Zertifikate austauschen

Status
Für weitere Antworten geschlossen.

karlgoldfinger

Benutzer
Mitglied seit
02. Jul 2007
Beiträge
25
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich möchte gerne bei meiner DS-106 ein SSL-Zertifikat installieren,
welches auf meinen Namen registriert ist, da das vorhandene SSL-
Zertifikat auf Synology Inc. ausgestellt ist. Das schreckt meine
Besucher ab.
Ferner möchte ich, dass kein Zertifikatsfehler im Browser angezeigt
wird.

Ich vermute, dass dies bei selbst-signierten Zertifikaten immer
so der Fall ist, richtig?

Wenn das sinnvoll ist, würde ich ein Zertifikat von www.cacert.org
einsetzen, da dies kostenlos ist.

Hat das schon einmal jemand gemacht?
Oder hat jemand Erfahrung mit so etwas?
Wie muss man dabei vorgehen?
Und was ist dabei zu beachten?

Danke für Eure Hilfe

Gruss
Karl
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0

CS407Rudi

Benutzer
Mitglied seit
20. Dez 2008
Beiträge
171
Punkte für Reaktionen
6
Punkte
24
Hi Trolli

Bin ein wenig neu im Linux aber mit dem Wiki bin ich gut klargekommen und habe mir wie dort beschrieben ein Zertifikat erstellt. Nach dem Reboot komme ich leider nicht mehr auf die CS407 drauf, Laufwerke Freigaben etc funktionieren noch. Ja sicher ich habe ein Backup der 3 Files gemacht, falls die Frage kommt. Würde doch gern wissen, warum es trotzdem nicht geht.
Das Zertifikat habe ich dann auch in den PC reingekommen. Es muss in den Ordner Vertrauenwürdige Stammzertifizierungsstellen rein und ist dort auch als gültig gemeldet.
Jetzt weiiß ich erstmal nicht weiter.
kann mir jemand einen Tipp geben?
Der Browser meint:
Obwohl die Website gültig erscheint, konnte keine Verbindung aufgebaut werden....
weder per https noch mit http.
LG
Rudi
 

CS407Rudi

Benutzer
Mitglied seit
20. Dez 2008
Beiträge
171
Punkte für Reaktionen
6
Punkte
24
Moin
Ich antworte mir mal selber.
nach dem Rückspielen der bak files geht erst einmal alles wieder mit dem alten Zertifikat. Voher hatte ich in den System messages folgende Infos gefunden:
Jan 17 22:38:41 ftpd[3567]: init.c (82) Error loading '/usr/syno/etc/ssl/ssl.key/server.key'
Jan 17 22:38:41 ftpd[3567]: main.c (352) Failed to initial SSL configs.
Warum die Server.key nicht geladen werden konnte, habe ich nicht rausbekommen, habe alles so gemacht wie es im WIKI steht. Nur bei der Eingabe bei

commonName = "6. Common Name (DynDNS) "

war ich mir nicht sicher, weil ich da meine richtige *homeip.net* eingegeben habe. Sonst wüßte ich nicht was an dem ganzen prozess schiefgegangen ist.

LG
Rudi
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Möglicherweise hast Du den Passwortschutz nicht aus der server.key entfernt? Dann wird beim Start des Apache-Servers nach dem Passwort gefragt - und das kannst Du beim Systemstart natürlich nicht angeben. Deshalb schlägt der Start des Webservers fehl. Nur eine Vermutung.

Ich hab das mittlerweile auch recht schön im deutschen Synology Wiki dargestellt: http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats

Trolli
 

PAPPL

Benutzer
Mitglied seit
02. Dez 2008
Beiträge
131
Punkte für Reaktionen
0
Punkte
16
Hallo,

in der wiki steht:

Rich (BBCode):
ca.config mit folgendem Inhalt:

[ req ]
default_bits = 1024
distinguished_name = req_DN
string_mask = nombstr

[ req_DN ]
countryName = "1. Staat (2 Buchstaben)"
countryName_default = DE
countryName_min = 2
countryName_max = 2
stateOrProvinceName = "2. Bundesland "
localityName = "3. Ort "
0.organizationName = "4. Name der Organisation "
organizationalUnitName = "5. Name der Organisationseinheit "
commonName = "6. Common Name (Synology Station) "
commonName_max = 64
commonName_default = Synology Station
emailAddress = "7. Email Adresse "
emailAddress_max = 40

Hab da noch eine Frage:
Bei stateOrProvinceName = "3. Ort "
muss man dort z.B. "3. Berlin" oder nur "Berlin" eingeben?
Muss ich alle Angaben machen?
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Ja. Ich war mal so frei, das ein wenig zu übersetzen. Bin mir nicht wirklich sicher, welche Angaben hier minimal möglich sind. Das wichtigste ist auf jeden Fall der Common Name. Der darf auf keinen Fall fehlen.

