HTTPS Zertifikat und WebDAV

[Wolfman_II]

Hallo zusammen,

das das in der DS eingebaute Zertifikat von Synology bei einer HTTPS-Verbindung immer eine Warnmeldung verursacht (da die Domainnamen nicht zusammen passen) habe ich mir für meine Domain ein eigenes Zertifikat erstellen lassen und in der DS unter der 3.0 Firmware über Optionen, Optionen HTTP-Dienst, HTTPS Verbindung aktivieren, Zertifikat importieren eingebunden.
Wenn ich nun sowohl aus dem LAN als auch aus dem Internet heraus auf die Managementoberfläche über https://meine_Domain:5001 zugreife funktioniert das ganze auch wunderbar und die DS verwendet mein importiertes Zertifikat.
Wenn ich jedoch aus LAN oder WAN auf meine WebDAV-Freigabe über https://meine_Domain:5006 zugreife verwendet die DS nach wie vor das Zertifikat von Synology und es kommt wieder eine Warnmeldung.
Ich habe aber nirgends spezielle HTTPS Einstellungen für WebDAV gefunden.

Stehe ich irgendwo auf dem Schlauch oder könnte es sich hier um einen Fehler in der DS handeln?
Für Tipps zum Augenöffnen danke ich im voraus

 

[goetz]

Hallo,
schau Dir mal die Ausgaben von

grep Certifi /usr/syno/apache/conf/extra/*

an, interessant sind nur die Zeilen die nicht mit # beginnen. Eigentlich sollte da ein Unterschied zu sehen sein.

Gruß Götz

 

[Wolfman_II]

Hallo Götz,

irgendwie steh ich weiterhin auf dem Schlauch. Hier ist mal das Ergebnis des grep Befehls:

/usr/syno/apache/conf/extra/httpd-ssl-webdav.conf-sys:SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
/usr/syno/apache/conf/extra/httpd-ssl-webdav.conf-sys:SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key
/usr/syno/apache/conf/extra/httpd-ssl.conf:#   Some MIME-types for downloading Certificates and CRLs
/usr/syno/apache/conf/extra/httpd-ssl.conf:SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf:SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key
/usr/syno/apache/conf/extra/httpd-ssl.conf:#   Server Certificate:
/usr/syno/apache/conf/extra/httpd-ssl.conf:#   Point SSLCertificateFile at a PEM encoded certificate.  If
/usr/syno/apache/conf/extra/httpd-ssl.conf:#SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf:#SSLCertificateFile /usr/syno/apache/conf/server-dsa.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf:#SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key
/usr/syno/apache/conf/extra/httpd-ssl.conf:#SSLCertificateKeyFile /usr/syno/apache/conf/server-dsa.key
/usr/syno/apache/conf/extra/httpd-ssl.conf:#   Server Certificate Chain:
/usr/syno/apache/conf/extra/httpd-ssl.conf:#   Point SSLCertificateChainFile at a file containing the
/usr/syno/apache/conf/extra/httpd-ssl.conf:#   the referenced file can be the same as SSLCertificateFile
/usr/syno/apache/conf/extra/httpd-ssl.conf:#SSLCertificateChainFile /usr/syno/apache/conf/server-ca.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf:#   Certificate Authority (CA):
/usr/syno/apache/conf/extra/httpd-ssl.conf:#   Note: Inside SSLCACertificatePath you need hash symlinks
/usr/syno/apache/conf/extra/httpd-ssl.conf:#SSLCACertificatePath /usr/syno/apache/conf/ssl.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf:#SSLCACertificateFile /usr/syno/apache/conf/ssl.crt/ca-bundle.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf:#   Certificate Revocation Lists (CRL):
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys:#   Some MIME-types for downloading Certificates and CRLs
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys:#   Server Certificate:
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys:#   Point SSLCertificateFile at a PEM encoded certificate.  If
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys:SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys:#SSLCertificateFile /usr/syno/apache/conf/server-dsa.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys:SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys:#SSLCertificateKeyFile /usr/syno/apache/conf/server-dsa.key
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys:#   Server Certificate Chain:
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys:#   Point SSLCertificateChainFile at a file containing the
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys:#   the referenced file can be the same as SSLCertificateFile
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys:#SSLCertificateChainFile /usr/syno/apache/conf/server-ca.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys:#   Certificate Authority (CA):
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys:#   Note: Inside SSLCACertificatePath you need hash symlinks
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys:#SSLCACertificatePath /usr/syno/apache/conf/ssl.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys:#SSLCACertificateFile /usr/syno/apache/conf/ssl.crt/ca-bundle.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys:#   Certificate Revocation Lists (CRL):
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys: SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf-sys: SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:#   Some MIME-types for downloading Certificates and CRLs
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:#   Server Certificate:
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:#   Point SSLCertificateFile at a PEM encoded certificate.  If
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:#SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:#SSLCertificateFile /usr/syno/apache/conf/server-dsa.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:#SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:#SSLCertificateKeyFile /usr/syno/apache/conf/server-dsa.key
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:#   Server Certificate Chain:
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:#   Point SSLCertificateChainFile at a file containing the
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:#   the referenced file can be the same as SSLCertificateFile
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:#SSLCertificateChainFile /usr/syno/apache/conf/server-ca.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:#   Certificate Authority (CA):
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:#   Note: Inside SSLCACertificatePath you need hash symlinks
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:#SSLCACertificatePath /usr/syno/apache/conf/ssl.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:#SSLCACertificateFile /usr/syno/apache/conf/ssl.crt/ca-bundle.crt
/usr/syno/apache/conf/extra/httpd-ssl.conf-user:#   Certificate Revocation Lists (CRL):

