Zertifikat erstellen laut Wiki "Generierung eines eigenen SSL-Zertifikats"

[Adrian-S]

richtig.

Bei StartSSL das Zwischenzertifikat nicht vergessen mit zu importieren.

Zwischenzertifikat?
Ich habe jetzt folgende Dateien vorliegen: certificate.crt, certificate.key, ssl.crt, ssl.key, sub.class1.server.ca.pem
Das mit den Zertifikaten auf des Syno habe ich schon erledigt, aber welche muss ich jetzt noch in Windows oder in den Browsern installieren?

 

[Mike0185]

"sub.class1.server.ca.pem" ist das Zwischenzertifikat und sollte beim Assistenten im DSM mit importiert werden (3. Stelle).

 

[Adrian-S]

Ach so, ja das habe ich schon gemacht. Nach dem einen Jahr muss ich mir also wieder so ein Zertifikat bei z.B. StartSSL.com ausstellen lassen, ansonsten wird wieder der SSL Fehler im Browser angezeigt, oder?

 

[Frogman]

Ja, musst Du. Und hier für die Interessierten einmal eine kurze Beschreibung, warum es Zwischenzertifikate gibt: http://kb.psw.net/questions/13/

 

[Adrian-S]

Ja, musst Du. Und hier für die Interessierten einmal eine kurze Beschreibung, warum es Zwischenzertifikate gibt: http://kb.psw.net/questions/13/

Nett gemeint, aber trotzdem kein Wort verstanden, sorry. Nach ca. dem 5. Satz schaltete mein Hirn leider auf Durchzug und kam nicht mehr mit. Vielleicht sitze ich auch nur schon zu lange an dem Problem und habe deshalb auch schon viel zu viel gelesen.

 

[Frogman]

Kurz gesagt: um die Abhängigkeiten von einem einzigen Root-Zertifikat zu umgehen, wird gerne auch mit Zwischenzertifikaten gearbeitet, die jeweils mit unterschiedlichen Root-Zertifikaten signiert sein können. Für die eigentliche Signierung der Server-Zertifikate werden dann nicht die Root-Zertifikate verwendet, sondern eben die Zwischenzertifikate, die vom Server mit ausgeliefert werden (daher musst Du sie auch in die DS importieren). Die Zertifikatskette ist dann Root-Zertifikat -> Zwischen-Zertifikat -> Server-Zertifikat (wobei in diesem konkreten Fall eines der Root-Zertifikate von StartCom praktisch in allen heute gebräuchlichen Browsern von Haus aus enthalten ist).

 

[schmadde]

Nett gemeint, aber trotzdem kein Wort verstanden, sorry. Nach ca. dem 5. Satz schaltete mein Hirn leider auf Durchzug und kam nicht mehr mit. Vielleicht sitze ich auch nur schon zu lange an dem Problem und habe deshalb auch schon viel zu viel gelesen.

Diese verschwurbelte Erklärung hätte ich vermutlich auch nicht verstanden, wenn ichs nicht schon gewusst hätte.

Es funktioniert so: Der Client (Browser) vertraut nur dem Root-Zertifikat und allen Zertifikaten die von diesem unterschrieben worden sind. Jetzt wird das Zertifikat, welchen Dein Webserver-Zertifikat unterschrieben hat nochmal vom Root-Zertifikat unterschrieben. Das ist dann das Intermediate-Zertifikat. Alle drei Zertifikate bilden dann die Zertifikatskette: Dein Webserver-Zertifikat ist vom Intermediate unterschriebe, dieses Wiederum von einem Root-Zertifikat, das in Deinen Truststore ist. Somit kann das Webserver-Zertifikat bis zu einem Zertifikat zurückverfolgt werden, welches in Deinem Truststore ist.

 

[Adrian-S]

Na das habe ich jetzt verstanden. Danke an @schmadde und @Frogman für die Erklärung.

Ein Syno Profi sollte mal einen kleinen Info Stand (am besten in Hamburg ;-) ) aufstellen (vielleicht in Kooperation mit einem Laden), wo jeder mal seine generellen Fragen in einem Rutsch los werden kann. Ich würde sogar dafür bezahlen, wenn ich mir überlege wie viel Zeit ich schon unnütz in den Sand gesetzt habe, nur weil ich mir einbildete jetzt dies oder das machen zu müssen und dann letztlich doch davon abgekommen bin, weil es doch zu schwierig war es umzusetzen (Unix, Konsole etc.), oder ich es einfach nicht verstanden habe. Ein Forum wie dieses ist zwar gut, aber man muss sich elendig durch hangeln. Persönlich könnte man dann schnell seine 4-5 Fragen stellen und fertig.

 

[jahlives]

Nur der Vollständigkeit halber: es wird nie mit einem Zertifikat signiert. Dafür sind immer die Private Keys zuständig. Die Zertifikate braucht es um zu verifizieren dass ein Zertifikat wirklich von dem Schlüssel signiert wurde den es vorgibt.

 

[schmadde]

Nur der Vollständigkeit halber: es wird nie mit einem Zertifikat signiert. Dafür sind immer die Private Keys zuständig.

Du Korinthenk... Aber Du hast recht. Ich seh ein Zertifikat immer als Private+Public Key, aber stimmt schon, das Zertifikat ist eigentlich immer nur der Public Key.

 

[jahlives]

ich hau gern Korinthen durch meine 4 Buchstaben raus
Letztlich ist es nur eine Definitionsfrage. Persönlich finde ich die Bezeichnung Private Key resp Public Key besser. Es in Zertifikat und Schlüssel zu unterscheiden finde ich eher verwirrend ;-)
Ganz geil finde ich die HowTos die es sogar dann noch Zertifikat nennen wenn sowohl Private als auch Public Key im selben File sind. Ein solches "Zertifikat" veröffentlicht man genau einmal

Gruss

tobi

 

[Frogman]

Letztlich ist es nur eine Definitionsfrage. Persönlich finde ich die Bezeichnung Private Key resp Public Key besser. Es in Zertifikat und Schlüssel zu unterscheiden finde ich eher verwirrend ;-)

Da kann ich mich nur ankorinthen... ähm anschließen meine ich ... weil ja Zertifikate nicht nur der öffentliche Schlüssel des key-pairs sind, sondern noch deutlich mehr enthalten (als da wären die Angaben zur Identität des Zertifikatinhabers, Gültigkeit, Verwendungszweck, Identität der Signaturstelle und schlußendlich die Signatur über all diese Informationen bzw. deren Hashwerte). Aber es ist dann eben viel einfacher, alles zusammenzufassen in nur einem Sammelnamen "Signaturzertifikat" (und ist auch gar nicht so unüblich)...