Ergebnis 1 bis 7 von 7
  1. #1
    Anwender Avatar von fraubi
    Registriert seit
    25.11.2011
    Beiträge
    565

    Standard SSL Zertifikat auf NAS oder Fritzbox installieren

    Hi zusammen,

    nach dem ich bei Lets Encrypt immer wieder Probleme hatte, die Laufzeit meines SSL-Zertifikates zu verlängern, habe ich nach einiger Suche entdeckt, dass bei meinem Domain-Vertrag bei 1 und 1 (jetzt IONOS) ein kostenloses Wildcard-SSL-Zertifikat inbegriffen ist, welches man von dort auch exportieren und auf dem NAS importieren kann. Dieses ist 1 Jahr gültig, somit habe ich nun 1 Jahr lang keine Probleme mit etwaigen Verlängerungen des SSL-Zertifikates. Das genannten Zertifkat habe ich inzwischen auf meine DS3615xs importiert und es funktioniert fehlerfrei.

    Offenbar ist es aber auch möglich, ein SSL-Zertifikat in die Fritzbox zu importieren. Ich überblicke es gerade nicht, aber muss das Zertifkat zwingend auf dem NAS sein. Welche Vor- und Nachteile hätte es, das Zertifkat evtl. in der Fritzbox und nicht auf dem NAS zu haben.

    Stehe da gerade gedanklich etwas auf dem Schlauch...könnt Ihr mir weiterhelfen ?

    Beste Grüße
    Fraubi


    1x DS3615XS mit 32 GB-RAM = Haupt-NAS mit VM (Windows 10)
    1x DS918+ = Backup-NAS 1 für tägliches Backup der DS3615xs
    1x DS118 = NAS für Surveillance-Station
    1x DS716+ = Test- und "Rumspiel"-NAS
    1x DS214Play = extern stehendes Backup-NAS

  2. #2
    Anwender
    Registriert seit
    17.10.2015
    Beiträge
    52

    Standard

    Moinsen,
    wenn ich es richtig verstehe, dann benötigt am Ende jeder Server ein eigenes Zertifikat. Also: eines für die FB (mit deren Common Name/IP) und eines für dein NAS. Ich habe jetzt keine Ahnung, wie 1und1 Zertifikate erstellt/zur Verfügung stellt. Üblicherweise wird immer ein Common Name abgefragt, der das Zertifikat für genau eine IP definiert.

    Wenn du ein wenig mit Linux vertraut sein solltest: fertige doch deine eigene Zertifikate an. Dann kannst du das für jedes deiner Geräte machen, selber die Gültigkeit bestimmen und auch den Grad der Verschlüsselung.

    Hier ein wenig Info:
    https://legacy.thomas-leister.de/ein...te-ausstellen/

    https://checkmk.de/lw_ca_zertifikat_erstellen.html

    Und für die Fritzbox etwas spezieller:
    https://blog.veloc1ty.de/2015/08/17/...kat-absichern/

    Viel Erfolg
    Grüßle
    the other
    DS215j
    DS218

  3. #3
    Anwender
    Registriert seit
    06.05.2017
    Beiträge
    108

    Standard

    Ich hätte hierzu auch mal einige Fragen, da ich mich mit dem Thema etwas schwer tue und der Ablauf mit OpenSSL stellenweise für mich
    Verwirrend ist.

    1. Auf meinem Linux System erstelle ich die Root Dateien und kopiere diese auf jeden Client?

    2. Das eigentliche Zertifikat erstelle ich ebenfalls auf meinem Linux System und kopiere es auf den jeweiligen Client?
    2.1 Oder erstelle ich das Zertifikat dann auf dem Client selbst mit den Root Dateien von mir?
    (Was für mich Unlogisch ist da ich ja nicht Überall OpenSSL zur Verfügung habe)

    3. „Common Name“ muss/sollte ja den Domain Name des Client haben bzw. die IP unter der der Client erreichbar ist oder?
    3.1 Wenn ich jetzt gerne erreichen möchte dass das Zertifikat sowohl für den DNS als auch für die IP gültig ist. Erstelle ich dann zwei getrennte Zertifikate?
    oder kann man für "Common Name" auch gleichzeitig mehrere Angaben treffen? Immerhin kann man ja auch Wildcards nutzen oder nicht?

