DS211j - WebDAV, eigenes Zertifikat implementieren

[blueangel1610]

Hallo,
ich bin was die Praxiserfahrung angeht ein vollkommener Neuling in Sachen NAS und benötige hinsichtlich der im Betreff genannten Thematik eure fachkundige Hilfe.
Ich habe es nun nach einigen testen und ausprobieren geschafft, den WebDAV in Betrieb zu nehmen, auch über https. Nun möchte ich aber meine Lesezeichen und Passwörter mit den Firefox-AddOn XMarks synchronisieren. Dieses Vorhaben scheitert jedoch weil die Verbindung zum NAS abgebrochen wird, weil ein nicht vertrauenswürdiges Zertifikat vorliegt. Jetzt stellt sich mir jedoch die Frage wie ich mein eigenes benutzerdefiniertes Zertifikat implementieren kann. Kann mir jemand bei dieser Problematik helfen? Außerdem: Wie erstelle ich ein solches Zertifikat?

Verwendete Hardware (Modem+Router): FRITZ!Box Fon WLAN 7050 (UI), Firmware-Version 14.04.33
Installierte Firmware des NAS: DSM 3.0-1354

Ich hoffe mir kann jemand helfen und weiß eine Lösung dazu.

 

[Trolli]

Hast Du dir die Wiki Seite zum Erstellen eines Zertifikats mal angesehen?

Alternativ hat auch itari in seinem Admin-Tool die Zertifikatgenerierung eingebaut.

 

[donkristo]

Lt. Wiki soll man openssl benutzen. Ist das schon vorinstalliert, oder muss man es manuell installieren?

 

[blueangel1610]

Oh mein Gott. Das sind auch meine Wort nachdem ich mich durch so ziemlich alles durchgelesen haben.
Das ist unmöglich für mich. Davon lasse ich dann wohl lieber die Finger .. // Wirklich schade.
Nicht einmal der Verbindungsaufbau zu meiner DS via Telnet funktioniert. obwohl ich unter Windows 7 den Telnet-Dienst schon aktiviert habe.

 

[blueangel1610]

Kann mir jemand erklären wie ich mich über telnet zur DS verbinden kann?
Leider habe ich es mit der Hilfe von dem Wiki nicht geschafft.

 

[Trolli]

Was finktioniert denn nicht? Hast Du die Telnet-Verbindung im Disk Station Manager aktiviert?
Ist bei Dir die interne Firewall der DS eingschaltet? Dann müsste da der Telnet-Port freigegeben werden.

OpenSSL ist bereits auf der DS vorhanden.

 

[blueangel1610]

Es kam kein Verbindungsaufbau zustande, weil der Port 23 nicht erreichbar war.
Ich habe nun in der DS-Firewall die Ausnahmeregel eingerichtet und siehe da: Es funktioniert.
Vielen Dank. Alles weitere wird sich (hoffentlich) ergeben. Wenn nicht dann könnt ihr hier mit weiteren Nachfragen rechnen.
Ich tüffel dann mal weiter

 

[blueangel1610]

Hallo,

heute habe ich wieder Zeit zum testen und scheitere an der nächsten Hürde.
Ein anmelden an der DS211j über PuTTy klappt nun einwandfrei.
Das Anlegen eines Verzeichnisses klappt jedoch nicht so wie in diesem Wiki beschrieben: http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats

 

[Trolli]

Der genaue Befehl ist dort nicht beschrieben:

mkdir /usr/local/ssl

Ich hab das mal im Wiki entsprechend ergänzt.

Und ich werd auch schon mal Deine nächste Frage vorwegnehmen:
Eine kurze Anleitung für den Editor vi gibts hier:
-> http://www.synology-wiki.de/index.php/Der_Editor_vi

 

[blueangel1610]

DiskStation> mkdir /usr/local/ssl
mkdir: can't create directory '/usr/local/ssl': Permission denied

----

Der Befehl funktioniert nicht, zumindest nicht in meinem Fall.
Auch mit su mkdir /usr/local/ssl funktioniert es nicht.
Es scheint als hätte ich nicht die erforderlichen Rechte..

Danke für die Anleitung. Sicherlich hilfreich für die weiteren Arbeitsschritte.

 

[Trolli]

Dann hast Du dich nicht als root angemeldet. Die Anmeldung über SSH oder Telnet muss immer mit dem Benutzernamen root und dem Adminkennwort erfolgen. Sonst hast Du nicht die benötigten Rechte.

 

[blueangel1610]

Problem behoben // Vielen Dank für den Tip.

Ich schaffe es gerade aber nicht diesen Inhalt

[ req ]
default_bits = 1024
distinguished_name = req_DN
string_mask = nombstr

[ req_DN ]
countryName = "1. Staat (2 Buchstaben)"
countryName_default = DE
countryName_min = 2
countryName_max = 2
stateOrProvinceName = "2. Bundesland "
localityName = "3. Ort "
0.organizationName = "4. Name der Organisation "
organizationalUnitName = "5. Name der Organisationseinheit "
commonName = "6. Common Name (Synology Station) "
commonName_max = 64
commonName_default = Synology Station
emailAddress = "7. Email Adresse "
emailAddress_max = 40

in die vorgegebenen Dateien zu kopieren und zu speichern. Den kopierten Text kann ich ja mit der Tastenkombination "UMSCHALT + Einfg" einfügen. Speichern klappt nur nicht so ganz?!

Darüber hinaus weiß ich nicht welches Passwort ich bei

openssl genrsa -des3 -out ca.key 1024

eingeben soll. Woher soll ich das 1024bit lange Passwort haben?

 

[Trolli]

Deswegen der Link zum Editor vi.
In vi kommst Du mit 'i' zum Eingabemodus (insert). Dann kannst Du den Text reinkopieren. Mit 'Esc' verlässt Du den Eingabemodus wieder, danach kannst Du mit ':wq' (write + quit) speichern und schliessen.

Alternativ kannst Du die Datei auch unter Windows erstellen und anschließend über Telnet/SSH an den richtigen Ort kopieren. Ich nehme aber an, dass Du die Datei dann mit Unix-Zeilenenden abspeichern musst, z.B. mit Notepad++.

Das Passwort musst Du Dir ausdenken - es wird dann bei den späteren Schritten wieder benötigt.

 

[blueangel1610]

Stückchen für Stückchen komme ich, vorallem aber mit Eurer Hilfe, dem Ziel immer näher.

Wo es derzeit streikt ist an dieser Stelle:

Erstellung des endgültigen Zertifikats mit einer Gültigkeit von 10 Jahren:

openssl req -config ca.config -new -key ca.key -out ca.csr

Ich erhalte nach der Eingabe von DiskStation> openssl req -config ca.config -new -key ca.key -out ca.csr diese Fehlermeldung:

WARNING: can't open config file: /usr/syno/ssl/openssl.cnf
error on line 20 of ca.config
1073868240:error:0E079065:lib(14):func(121):reason(101):NA:0:line 20

Bei den Eingaben zuvor hatte jedoch alles reibungslos geklappt. Wo könnte dieses mal der Stein begraben liegen.
Immerhin habe ich festgestellt das die ca.config gar keine 20. Zeile besitzen sollte.
Ich finde es erstaunlich interessant, wie tief man doch in diese Materie eindringen kann und muss, um die DS seinen eigenen Wünschen und Bedürfnissen anzupassen. Ich bin ehrgeizig und bin mir sicher zusammen schaffen wir das

 

[Trolli]

Schau dir nochmal die ca.config an. Sieht da wirklich alles richtig aus?

 

[blueangel1610]

Ich denke schon. Ich mit meinem Laienwissen finde dort zumindest keinen offensichtlichen Fehler.

An der unten aufgeführten Stelle macht sich ja auch schon der erste Fehler bemerkbar.


DiskStation> openssl genrsa -des3 -out ca.key 1024
WARNING: can't open config file: /usr/syno/ssl/openssl.cnf
Generating RSA private key, 1024 bit long modulus
.........................++++++
.....++++++
e is 65537 (0x10001)

 

[blueangel1610]

Neuer Erkenntnisstand:

Lediglich der 3. beschriebene Punkt bei Erstellung des Stammzertifikats im Wiki, unter http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats, scheint fehlzuschlagen.

Die Inhalte der Dateien sind geprüft und haben ihre Richtigkeit.

Ich habe dann einfach mal mit dem Punkt Erstellung des Server-Zertifikats weitergemacht, was auch funktioniert, weil er meine Daten dort abfragt. Aber auch hier scheitert es beim schlussendlichen erstellen des Server-Zertifikats, weil eben schon das Stammzertifikat nicht vorliegt, was er mir auch mit der Fehlermeldung

Error opening CA Certificate ca.crt

bestätigt.

Wir nähern uns gemeinsam immer weiter dem Ziel *g // Vielen Dank für eure Geduld.

 

[Trolli]

Die Standard-Konfiigurationsdatei 'openssl.cnf' ist nicht auf der DS vorhanden. Deshalb wird in der Anleitung die selbsterstellte ca.config genutzt. Könnte höchstens noch sein, dass die neue Version von openssl ein paar weitere Optionen erwartet, die wir in dieser ca.config noch nicht drin haben. Versuch mal die Konfigurationsdateien im Anhang, mit denen hab ich auf jeden Fall schon Zertifikate erstellt. Enpacken, ins Verzeichnis 'public' kopieren (oder halt in ein anderes Verzeichnis), und dann damit ins richtige Verzeichnis kopieren:

cp /volume1/public/ca.config /usr/local/ssl
cp /volume1/public/server.config /usr/local/ssl

 

[blueangel1610]

Gesagt getan. Wenn ich die Dateien kopiert habe, erfolgt keinerlei Fehlermeldung. Ich gehe daher davon aus das der Kopiervorgang korrekt verlaufen ist.

Führe ich diesen Befehl aus:

openssl genrsa -out server.key 1024

erhalte ich die nun aufgeführte Fehlermeldung:

DiskStation> openssl genrsa -out server.key 1024
WARNING: can't open config file: /usr/syno/ssl/openssl.cnf
Generating RSA private key, 1024 bit long modulus
.....................++++++
..++++++
e is 65537 (0x10001)

 

[Trolli]

Das scheint nur eine Warnung zu sein, keine Fehlermeldung. Sollte eigentlich ok so sein.