DSM 6.x und darunter [B]Selbst unterzeichnetes Zertifikat erstellen - Was muss ich hier eingeben ?[/B]

[picco]

Hallo und Hiiiiiiilfeeee !

Ich Dösbaddel habe versucht eine WebDAV - Verbindung für meine User zu ermöglichen.
Dazu habe ich unter iDomix "gelernt", dass dazu ein selbstunterzeichnetes Zertifikat notwendig ist.

Habe diese nun mal testweise versucht und einfach ein paar Daten eingegeben um zu sehen, was passiert ... Fehler !
Denn ich hatte gedacht, dass der DSM das von Synology erstellte Zertifikat behält und später dann einfach mehrere Zertifikate vohanden wären.
Jetzt ist das Zertifikat von Synology leider weg und ich muss jetzt irgendwie ein Eigenes hinbekommen.
Mir ist jedoch nicht ganz klar was ich jeweils in den verschiedenen Zeilen eingeben sollte und wie das Zertifikat dann aussieht .....
Hoffe Ihr könnt mir helfen !!!

Angefangen habe ich so:



Was sollte ich hier genau eintragen ... wo z.B. die DDNS Adresse ... und welche Daten/Zeilen erscheinen später in ausgestellt für und ausgestellt von des Zertifikats ?



Klick auf Weiter bringt mich nach hier:



Bitte, bitte helft mir !!!!

DANKE !

picco

 

[fuuman]

Problem mittlerweile gelöst? Wenn ja, wie?

 

[spencerbudd]

Bin auch neugierig? Gelöst?

Und hat das selbst unterzeichnete Zertifikat Vor- oder Nachteile?

 

[dil88]

Ein selbstunterzeichnetes Zertifikat ist technisch nicht minderwertig. Der Browser meckert nur, weil es nicht von einer ihm bekannten CA ausgestellt und unterzeichnet wurde. Solange das niemanden abschreckt, braucht man das Zertifikat nur herunterzuladen und dauerhaft zu speichern, dann ist Ruhe (Stichwort im Firefox: "Ich kenne das Risiko").

 

[spencerbudd]

Ist das selbst erstellte Zertifikat denn besser, als das von Synology vorinstallierte?

 

[Thorndike]

Technisch nicht, man kann nur den eigenen Namen reinschreiben anstatt synology.com

 

[spencerbudd]

Also eigentlich unnötig...

 

[fero]

Schade, dass hier niemand Antwort geben kann. Ich stehe vor der gleichen Herausforderung. Unter Common Name kommt die DynDNS Adresse rein, also z. B. xy.selfhost.eu (so jedenfalls mein Verständnis). Allerdings gibt es zwei verschiedene Masken mit fast identischen Eingabefeldern. In der zweiten muss dann ein anderer Common Name eingetragen werden, sonst meckert DSM und erstellt kein Zertifikat. Bin nur ratlos, was da rein soll.

Wer kann weiterhelfen?

 

[Andy14]

Da können noch weiter Domains eingetragen werden. Bei dir eigentlich nicht nötig.
https://en.wikipedia.org/wiki/Subject_Alternative_Name
Kannst da z.B. einfach wie im Beispiel mail.xy.selfhost.eu nehmen.

 

[fero]

Ich habe mehrfach gelesen, dass es Vorausetzung ist, dass die DynDNS Adresse im Zertifikat enthalten sein muss (z. B. hier: https://thomas-leister.de/eine-eigene-openssl-ca-erstellen-und-zertifikate-ausstellen/
). Das widerspricht sich mit dem, was spencerbudd oben geschrieben hat. Andy14 schreibt "Kannst da z. B. einfach...". klingt nicht definitiv. Oder kommt die Adresse erst in einem späteren Schritt ins Zertifikat? Ich erhalte ein .pem Zertifikat. Ist das denn ausreichend oder muss das noch weiter verarbeitet werden bis es ein .crt Zertifikat ist. Falls ja, wie

Das waren also zwei Fragen:
1. Was für ein Zertifikat brauche ich: .pem (Base64-kodiertes Zertifikat, umschlossen von „-----BEGIN CERTIFICATE-----“ und „-----END CERTIFICATE-----“) oder .crt (DER- oder Base64-kodiertes Zertifikat)
2. Muss das Zertifikat auf den DynDNS Namen ausgestellt sein und falls ja im .pem oder im .crt?

 

[AngusMac]

Schade, dass hier niemand Antwort geben kann.

Das liegt vielleicht an dem alter des Threads und daran, dass sich der TE nicht wieder gemeldet hat.

Sagt dir Let's Encrypt etwas?
Ein Assistent dafür ist sogar schon im DSM integriert. Funktioniert bei meiner DynDNS einwandfrei.

 

[Andy14]

Das unter Common Name deine Adresse rein soll hast du doch geschrieben, deshalb bezog sich meine Antwort auf die Frage des "Alternativen Namen"!

