DSM 6.x und darunter SSL Zertifikat im DSM Einbinden - Privater Schlüssel und das Zertifikat stimmen nicht

[Testor]

Hallo,
ich versuche in der Systemsteuerung - DSM Einstellungen das neu erstellte SSL Zertifikat (für 213+) zu importieren.

Dazu verwende ich den ca.key als privaten Schlüssel aus diesem Verzeichnis:: /usr/syno/etc/ssl/ssl.key/ca.key
und die Datei
ca.crt aus diesem Verzeichnis:: /usr/syno/etc/ssl/ssl.crt/ca.crt.

Der Import meldet sich mit "Der private Schlüssel und das Zertifikat stimmen nicht überein". (siehe Bild)

Könnte mir bitte jemand helfen zu verstehen wo hier der Fehler ist?

Welche erzeugten Dateien muß ich hier einbinden, damit das Zertifikat korrekt eingebunden wird?

Vielen Dank!

 

[Testor]

Hallo,
ich versuche in der Systemsteuerung - DSM Einstellungen das neu erstellte SSL Zertifikat (für 213+) zu importieren.

Dazu verwende ich den ca.key als privaten Schlüssel aus diesem Verzeichnis:: /usr/syno/etc/ssl/ssl.key/ca.key
und die Datei
ca.crt aus diesem Verzeichnis:: /usr/syno/etc/ssl/ssl.crt/ca.crt.

Der Import meldet sich mit "Der private Schlüssel und das Zertifikat stimmen nicht überein". (siehe Bild)

Könnte mir bitte jemand helfen zu verstehen wo hier der Fehler ist?

Welche erzeugten Dateien muß ich hier einbinden, damit das Zertifikat korrekt eingebunden wird?

Vielen Dank!

Ich möchte hier nochmals um Hilfe bitten. Habe das Zertifikat nach WIKI Anleitung durchgeführt. Das eigene Zertifikat in Windows certmgr.msc der eigenen PCs eingebunden. Soweit kein Problem.

Ich ging davon aus, dass ich das erstellte Eigenzertifikat auch in den Webserver einbinden kann. Wenn ja, dann verstehe ich nicht wie ich den "Privaten Schlüssel" erzeugen kann. Im WIKI fand oder gibt es
keinen Hinweis darauf. Das Zertifikat "ca.crt" ist vorhanden. Ein SSL Code wird in /volume1/public/ abgelegt.

Kann ich ein selbst erstelltes Zertifikat im Webserver einbinden?? Wenn ja, wie erstelle ich einen "privaten Schlüssel"?


Danke.

 

[Nastas]

Ich hab das jetzt so verstanden das du nach WIKI's Anleitung vorgegangen bist? Nur verstehe ich nicht warum du dann die Zertifikate noch mal installieren willst? Die Zertifikate sind doch alle erstellt. Das was du dann in publik hinterlegst ist nur das Zertifikat das du zum Beispiel in den Explorer hinterlegen kannst. Es gibt da ne versändlichere Anleitung als die in der WIKI, zumindestens für Anfänger: http://iphoneinaktion.de/2011/08/synology-nas-ssl-zertifikat-generieren-fur-sicheren-zugriff-von-unterwegs/

 

[Testor]

Danke für das Feedback.

Das Zertifikat ca.crt wird in usr/syno/etc/ssl/ssl.crt nach der Generierung hinterlegt.
Dieses kopiere ich auf meinen PC und mit Rechtsklick auf ca.crt füge ich das in den Window Zertifikat Manager [certmgr.msc] ein.

In der Datei "public" befindet sich der generische Code, den ich - soweit ich weiß - nirgendwo einfügen kann. Nach meinem Verständnis ist dieser Code das
"Gegenstück" auf der DS für eine SSL verschlüsselte Übertragung. Bitte um Korrektur, wenn ich mich hier Irre!

Im Grunde genommen funktioniert die Einbindung des ca.crt in die PC Systeme. Die Übertragung der Daten über 5001 und 7001 oder auch WebDav 5006 wird auch ohne meckern des Browsers
oder des FTP Clients korrekt ausgeführt.

Aus diesem Grund verstehe ich Deinen Punkt des "public" einbindens nicht.

Um auf Deine Eingangsfrage zu antworten warum ich das tun möchte: Ich dachte mir, dass der Apache Web Server der DS auch die Einbindung des Zertifikates benötigt. Was von meinem Standpunkt auch
logisch wäre, denn warum sonst wäre dieser Button "Zertifikat importieren" sonst unter WEbdienste - HTTP Dienst aufgeführt??

Wenn das so ist - wie ich denke - dann verstehe ich nicht was der "Private Schlüssel" ist und vor allem warum habe ich den laut WIKI nicht mit generiert.

Vielleicht müsste das WIKI um die Erzeugung des "Privaten Schlüssels" ergänzt werden.

 

[Nastas]

Danke für das Feedback.

Aus diesem Grund verstehe ich Deinen Punkt des "public" einbindens nicht.

Um auf Deine Eingangsfrage zu antworten warum ich das tun möchte: Ich dachte mir, dass der Apache Web Server der DS auch die Einbindung des Zertifikates benötigt. Was von meinem Standpunkt auch
logisch wäre, denn warum sonst wäre dieser Button "Zertifikat importieren" sonst unter WEbdienste - HTTP Dienst aufgeführt??

Wenn das so ist - wie ich denke - dann verstehe ich nicht was der "Private Schlüssel" ist und vor allem warum habe ich den laut WIKI nicht mit generiert.

Vielleicht müsste das WIKI um die Erzeugung des "Privaten Schlüssels" ergänzt werden.

Das einbinden des Public Ordners nutze ich ja nur um die ca.crt Datei da hin zu kopieren. Das kann man ja Handhaben wie man will. Ich nutze zum Beistpiel die ca.crt Datei überhaupt nicht. Wenn du nach Anleiteitung der Wiki gegangen bist dann brauchst du nichts mehr zu machen. Du musst da nichts mehr in die DiksStation kopieren. Das Interface "Zertifikat importieren" nutzt man ja nur wenn man das Zertifikat über einen anderen "Weg" (Anbieter, Programm) erstellt oder erstellen hat lassen.

 

[Testor]

Ok, der letzte Satz war's der mir einleuchtet. Vielen Dank!

Nur als Ergänzung hier die Anweisung aus dem WIKI::

Installation des Zertifikats auf dem Client-Rechner

Abschließend muss das Zertifikat noch auf den Client-Rechnern als "vertrauenswürdige Stammzertifizierungsstelle" installiert werden. Dazu kopiert man die Datei ca.crt auf den jeweiligen Rechner. Die Installation erfolgt unter Windows aus dem Explorer mit Rechtsklick -> Zertifikat installieren.

Auf der DS braucht man nach der Erstellung des Zertifikats in der Tat nichts mehr zu machen, es sei denn - wie Du schreibst - man erstellt ein Zertifikat über andere Anbieter.

Danke nochmals für die Klärung.

 

[Nastas]

Danke nochmals für die Klärung.

Wenn ich dir ein wenig Licht ins Dunkeln gebracht habe, dann freut es mich.

 

[Frogman]

Als Ergänzung: in der aktuellen c't ist das Erstellen und Einbinden von SSL-Zertifikaten (auch für email-Verschlüsselung) sehr gut beschrieben.