    Wenn ich also z.B.: Erreichen möchte das folgendes per Zertifikat "gesichert" ist benötige getrennte Zertifikate oder nur eins?
    mein.syno-nas.de / *.syno-nas.de / IP-der-Nas.de oder
    mein.cisco-switch.de / *.cisco-switch.de / IP-zum-Switch.de usw.

    Das wären dann immer drei Zertifikate oder wo liegt da mal wieder mein Denkfehler :-D

    Würde nämlich auch gerne mal für alle benötigten Geräte ein eigenes Zertifikat erstellen mit einer Entsprechend langen "Lebensdauer" ;-)



    VG und Danke schon mal an alle Helferlein

  4. #4
    Anwender
    Registriert seit
    17.10.2015
    Beiträge
    52

    Standard

    Moinsen,
    bin nun wirklich kein Experte sondern habe selber nur etwas Erfahrungen im Heimbereich gemacht. Also vorsichtig mit meinen Ausführungen...

    1. du erstellst deine eigene CA mit zugehörigem Zertifikat auf deinem ubuntu/linx PC. Genau. Meintest du das mit "root Dateien"?

    2. du erstellst dann mit eben dieser CA auf deinem PC deine benötigten Server-Zertifikate (NAS, Fritzbox, ggf. Switch > wobei das Importieren von eigenen Zertifikaten auf cisco Geräten echt etwas komplizierter ist, hab ich selber bislang vermieden)

    Beides kannst natürlich auch auf deiner NAS machen (wenn du openssl dort auf der Kommandozeile installieren willst/kannst). Ich persönlich habe da die best practice mal vergessen (ist ja nur mein Heimnetz ohne Internetanbindung/ Ansteuern übers Internet) und alle benötigen Zertifikate lokal auf dem PC erstellt (also CA, CA-Zertifikat, Server-Zertifikate). Danach habe ich die Zertifikate auf die jeweiligen Geräte geschoben und installiert. Die Clients, welche auf die Geräte zugreifen sollen, bekommen dann das CA-Zertifikat, damit sie wissen, dass die Server-Zertifikate in Ordnung sind. Guck dir dazu noch mal die links im Beitrag oben von mir an...

    3. ich persönlich nutze als CommonName nur die statische IP der jeweiligen Geräte. Auch nicht best practice, da eigentlich die domainnames angegeben werden sollen...wie gesagt, für den von mir erforderten Gebrauch ausreichend.
    Du kannst aber auch IP UND domainname angeben oder sogar verschiedene domainnames. Dies erfordert aber etwas Mehrarbeit, da du der CA sagen musst, dass SANs genutzt werden sollen (also mehrere domainnames/IP Angaben). Hier eine gefundene Anleitung:

    https://www.synology-wiki.de/index.p...SL-Zertifikats

    Bei der Anleitung wird (soweit ich es verstehe) allerdings die CA und alles DIREKT auf der Syno angelegt. Wenn du das am PC machen möchtest, musst du eben die Dateipfade anpassen. Natürlich kannst du auch NANO statt VI nutzen (wenn installiert).

    Früher habe ich das ganze unter ubuntu auf Terminalebene angelegt. Hat für meine Bedürfnisse immer gut funktioniert (bis mal die IP geändert wurde, dann war es natürlich vorbei mit lustig). Heute nutze ich generell meine pfSense zum zentralen Verwalten aller Zertifikate. Kann ich generell empfehlen, das pfSense Thema mal anzulesen. Aber das gehört hier nicht hin...

    Viel Erfolg!!
    Grüssle
    the other
    DS215j
    DS218

  5. #5
    Anwender
    Registriert seit
    06.05.2017
    Beiträge
    108

    Standard

    Ich werde mich da wohl doch noch mal ganz in Ruhe einlesen müssen ....

    Die meisten Anleitungen sind zwar, was den Aufbau und das Erstellen angeht, gut geschrieben aber mir fehlt noch
    das Grundverständnis bzw. der Durchblick beim generellen Aufbau oder der Reihenfolge der benötigten Dateien.