 

[fero]

Ah, okay. Danke für die Antworten.
Auf die eingebaute Funktion Let's encrypt bin ich leider erst spät gestoßen. Sobald ich zu hause eintrudel werde ich das testen. Hast du denn dann noch ein Zertifikat auf dem Client installiert? Diese Hinweise finde ich zur genüge hier im Forum. Ein Bekannter gab den Gedankenanstoß, dass ich doch auch kein Client-Zertifikat installiere wenn ich bspw. einen Internetshop mit https-Verbindung besuche. Das klingt plausibel. Kannst du das bestätigen?

 

[Andy14]

Falls du Firefox nutzt, dann kannst du mal unter Einstellungen:Erweitert:Zertifikate->Zertifikate anzeigen Zertifizierungsstellen schauen.
Zertifikate von diesen ganzen Firmen "vertraut" der Browser, da muss man dann nichts mehr importieren!
Da dort auch nicht alles Gold ist was glänzt, gab es da auch mal das Spielchen mit "honest Achmed" ;-)
https://www.heise.de/security/meldung/Der-ehrliche-Achmed-bittet-um-Vertrauen-1231083.html

Let's encrypt wird zur Zeit von IdenTrust validiert und die sind im Browser/Betriebssystem als "vertrauensvoll" eingestuft, also braucht man auf dem Client nichts zu importieren!

 

[s3b-DS]

Moin zusammen,

ich weiß, der Thread ist alt - die o. g. Frage blieb damals aber unbeantwortet und treibt mich jetzt um:

[...]Unter Common Name kommt die DynDNS Adresse rein, also z. B. xy.selfhost.eu (so jedenfalls mein Verständnis). Allerdings gibt es zwei verschiedene Masken mit fast identischen Eingabefeldern. In der zweiten muss dann ein anderer Common Name eingetragen werden, sonst meckert DSM und erstellt kein Zertifikat. Bin nur ratlos, was da rein soll.

Ich kontaktieren meine DS mit einer myfritz-DynDNS-Adresse von außerhalb. Von innen komme ich meist über den Loopback der FritzBox oder über den alias diskstation.fritz.box.

Im Erstellungsdialog wird man erst nach Infos zum Root Zertifikat und danach zu (einfachen) Zertifikat gefragt. Beide benötigen den o. g. Common Name, der aber nicht derselbe sein darf?!

Kann mir jemand kurz erklären, was ich in meinem Fall in die jeweiligen Common-Names bzw. den Alternative-Name des zweiten Formulars eingeben muss?!

Danke euch!

Update: Ich nutze derzeit Let's Encrypt, will davon aber wieder weg und brauche ein neues selbst unterschriebenes Zertifikat.

 

[Benares]

Ist schon lange her bei mir. Common Name gibt es pro Zertifikat nur einen, nämlich der externe Name, z.B. die myfritz-DynDNS-Adresse. Unter Alternate Names kann man eine ganze Liste von Adressen festlegen, für die das Zertifikat auch gültig sein soll, z.B. für die internen Namen wie DS212, DS212.fritz.box, D415, DS415.fritz.box bei mir. Sogar IP-Adressen gehen m.W. auch. So reicht ein Zertifikat für mehrere Ziele.

Edit:
Das was du meinst, dessen Namen unterschiedlich sein müssen, ist m.W. einmal der Name der Zertifizierungsstelle, der man vertrauen muss (z.B. irgendwas.de) und dann noch der Common Name, also die wirkliche DynDns-Adresse.

 

[s3b-DS]

Danke dir für die superschnelle Antwort!

Soweit habe ich mir das auch schon hergeleitet (gut aber, dass du es mit noch einmal bestätigst).

Der Wizard im DSM fragt aber im 1. Schritt den Common-Name im Root Cert und gleich im 2. Schritt nochmal den Common-Name im Cert ab. Trage ich da in beide dasselbe ein, beschwert sich der Wizard.

Kannst du dich da vielleicht doch nochmal an Details erinnern?

 

[Benares]

Ich hab oben nochmal editiert.
Gib im 1. Schritt einfach irgendwas ein, z.B. abc.de, im 2. Schritt dann den wirklichen DDNS-Namen als Common Name. Unter Alternate Names dann alle Adressen, über die du die DS(en) sonst so ansprichst. abc.de registrierst du dann im Browser als "Vertrauenswürdige Zertifizierungsstelle"

 

[s3b-DS]

Cool. Danke! Das werde ich probieren...

 

[ottosykora]

also ich habe in self signed nichts spezielles eingetragen, einfach etwas wie meinen Namen oder so. Ist ja egal, weil es sowieso nicht verifiziert werden kann. Dann die beiden Teile (Cert und CA Cert) in den jeweiligen Browser oder Betriebssystem importieren und schon geht es.