Cloud Station DSM 5.2: SSL-Zertifikat für Cloud-Synronisation

[BigBen2013]

Hallo,

seit einem Jahr wird der Cloud-Synchronisations-Dienst von einer vielzahl aller Windows-Clients eingesetzt.

Nun läuft in der nächsten Zeit das eingesetzte SSL-Zertifikat ab.

Sobald ein neues SSL-Zertifikat eingesetzt wird, muss man an jedem Client die Verbindung neu aufbauen, da dieser ansonsten meckert, dass das SSL-Zertifikat geändert wurde.

Gibt es eine Möglichkeit, das eingesetzte SSL-Zertifikat zu verlängern, ohne dass die Verbindungen bei allen Client-Systemen neu eingestellt werden müssen?

Für Antworten bedanke ich mich im voraus.

 

[Frogman]

Zertifikate können nicht verlängert werden - es bedarf immer eines neues Zertifikats mit einem neuen Ablaufdatum.

 

[BigBen2013]

Hallo Frogman,

vielen Dank für die Info.

Ich habe mir das schon fast gedacht.

Dann muss ich eben doch wieder an jedem Client-System einzeln ran, um die Verbindung mit dem neuen SSL-Zertifikat neu aufbauen zu können.

Dennoch vielen Dank.

 

[BigBen2013]

Hallo,

es geht doch, ein vorhandenes Zertifikat zu verlängern bzw. zu erneuern. Dazu müssen folgende Schritte durchgeführt werden:

1. Vorhandenes Zertifikat exportieren
2. Bei der Zertifizierungsstelle das vorhandene Zertifikat, welches beim NAS eingesetzt wird "Erneuern".
3. Über "Zertifikat importieren" das erneuerte Zertifikat wieder importieren. Beim Importieren muss aus dem zuvor exportierten Zertifikat die server.key-Datei als "Privater Schlüssel" angegeben werden.

Anschließend startet der Webserver des NAS-Systems neu durch und übernimmt das erneuerte Zertifikat wieder.

Dieses Verfahren wurde mit der Zertifizierungsstelle cacert.org erfolgreich durchgeführt.

 

[Frogman]

Da wird nichts "verlängert", sondern schon ein neues Zertifikat ausgestellt. Die Signierung eines öffentlichen Serverzertifikats läuft üblicherweise technisch so ab, dass an die CA ein CSR (Certificate Signing Request) geschickt wird, was dem öffentlichen Serverschlüssel entspricht, ergänzt um einige zusätzliche Informationen zur Identität. Technisch gleichwertig ist es, direkt den öffentlichen Schlüssel zu schicken plus die Identitätsinformationen - über die Form entscheidet hier die CA.
Die CA signiert dann mit dem privaten Schlüssel ihres Signierzertifikats (was im Regelfall ein Intermediate-Zertifikat ist, also ein mit ihrem Rootzertifikat signiertes Zwischenzertifikat) Deinen CSR bzw. öffentlichen Schlüssel, was dann das eigentliche Serverzertifikat ergibt, welches Du zusammen mit privatem Schlüssel und dem öffentlichen Teil des Intermediate-Zertifikats der CA in die DS importierst.

Solange Du für die Signierung immer den gleichen öffentlichen Server-Schlüssel (also die passende Hälfte zu Deinem dazugehörigen privaten Schlüssel) verwendest, sieht das Zertifikat kryptologisch formal gleich aus, unterscheidet sich aber mindestens in der Gültigkeitsdauer, u.U. auch im Signierschlüssel der CA oder auch im für die Signatur verwendeten Hashalgorithmus.