Soweit ich das mit meinem beschränkten Horizont erkennen kann wird immer auf die gleichen Dateien zugegriffen
/usr/syno/etc/ssl/ssl.crt/server.crt
und
/usr/syno/etc/ssl/ssl.key/server.key

Warum es jetzt bei "normalem" HTTPS Zugriff mit dem eigenen Zertifikat funktioniert und bei WebDAV HTTPS nicht, kann ich irgendwie nicht erkennen.

Gruß

Wolfgang

 

[goetz]

Hallo,
dafür habe ich auch keine Erklärung. Liegt denn in /usr/syno/etc/ssl/ssl.crt/server.crt Dein Zertifikat (evtl am Datum erkennbar)?

Gruß Götz

 

[Wolfman_II]

Nö, das sind die Standarddateien aus 2004.
Wo mein hochgeladenes Zertifikat gespeichert wurde, hab ich nicht nicht gefunden.

 

[jahlives]

Also wenn das Crt und das Key Files sich im von goetz angegebenen Verzeichnis befinden, dann sollte das alle Apps betreffen die SSL/TLS Verbindungen nutzen. Diese Cert werden z.B. auch für den Mailserver verwendet.
Ich würde mir mal die Struktur des Verzeichnisses angucken und die Files in die entsprechenden Unterverzeichnisse kopieren (alte Dateien vorher sichern). Dann müssten alle SSL Dienste dieses Cert übernehmen

 

[itari]

Die spannende Frage ist, wo landet denn das per DSM 3.0 geladene Zertifikat, wenn nicht in weiter oben zitierten Ordnern? Kann das mal jemand nachprüfen, der ein eigenes Zertifikat hat? Denn wenn man das tatsächlich woanders landet, dann muss es doch auch ein Verfahren geben (Skript-Datei), damit dieses geladene Zertifikat auch wirksam wurde.

Itari

 

[jahlives]

Ich habe meine selbergenerierten Certifikate im von goetz angegebenen ssl Verzeichnis resp den Unterverzeichnissen davon.
V.a. was wird denn beim Upload für eine Datei angegeben? Die crt oder das key File? Eigentlich müsste ja beides auf dem Server vorhanden sein.
Könnte es sein, dass dieses alternative (hochgeladene) Zertifikat im Startscript des Häuptlings eingebunden wird?

 

[goetz]

Hallo,
bei den Startscripten bin ich auch nicht fündig geworden. In
/usr\syno\synoman\webman\modules\DSMOptions\uploadsslca.cgi
steht auch nur der Standardpfad.

Gruß Götz

 

[itari]

Aber irgendwo muss das hochgeladenen Zertifikat doch abgeblieben sein? Vor allem, wenn es dann wirksam wurde. /usr/syno/etc.defaults ??? Ich kanns im Moment nicht testen.

Oder ist es gar nicht hochgeldaden worden? Man müsste auch mal in den Browser schauen, ob das neue Zertifikat darin vorkommt.

Itari

 

[Wolfman_II]

Also, ich muss mich jetzt ein klein wenig korrigieren. Ich habe nochmal genau nachgesehen und festgestellt, dass ich ein blinder Depp bin. In dem von Götz genannten Verzeichnis, sind selbstverständlich nicht die Standarddateien von 2004, sondern gar keine Dateien, weil es Verzeichnisse sind (*schäm*).
In diesen Unterverzeichnissen ssl.crt und ssl.key befinden sich augenscheinlich (jedenfalls laut Zeitstempel) das Zertifikat und der Privatekey, die ich am 10.10.10 um 23:02 Uhr auf die DS geladen habe.
Insofern mea culpa, das Zertifikat ist dort wo es hinsoll.

Nur löst das leider nicht mein Problem. Wie oben gezeigt greift sowohl die httpd-ssl-webdav.conf-sys als auch die httpd-ssl.conf auf das gleiche Zertifikat zu und in sofern hat jahlives in seiner Antwort ja auch vollkommen Recht, wenn er sagt, dass das Zertifikat dann eigentlich für alle SSL Dienste gelten müsste.
Ich habe es aber gerade nocheinmal ausprobiert, wenn ich unter https://meinedomain:5006 auf meine DS zugreife sagt mir mein Firefox, dass der Verbindung nicht vertraut wird, da das vom Server gelieferte Zertifikat für synology.com ausgestellt wurde und nicht für meinedomain.
Wenn ich hingegen unter https://meinedomain:5001 auf die DS zugreife zeigt er mir anstandslos die Anmeldeseite für den DSM und es wird auch mein Zertifikat verwendet.

 

[Wolfman_II]

So, des Rätsels Lösung ist gefunden. Ein Absturz von einigen Diensten auf der DS zwang mich zu einem Neustart der DS. Nach dem Neustart liefen erstens alle Dienste wieder und zweitens wurde jetzt auch beim WebDAV-Zugriff mein Zertifikat verwendet

Vielen Dank an alle, die versucht haben zu helfen.