zugriff aus dem LAN (192.168.1.10) keine Zertifikatsfehlermeldung bekomme.

Genaueres zu meinem Problem findet man hier: http://www.synology-forum.de/showth...ugriff-%FCber-LAN-und-Internet-%28StartSSL%29

 

[drago]

Nein, das SSL Zertifikat "muss" bei einer Zertifizierungsstelle (CA), verifiziert werden. Da dein Zertifikat sonst nicht auf "Echtheit" überprüft werden kann und es somit zu diesen Fehlermeldungen führt.

Auch muss dies in der DS angepasst werden.

 

[voter]

Ja dafür möcht ich ja für den externen Zugriff das verifizierte Zertifikat von StartSSL verwenden und nur für den Zugriff aus dem LAN die selbst erstellte CA in den Browser importieren. Eine andere Möglichkeit wäre auf meiner Fritzbox, so wie man es von der hosts-Datei am PC kennt, eine Art DNS Umleitung (secure.meinedomain.org --> 192.168.1.10) einzurichten, damit man immer die Domain, sowohl aus dem Internet als auch aus dem LAN, eingeben kann und beim LAN-Zugriff nicht den "Umweg" übers WAN machen muss. Nur leider kann man solche Einträge nicht so einfach auf der Fritzbox erledigen. (Die Fritzbox macht es so ähnlich: statt "http://192.168.1.1" muss man ja auch nur "http://fritz.box" eingeben um aufs Webinterface der Fritte zu kommen)

 

[drago]

Wenn ich das jetzt richtig verstanden habe, willst du deine DS im LAN über die Domaine: secure.meinedomain.org erreichen.

Frage! Warum mit einer Domaine und nicht mit dem Hostnamen der DS bzw. IP Adresse?

z.B: \\deineIP | \\nameDS

 

[voter]

Wenn ich das jetzt richtig verstanden habe, willst du deine DS im LAN über die Domaine: secure.meinedomain.org erreichen.

Frage! Warum mit einer Domaine und nicht mit dem Hostnamen der DS bzw. IP Adresse?

z.B: \\deineIP | \\nameDS

Ganz einfach, weil da das Problem begraben liegt: Die DS hat ja das Zertifikat von Startssl für die FQDN "secure.meinedomain.org", gehe ich jetzt mit "https://name_der_DS" oder "https://meine-ip" kommt im Browser eine Fehlermeldung, dass das Zertifikat ungültig ist, da es ja nur für "secure.meine-domain.org" und "meine-domain.org" ausgestellt/gültig ist.

 

[drago]

Das ist richtig, es wird nur die Domaine als "gültig" erkannt die verifiziert wurde.

 

[voter]

Und deswegen such ich eine Möglichkeit, sowohl aus dem LAN als auch über den FQDN ein "gültiges" Zertifikat zu installieren.