    Also z.b.: für die eigene CA wird mal von Root-Dateien/Zertifikate gesprochen dann wieder vom Stammzertifikat.
    In der einen Anleitung wird als erstes eine "key" Datei erstellt die aber in der einen Anleitung ca-root.key heißt und
    in einer anderen ca-key.pem ... usw.

    Mir fehlt da echt noch der Durchblick in der Reihenfolge und was für was benötigt wird *g*

    Da werden als erst einmal noch ein paar Stunden mit dem Einlesen drauf gehen...
    Und falls ich da mal Durchblicke wird das ganze auf nem RPi per Console erstellt.

    Trotz allem Danke für deine Hilfe

  6. #6
    Anwender
    Registriert seit
    17.10.2015
    Beiträge
    52

    Standard

    Moinsen,
    das ist doch ein super Plan...erstmal lesen lesen, lesen, verstehen, nochmal lesen, mehr verstehen und umsetzen und Erfahrung sammeln. Mach ich auch lieber so.

    Grundsätzlich:
    1 Erst die CA selber anlegen: den zugehörigen Schlüssel mit GEHEIMEN Passwort anlegen (denn den willst du ja nur für DEINE CA haben, daher schützen!), dann das ROOT_Zertifikat/das CA-Zertifikat damit anlegen.
    2. Angaben zur CA machen (freie Auswahl)
    3. Schlüssel für das Server-Zertifikat erstellen (das dann auf den Server, dein NAS, die FB kommt, muss nicht geheim sein)
    4. Die CA mit einem CSR (Request) dazu auffordern dein Server-Zertifikat zu unterzeichnen (ACHTUNG: hier dann genau auf den CommonName achten, siehe Beiträge oben)
    5. ggf. die openSSL Konfigurationsdatei anpassen
    6. Server-Zertifikat signieren lassen von deiner CA und
    7. Import auf Server
    8. das ROOT-Zertifikat in die Clients importieren, denn die sollen ja wissen, dass das signierte Server-Zertifikat auch wirklich von einer anerkannten (ahem) CA signiert wurde.

    Du brauchst also Klarheit was folgende zu erstellende Dateien machen sollen:
    * ca-key.pem (DEIN GEHEIMER!!! CA KEY zum Verifizieren der damit anzulegenden Zertifikate) > NICHT auf den Server legen, sondern gut aufbewahren und NICHT verteilen
    * ca-root.pem (dein ROOT-Zertifikat /CA-Zertifikat, das dann eben deine CA identifiziert) > für die Clients
    * server-cert.pem (das Server-Zertifikat) für den Server/NAS/FB
    Das sind die Dinge die du am Ende benötigst. Ob du die ca-key.pem nennst oder hier-kreist-der-hammer.pem ist egal, mach eben so, dass du durchsteigen kannst...

    Viel Spass beim Lesen, Lernen und verstehen!!
    Grüßle
    the other
    DS215j
    DS218

  7. #7
    Anwender
    Registriert seit
    06.05.2017
    Beiträge
    108

    Standard

    Danke noch mal für deine ausführliche Hilfe.

    Mittlerweile habe ich allerdings eine einfachere Lösung gefunden die zu dem auch eine grafische Benutzeroberfläche hat.
    So muss ich mich nur in die Menüführung einlesen ;-) ... und in den Aufbau der verschiedenen Zertifikaten um beim Erstellen keinen Fehler zu machen.

Ähnliche Themen

  1. SSL - Zertifikat per Script installieren
    Von alexbeer im Forum Terminal-Dienste (Telnet, SSH) - Linux-Konsole
    Antworten: 0
    Letzter Beitrag: 13.06.2018, 12:55
  2. Comodo SSL Zertifikat installieren - Hilfe
    Von KinCH im Forum Sonstiges
    Antworten: 2
    Letzter Beitrag: 28.03.2018, 13:14
  3. Antworten: 8
    Letzter Beitrag: 07.04.2017, 11:39
  4. FritzBox Router und Diskstation: Wo SSL Zertifikat?
    Von gelbfox im Forum Netzwerkkonfiguration
    Antworten: 4
    Letzter Beitrag: 17.06.2016, 11:37
  5. Antworten: 2
    Letzter Beitrag: 02.12.2009, 20:46

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •