Zertifikat erstellen laut Wiki "Generierung eines eigenen SSL-Zertifikats"

Status
Für weitere Antworten geschlossen.

Adrian-S

Benutzer
Mitglied seit
14. Jan 2009
Beiträge
444
Punkte für Reaktionen
41
Punkte
34
Hallo miteinander,
ich bin nach über 12 Stunden erfolglosem tun am Ende und brauche bitte eure Hilfe.

Ich habe Owncloud auf meiner Syno installiert (möchte Dropbox, Google Kontakte, Google Kalender damit ersetzen) und möchte dort jemanden außerhalb meines Netzwerks (dyndns) Zugriff auf Dateien (DOC,XLS,ZIP) innerhalb eines bei mir freigegebenen Ordners gewähren. Wenn er zugreifen möchte, erscheint diese rote Warnmeldung seines Browsers (Chrome, Firefox) mit einem SSL-Fehler. Dies habe ich nun versucht zu umgehen, indem ich mir ein Zertifikat laut Wiki http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats erstellt habe. Soweit so gut, nun habe ich zwar die Fehlermeldung beim Zugriff über DynDNS weg, aber beim Zugriff innerhalb meines Netzwerks via SSL (z.B. https://192.168.x.x/owncloud oder https:192.168.x.x:5001) kommt diese Fehlermeldung weiterhin.

Was muss ich bitte wo eintragen, damit diese Meldung endgültig und überall verschwindet? Danke im Voraus für eure Hilfe.

PS: Ich brauchte außerdem sowieso ein Zertifikat, um mit der Android App "DAVdroid" von außen auf meine ownCloud Kontakte zugreifen zu können, was ich allerdings wegen o.g. Problems noch nicht getestet habe.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
bei selbstsignierten Cert hast du mindestens immer einen Fehler ;-) Nämlich dass der Signatur der CA nicht vertraut werden kann, da diese nicht öffentlich bekannt ist. Das lässt sich nur umgehen wenn man das Cert von einer vertrauenswürdigen Stelle kauft. Alternativ gibt es auch Anbieter die Gratiscerts anbieten, welche in den Browsern als vertrauenswürdig angesehen werden z.B. Startssl
 

Adrian-S

Benutzer
Mitglied seit
14. Jan 2009
Beiträge
444
Punkte für Reaktionen
41
Punkte
34
Aha O.K. ich denke ich muss mir nochmal Gedanken über mein gesamtes Vorhaben machen.
Ich könnte mir aber, wenn ich das richtig verstanden habe, ein Zertifikat für eine Domain (nur Domain ohne Webspace) z.B. abc.de ausstellen lassen und mittels Umleitung von einer Subdomain z.B. server.abc.de auf DynDNS auf die Syno mit gesicherter SSL Verbindung zugreifen? Außerdem die Syno als Webspace für meine Homepage und auch als Server für meine E-Mail benutzen? Ich brauche dann nur eine Domain bei z.B. dd24.de (ohne Webspace) und ein Zertifikat für diese Domain? Stimmt das soweit?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Dafür reicht dann schon ein SSL-Zertifikat für die Subdomain server.abc.de (wie gesagt, so etwas bekommst Du jahresweise kostenlos). Ein Domain-Zertifikat kostet dann schon etwas Geld...
 

berlin10

Benutzer
Mitglied seit
24. Jun 2011
Beiträge
224
Punkte für Reaktionen
0
Punkte
16
ich kann cacert empfehlen. ohne namen gibts das zertifikat sofort und mit eigenem namen muss man erst sich bei anderen nutzern authentifizieren. hab ich gemacht, alles wunderbar. nur stammzertifikate in den browser oder aufs phone laden, alles super...
 

Adrian-S

Benutzer
Mitglied seit
14. Jan 2009
Beiträge
444
Punkte für Reaktionen
41
Punkte
34
O.K. verstanden. Kann bitte noch jemand meine Frage "Außerdem die Syno als Webspace..." noch beantworten, denn dann weiß ich glaube ich wie ich das ganze einrichten werde. Das wird letztlich dann doch wesentlich mehr Arbeit als gedacht, aber dann sind wenigstens alle Daten bei mir zu Hause.
 

Adrian-S

Benutzer
Mitglied seit
14. Jan 2009
Beiträge
444
Punkte für Reaktionen
41
Punkte
34
@berlin10 Danke für den Tipp, jedoch kommt beim Versuch der CACert Gemeinschaft (https://www.cacert.org/index.php?id=1) beizutreten um ein kostenloses Zertifikat zu erhalten gleich mal ein Zertifikatsfehler im Browser. :D
 
Zuletzt bearbeitet:

berlin10

Benutzer
Mitglied seit
24. Jun 2011
Beiträge
224
Punkte für Reaktionen
0
Punkte
16
hm komisch, installier erstmal die Stammzertifikate, hier: https://www.cacert.org/index.php?id=3

Mit dem Serverzertifikat, also ich habs gemacht und es mir einfacher vorgestellt als es ist.
Du hast die Domain abc.de, generierst dann für die Subdomain 123.abc.de das Zertifikat.
Du installierst das Zertifikat auf der DS, vorher brauchst aber einen Hoster, der das Weiterleiten anbietet. Dyndns hatte ich auch, kannste dafür aber nicht gebrauchen, weil du ja kein Zertifikat auf xyz.dyndns.org erstellen kannst. Wenn Du einfach eine Seitenweiterleitung machst über die Seite an sich, dann ginge das glaub ich auch, weiß ich aber nicht. Ich hab nun bei meinem Hoster eine MX Weiterleitung, das funktioniert so wie bei dyndns auch, in der FritzBox eine Kennung und ein Passwort eintragen und das aktualisiert sich sofort.
 

schmadde

Benutzer
Mitglied seit
15. Jan 2011
Beiträge
240
Punkte für Reaktionen
2
Punkte
18
Was muss ich bitte wo eintragen, damit diese Meldung endgültig und überall verschwindet? Danke im Voraus für eure Hilfe.
Du musst das CA-Zertifikat (in der Anleitung "ca.crt") in deinem Browser als vertrauenswürdige CA hinterlegen. Wie das geht hängt sehr stark vom verwendeten Betriebssystem und Browser ab. Beim Firefox z.B. geht das unter Einstellungen->Erweitert->Zertifikate->Zertifikate anzeigen->Zertifizierungsstellen->Importieren. Bei Safari unter OS X musst Du es in deinen Keystore importieren (doppeklick aufs File), bei Windows gibts glaube ich auch einen Systemweiten Keystore. Evtl. muss das Zertifikat noch umgewandelt werden PKCS#12 versteht eigentlich fast alles. Bei Windows muss man glaube ich sogar PKCS#12 haben.

Für solche Zwecke ein zertifikat von einer "vertrauenswürdigen Stelle" zu kaufen ist IMHO Geldverschwendung. Niemand weiss besser als Du ob Du Deinem eigenen CA-Zertifikat vertrauen kannst. Das Vertrauen dafür in fremde Hände zu legen verringert meiner Meinung nach eher die Sicherheit.

Stellt CAcert denn mittlerweile Server-Zertifikate aus? Das letzte Mal als ich gefragt habe gabs nur Email-Zertifkate.
 

schmadde

Benutzer
Mitglied seit
15. Jan 2011
Beiträge
240
Punkte für Reaktionen
2
Punkte
18
ich kann cacert empfehlen. ohne namen gibts das zertifikat sofort und mit eigenem namen muss man erst sich bei anderen nutzern authentifizieren. hab ich gemacht, alles wunderbar. nur stammzertifikate in den browser oder aufs phone laden, alles super...
Das bringt Dir überhaupt gar nichts. Weil die CAcert root CA in keinem Browser enthalten ist. Die müsstest Du dann erst importieren. Warum soll das besser sein als wenn er seine eigene Root-CA importiert? Das macht nur mehr Aufwand und bringt ihm keinen Nutzen.
 

ubuntulinux

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
2.063
Punkte für Reaktionen
0
Punkte
82
Das CA-Zertifikat von CAcert ist nicht überall dabei. Bei einigen Linux-Distributionen zumindest ist es bereits installiert, ansonsten kann man das ja mit 2 Klicks nachholen ;-) Und auch wenn man es nicht installiert, sofern einem dsa richtige Zertifikat angeboten wird, ist die Sicherheit dieselbe wie bei einem teuren Cert.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
StartCom erzeugt kostenlos aus selbst generierten Schlüsselpaaren Class1-Server-/Emailzertifikate, wie auch im oben zitierten Artikel beschrieben. Vorteil ist, dass man eben nicht erst noch das Root-Zertifikat in vielen Browsern laden muss.
 

berlin10

Benutzer
Mitglied seit
24. Jun 2011
Beiträge
224
Punkte für Reaktionen
0
Punkte
16
Warum soll das besser sein als wenn er seine eigene Root-CA importiert? Das macht nur mehr Aufwand und bringt ihm keinen Nutzen.
Naja angenommen, wie bei mir, es greifen Freunde auf die DS zu, dann musste die Root-CA denen erst wieder schicken, damit sie die importieren. So schickste sie einfach auf die cacert Seite und sagst wo sie klicken sollen, dann wird auch der DS vertraut. Ich habs so und bin zufrieden. Und ja natürlich ist cacert nicht überall drauf, eigentlich fast nirgends, aber ohne Werbung dafür, dass das vernünftig ist, läuft nichts. Wenn man direktes Vertrauen will muss man eben tief in die Tasche greifen und das sehe ich nicht ein, also das ist der Nutzen für mich nicht groß genug 100 Euro im Jahr auszugeben.
 

schmadde

Benutzer
Mitglied seit
15. Jan 2011
Beiträge
240
Punkte für Reaktionen
2
Punkte
18
Naja angenommen, wie bei mir, es greifen Freunde auf die DS zu, dann musste die Root-CA denen erst wieder schicken, damit sie die importieren.
Lt seinem Eingangsposting kann der Freund der das darf ja bereits problemlos zugreifen.
So schickste sie einfach auf die cacert Seite und sagst wo sie klicken sollen, dann wird auch der DS vertraut.
Also ich sehe da keinen Unterschied, auf welches er da klicken soll.
Ich habs so und bin zufrieden. Und ja natürlich ist cacert nicht überall drauf, eigentlich fast nirgends, aber ohne Werbung dafür, dass das vernünftig ist, läuft nichts. Wenn man direktes Vertrauen will muss man eben tief in die Tasche greifen und das sehe ich nicht ein, also das ist der Nutzen für mich nicht groß genug 100 Euro im Jahr auszugeben.
Ich finde CAcert auch nicht schlecht - ich bin ja selbst Assurer. Für nen privaten Service sehe ich aber kein Notwendigkeit dazu. Zumal er den Kram ja schon eingerichtet hat.

An Zertifizierungsstellen werden hohe Anforderungen gestellt und die kann das CAcert system halt nicht erfüllen. Darum ist das Root-Zertifikat auch fast nirgends hinterlegt. Ich finde das auch o.k. so. Es muss sich dann halt jeder wenigstens kurz Gedanken machen was er da tut.
 

Adrian-S

Benutzer
Mitglied seit
14. Jan 2009
Beiträge
444
Punkte für Reaktionen
41
Punkte
34
Ich bin nun die Schritte bei startssl.com durchgegangen, aber habe ehrlich gesagt keine Ahnung was ich da so wirklich getan habe. Ich verstehe zwar Englisch und habe auch meine Domain und danach meine Subdomain wie gefordert eingegeben und jetzt habe ich ein ssl.key und ein ssl.crt auf dem Desktop liegen. Schön, und nun? Ich sollte noch irgendwas mit der Toolbox machen, aber das war so schnell weg, dass ich es gar nicht richtig lesen konnte. Das ganze kostet mich - zusätzlich zu den mehr als 12 Stunden suchen, lesen, ausprobieren gestern - langsam so richtig Nerven. :-(
 

Mike0185

Benutzer
Mitglied seit
26. Jun 2012
Beiträge
439
Punkte für Reaktionen
9
Punkte
24
Ich habe für StartSSL mal eine Anleitung mit Screenshots im PDF erstellt. Die kann ich dir zukommen lassen vielleicht hilft sie dir weiter.
 

schmadde

Benutzer
Mitglied seit
15. Jan 2011
Beiträge
240
Punkte für Reaktionen
2
Punkte
18
Ich bin nun die Schritte bei startssl.com durchgegangen, aber habe ehrlich gesagt keine Ahnung was ich da so wirklich getan habe. Ich verstehe zwar Englisch und habe auch meine Domain und danach meine Subdomain wie gefordert eingegeben und jetzt habe ich ein ssl.key und ein ssl.crt auf dem Desktop liegen. Schön, und nun? Ich sollte noch irgendwas mit der Toolbox machen, aber das war so schnell weg, dass ich es gar nicht richtig lesen konnte. Das ganze kostet mich - zusätzlich zu den mehr als 12 Stunden suchen, lesen, ausprobieren gestern - langsam so richtig Nerven. :-(
Warum importierst Du nicht einfach Dein ca.crt in den Browser und gut ist? Das dauert keine 5 Minuten. Wozu 12 Stunden um die Ohren schlagen?
 

Adrian-S

Benutzer
Mitglied seit
14. Jan 2009
Beiträge
444
Punkte für Reaktionen
41
Punkte
34
@schmadde Das habe ich unzählige male versucht und es hat trotzdem nicht hingehauen, dass die Meldung weg war.
@Mike0185 Vielen herzlichen Dank für dein Angebot.
 

Adrian-S

Benutzer
Mitglied seit
14. Jan 2009
Beiträge
444
Punkte für Reaktionen
41
Punkte
34
Ich bin die Anleitung auf http://missilehugger.com/819/ durchgegangen und es hat soweit alles funktioniert. Ein Test über die Subdomain steht aber noch aus.
Sehe ich das richtig, dass das Ausstellen des Zertifikats bei StartSSL.com nichts gekostet hat und das es nur für 1 Jahr gilt? Ziehe ich mit meiner Domain zu einem anderen Provider um, ändert sich aber nichts, da das Zertifikat ja für die Domain allgemein gilt, richtig?
 

Mike0185

Benutzer
Mitglied seit
26. Jun 2012
Beiträge
439
Punkte für Reaktionen
9
Punkte
24
Ich bin die Anleitung auf http://missilehugger.com/819/ durchgegangen und es hat soweit alles funktioniert. Ein Test über die Subdomain steht aber noch aus.
Sehe ich das richtig, dass das Ausstellen des Zertifikats bei StartSSL.com nichts gekostet hat und das es nur für 1 Jahr gilt? Ziehe ich mit meiner Domain zu einem anderen Provider um, ändert sich aber nichts, da das Zertifikat ja für die Domain allgemein gilt, richtig?


richtig.

Bei StartSSL das Zwischenzertifikat nicht vergessen mit zu importieren.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat