Kein https-Zugriff auf DiskStation möglich - Sicherheitszertifikat?

[Ungeheuer]

Ich habe das Problem, dass ich beim Zugriff meiner Synology über quickconnect keine gesicherte Verbindung aufbauen kann.
Der Browser meldet immer nur, dass das Sicherheitszertifikat vom Betriebssystem meines Computers als nicht vertrauenswürdig eingestuft wird.

Was ist hier das Problem und wie kann ich das lösen?

 

[ottosykora]

da gibt es was zu lesen:
https://www.synology-forum.de/showthread.html?103632-HTTPS-Zugriff-funktioniert-nicht-mehr

https://www.synology-forum.de/showthread.html?103392-Hilfe!-Komme-nicht-mehr-auf-den-DSM


es geht eigentlich nicht um den Zertifikat der DS, sondern um den von Herausgeber LE welcher offenbar revoked ist.

Du kannst mit dem Firefox drauf, dabei jedoch den online Check des Herausgeber Zert. abschalten.
(Einstellungen, Zertifikate,Aktuelle Gültigkeit von Zertifikaten durch Anfrage bei OCSP-Server bestätigen lassen deaktivieren)

dann den Zert mit neuem *überschreiben* lassen (nur erneuern nutzt nicht)

Danach geht alles wieder normal

 

[Ungeheuer]

Hmm, so ganz habe ich das noch nicht verstanden.
Was und wie muss ich hier was überschreiben?

Besteht das "Problem" nur innerhalb des Heimnetzes, so dass ich mir bei einem Zugriff von unterwegs keine Gedanken um die Sicherheit machen muss?

 

[ottosykora]

was hast denn für Zertifikat?
Wenn es ein von LetsEncrypt ist, dann den anderen Threads folgen.

Wenn du nur den 'selfsigned' von Synology drin hast, oder einen 'selfsigned' selber erstellt hast, dann kannst du in deinem Browser einfach eine Ausnahme machen und damit den Zert als vertrauenswürdig bezeichen.

Du kannst sogar den 'selfsigned' exportieren und in deinen Browser oder Betriebsystem einfügen, dann wird es auch funktionieren.

 

[Ungeheuer]

Keine Ahnung, habe nie eins erstellt....wird also das hauseigene von Synology sein

 

[Ungeheuer]

Du kannst sogar den 'selfsigned' exportieren und in deinen Browser oder Betriebsystem einfügen, dann wird es auch funktionieren.

Gibt es dazu irgendwo eine Anleitung?

 

[ottosykora]

dann fügst du also eine Ausnahme in deinem Browser ein und schon geht es. Da gibt es zum Bsp bei Firefox dann so ein Knopf erweitert oder so was, dort klicken und dann kann man eine Ausnahme einfügen. Da wird man vieleicht noch gefragt ob man es wirklich will, ja, und dann soll es von da an funktionieren.

 

[Ungeheuer]

Nein, das funktioniert leider nicht....auch nicht bei anderen Browsern!

Anscheinend habe ich doch ein größeres Problem! Wenn ich übers iPhone versuche, DS Apps mit Zertifikatsüberprüfung zu starten, dann kommt die Fehlermeldung: "Das SSL-Zertifikat der DiskStation ist nicht vertrauenswürdig."

 

[Benares]

Wenn eine solche Meldung kommt, klick oben im Browser auf das Schloss und lass dir das "nicht vertrauenswürdige" Zertifikat anzeigen. Irgendwo, unter Details, gibt es dann auch die Möglichkeit das Zertifikat als Datei zu speichern. Leg's z.B. auf den Desktop als xxx.cer. Anschließend machst du einen Rechtsklick darauf und wählst "Zertifikat installieren". Anschließend wählst du als "Speicherort" dann "Vertrauenswürdige Stammzertifizierungstellen" aus. Zumindest nach einem Neustart des Browsers sollte es dann ohne diese Warnung gehen. Die Datei brauchst du dann nicht mehr.

Der Zertifikatsspeicher ist browserunabhangig, lediglich der Weg, das Zertifikat als Datei zu speichern, ist von Browser zu Browser etwas anders, aber meist ähnlich. Das oben beschriebene gilt für Chrome.

Was sich in deinem Zertifikatsspeicher im Laufe der Zeit so alles angesammelt hat bzw. was da alles vordefiniert ist, kannst du mit Windows-Taste, "certmgr.msc" einsehen/bearbeiten.

 

[ottosykora]

Der Zertifikatsspeicher ist browserunabhangig

nicht ganz. Firefox und Derivate haben einen eigenen Speicher, die greifen nicht auf den Windows Speicher zu.

 

[Benares]

Hast Recht, FF verhält sich da wirklich etwas anders. Wusste ich nicht. Aber trotzdem ist der Weg ähnlich.

 

[Ungeheuer]

Wenn eine solche Meldung kommt, klick oben im Browser auf das Schloss und lass dir das "nicht vertrauenswürdige" Zertifikat anzeigen. Irgendwo, unter Details, gibt es dann auch die Möglichkeit das Zertifikat als Datei zu speichern. Leg's z.B. auf den Desktop als xxx.cer. Anschließend machst du einen Rechtsklick darauf und wählst "Zertifikat installieren". Anschließend wählst du als "Speicherort" dann "Vertrauenswürdige Stammzertifizierungstellen" aus. Zumindest nach einem Neustart des Browsers sollte es dann ohne diese Warnung gehen. Die Datei brauchst du dann nicht mehr.

Der Zertifikatsspeicher ist browserunabhangig, lediglich der Weg, das Zertifikat als Datei zu speichern, ist von Browser zu Browser etwas anders, aber meist ähnlich. Das oben beschriebene gilt für Chrome.

Was sich in deinem Zertifikatsspeicher im Laufe der Zeit so alles angesammelt hat bzw. was da alles vordefiniert ist, kannst du mit Windows-Taste, "certmgr.msc" einsehen/bearbeiten.

Vielen Dank für die Anleitung!
Ich habe das jetzt mal genauso wie beschrieben durchgeführt, allerdings ist immer noch keine Besserung eingetreten.
Obwohl das Zertifikat gespeichert ist, tritt immer noch die Fehlermeldung auf!?

 

[Benares]

... und wie lautet die Fehlermeldung ganz genau? Und was zeigt das "Schloss" nun als Zertifikatsstatus an?
Chrome z.B. ist da inzwischen ganz penibel und wertet nur noch die Liste der AlternateNames aus, nicht mehr den CommonName. Bei der Zertifikatserstellung ist es daher wichtig, zumindest den CommonName auch als AlternateName einzutragen. Ich hab mir da als AlternateNames gleich eine ganze Liste all meiner (auch internen) Namen/IPs angelegt, so reicht ein Zertifikat und dessen Aufnahme in "Vertrauenswürdige Stammzertifizierungstellen" gleich für alle aus.