Hier mal eine ausführlichere Anleitung, die allerdings nicht speziell auf die Synology Stations zugeschnitten ist: http://mathias-kettner.de/lw_ca_zertifikat_erstellen.html

Trolli
 

CS407Rudi

Benutzer
Mitglied seit
20. Dez 2008
Beiträge
171
Punkte für Reaktionen
6
Punkte
24
Hallo Trolli,

Möglicherweise hast Du den Passwortschutz nicht aus der server.key entfernt? Dann wird beim Start des Apache-Servers nach dem Passwort gefragt - und das kannst Du beim Systemstart natürlich nicht angeben. Deshalb schlägt der Start des Webservers fehl. Nur eine Vermutung.

Trolli

Danke für die Info,
Ich habe mich ja genau an die Reihenfolge im WIKI gehalten (dein Link). Wo ist denn die Stelle, wo der Passwortschutz aus der server.key entfernt wird?
LG Rudi
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Du meinst den ersten (englischen) Link, oder?

Diese Stelle:
openssl rsa -in server.key -out server.key.insecure
mv server.key server.key.secure
mv server.key.insecure server.key
Nach diesen drei Befehlen ist die server.key ohne Passwort.

Trolli
 

CS407Rudi

Benutzer
Mitglied seit
20. Dez 2008
Beiträge
171
Punkte für Reaktionen
6
Punkte
24
Du meinst den ersten (englischen) Link, oder?
Diese Stelle:
Zitat:
openssl rsa -in server.key -out server.key.insecure
mv server.key server.key.secure
mv server.key.insecure server.key

Ups, der fehlt aber im deutschen WIKI. Na dann werde ich mich nochmal an die Arbeit machen...

Vielen Dank auch Chef :D
LG
Rudi
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Im deutschen Wiki ist das anders. Da wird der server.key erst gar nicht mit passwort geschützt...
 

CS407Rudi

Benutzer
Mitglied seit
20. Dez 2008
Beiträge
171
Punkte für Reaktionen
6
Punkte
24
ja ... aber ich mußte doch einen key für den ca & den server.key eingeben.
Da ich das nun schon drei mal gemacht habe, kann ich mich gut erinnern.
Rudi
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Was passiert denn, wenn Du einfach mal den Apache-Server neu startest mit "/usr/syno/etc/rc.d/S97apache-user.sh restart"?
 

CS407Rudi

Benutzer
Mitglied seit
20. Dez 2008
Beiträge
171
Punkte für Reaktionen
6
Punkte
24
Das kann ich erst am WE wieder probieren, bin gerade nicht zu Hause :D
machen wir also später noch mal, ok?
LG
Rudi
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Alles klar. Du weißt ja, wo Du mich findest... :D

Trolli
 

msarkon

Benutzer
Mitglied seit
12. Jan 2011
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Alles klar. Du weißt ja, wo Du mich findest... :D

Trolli

Hi Trolli,

vielleicht kannst du mir auch helfen. Ich habe exakt das gleiche Problem. Habe mich an die deutsche WiKi-Anleitung gehalten und die Zertifikate erstellt.

Sobald ich aber die original Synology-Zertifikate gegen diese austausche und die Diskstation neu starte, ist die Diskstation nicht mehr erreichbar.

Eine Idee bzw Tipp für mich? Auch ein Neustart des Apache bringt mich nicht weiter.

Viele Dank schonmal.
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Dann bekommst Du aber bestimmt eine Fehlermeldung beim Neustart des Apache-Servers, oder?
Mit welchem Befehl startest Du den Webserver neu?
 

msarkon

Benutzer
Mitglied seit
12. Jan 2011
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Dann bekommst Du aber bestimmt eine Fehlermeldung beim Neustart des Apache-Servers, oder?
Mit welchem Befehl startest Du den Webserver neu?

Neustart über den o. g. Befehl

/usr/syno/etc/rc.d/S97apache-user.sh restart

Eine Fehlermeldung kommt nicht.

NewStation> /usr/syno/etc/rc.d/S97apache-user.sh restart
/usr/syno/etc/rc.d/S97apache-user.sh: user httpd stopped
Start User Apache Server .....
/usr/syno/etc/rc.d/S97apache-user.sh: user httpd started

Bei Aufruf der Diskstation über den SSL-Port kommt im Browser folgende Fehlermeldung:

Gesicherte Verbindung fehlgeschlagen

Das Zertifikat der Gegenstelle hat eine ungültige Signatur.

(Fehlercode: sec_error_bad_signature)
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Dann ist bestimmt auf dem zugreifenden Client voch ein altes Zertifiakt für Deine DS gespeichert. Schau mal, ob Du das findest und lösch es dann einfach.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat