Toggle sidebar

DSM 6.x und darunter [B]Selbst unterzeichnetes Zertifikat erstellen - Was muss ich hier eingeben ?[/B]

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.
picco

picco

Gesperrt
Registriert
05. Dez. 2013
Beiträge
38
Reaktionspunkte
0
Punkte
12
Hallo und Hiiiiiiilfeeee !

Ich Dösbaddel habe versucht eine WebDAV - Verbindung für meine User zu ermöglichen.
Dazu habe ich unter iDomix "gelernt", dass dazu ein selbstunterzeichnetes Zertifikat notwendig ist.

Habe diese nun mal testweise versucht und einfach ein paar Daten eingegeben um zu sehen, was passiert ... Fehler !
Denn ich hatte gedacht, dass der DSM das von Synology erstellte Zertifikat behält und später dann einfach mehrere Zertifikate vohanden wären.
Jetzt ist das Zertifikat von Synology leider weg und ich muss jetzt irgendwie ein Eigenes hinbekommen.
Mir ist jedoch nicht ganz klar was ich jeweils in den verschiedenen Zeilen eingeben sollte und wie das Zertifikat dann aussieht .....
Hoffe Ihr könnt mir helfen !!!

Angefangen habe ich so:

DS1.png

Was sollte ich hier genau eintragen ... wo z.B. die DDNS Adresse ... und welche Daten/Zeilen erscheinen später in ausgestellt für und ausgestellt von des Zertifikats ?

DS2.png

Klick auf Weiter bringt mich nach hier:

DS3.png

Bitte, bitte helft mir !!!!

DANKE !

picco
 
Problem mittlerweile gelöst? Wenn ja, wie? :)
 
Bin auch neugierig? Gelöst?

Und hat das selbst unterzeichnete Zertifikat Vor- oder Nachteile?
 
Ein selbstunterzeichnetes Zertifikat ist technisch nicht minderwertig. Der Browser meckert nur, weil es nicht von einer ihm bekannten CA ausgestellt und unterzeichnet wurde. Solange das niemanden abschreckt, braucht man das Zertifikat nur herunterzuladen und dauerhaft zu speichern, dann ist Ruhe (Stichwort im Firefox: "Ich kenne das Risiko").
 
Ist das selbst erstellte Zertifikat denn besser, als das von Synology vorinstallierte?
 
Technisch nicht, man kann nur den eigenen Namen reinschreiben anstatt synology.com
 
Schade, dass hier niemand Antwort geben kann. Ich stehe vor der gleichen Herausforderung. Unter Common Name kommt die DynDNS Adresse rein, also z. B. xy.selfhost.eu (so jedenfalls mein Verständnis). Allerdings gibt es zwei verschiedene Masken mit fast identischen Eingabefeldern. In der zweiten muss dann ein anderer Common Name eingetragen werden, sonst meckert DSM und erstellt kein Zertifikat. Bin nur ratlos, was da rein soll.

Wer kann weiterhelfen?
 
Ich habe mehrfach gelesen, dass es Vorausetzung ist, dass die DynDNS Adresse im Zertifikat enthalten sein muss (z. B. hier: https://thomas-leister.de/eine-eigene-openssl-ca-erstellen-und-zertifikate-ausstellen/
). Das widerspricht sich mit dem, was spencerbudd oben geschrieben hat. Andy14 schreibt "Kannst da z. B. einfach...". klingt nicht definitiv. Oder kommt die Adresse erst in einem späteren Schritt ins Zertifikat? Ich erhalte ein .pem Zertifikat. Ist das denn ausreichend oder muss das noch weiter verarbeitet werden bis es ein .crt Zertifikat ist. Falls ja, wie

Das waren also zwei Fragen:
1. Was für ein Zertifikat brauche ich: .pem (Base64-kodiertes Zertifikat, umschlossen von „-----BEGIN CERTIFICATE-----“ und „-----END CERTIFICATE-----“) oder .crt (DER- oder Base64-kodiertes Zertifikat)
2. Muss das Zertifikat auf den DynDNS Namen ausgestellt sein und falls ja im .pem oder im .crt?
 
fero schrieb:
Schade, dass hier niemand Antwort geben kann.
Zum Vergrößern anklicken....
Das liegt vielleicht an dem alter des Threads und daran, dass sich der TE nicht wieder gemeldet hat.

Sagt dir Let's Encrypt etwas?
Ein Assistent dafür ist sogar schon im DSM integriert. Funktioniert bei meiner DynDNS einwandfrei.
 
Das unter Common Name deine Adresse rein soll hast du doch geschrieben, deshalb bezog sich meine Antwort auf die Frage des "Alternativen Namen"!
 
Ah, okay. Danke für die Antworten.
Auf die eingebaute Funktion Let's encrypt bin ich leider erst spät gestoßen. Sobald ich zu hause eintrudel werde ich das testen. Hast du denn dann noch ein Zertifikat auf dem Client installiert? Diese Hinweise finde ich zur genüge hier im Forum. Ein Bekannter gab den Gedankenanstoß, dass ich doch auch kein Client-Zertifikat installiere wenn ich bspw. einen Internetshop mit https-Verbindung besuche. Das klingt plausibel. Kannst du das bestätigen?
 
Falls du Firefox nutzt, dann kannst du mal unter Einstellungen:Erweitert:Zertifikate->Zertifikate anzeigen Zertifizierungsstellen schauen.
Zertifikate von diesen ganzen Firmen "vertraut" der Browser, da muss man dann nichts mehr importieren!
Da dort auch nicht alles Gold ist was glänzt, gab es da auch mal das Spielchen mit "honest Achmed" ;-)
https://www.heise.de/security/meldung/Der-ehrliche-Achmed-bittet-um-Vertrauen-1231083.html

Let's encrypt wird zur Zeit von IdenTrust validiert und die sind im Browser/Betriebssystem als "vertrauensvoll" eingestuft, also braucht man auf dem Client nichts zu importieren!
 
Moin zusammen,

ich weiß, der Thread ist alt - die o. g. Frage blieb damals aber unbeantwortet und treibt mich jetzt um:

[...]Unter Common Name kommt die DynDNS Adresse rein, also z. B. xy.selfhost.eu (so jedenfalls mein Verständnis). Allerdings gibt es zwei verschiedene Masken mit fast identischen Eingabefeldern. In der zweiten muss dann ein anderer Common Name eingetragen werden, sonst meckert DSM und erstellt kein Zertifikat. Bin nur ratlos, was da rein soll.
Zum Vergrößern anklicken....

Ich kontaktieren meine DS mit einer myfritz-DynDNS-Adresse von außerhalb. Von innen komme ich meist über den Loopback der FritzBox oder über den alias diskstation.fritz.box.

Im Erstellungsdialog wird man erst nach Infos zum Root Zertifikat und danach zu (einfachen) Zertifikat gefragt. Beide benötigen den o. g. Common Name, der aber nicht derselbe sein darf?!

Kann mir jemand kurz erklären, was ich in meinem Fall in die jeweiligen Common-Names bzw. den Alternative-Name des zweiten Formulars eingeben muss?!

Danke euch!

Update: Ich nutze derzeit Let's Encrypt, will davon aber wieder weg und brauche ein neues selbst unterschriebenes Zertifikat.
 
Ist schon lange her bei mir. Common Name gibt es pro Zertifikat nur einen, nämlich der externe Name, z.B. die myfritz-DynDNS-Adresse. Unter Alternate Names kann man eine ganze Liste von Adressen festlegen, für die das Zertifikat auch gültig sein soll, z.B. für die internen Namen wie DS212, DS212.fritz.box, D415, DS415.fritz.box bei mir. Sogar IP-Adressen gehen m.W. auch. So reicht ein Zertifikat für mehrere Ziele.

Edit:
Das was du meinst, dessen Namen unterschiedlich sein müssen, ist m.W. einmal der Name der Zertifizierungsstelle, der man vertrauen muss (z.B. irgendwas.de) und dann noch der Common Name, also die wirkliche DynDns-Adresse.
 
Zuletzt bearbeitet:
Danke dir für die superschnelle Antwort!

Soweit habe ich mir das auch schon hergeleitet (gut aber, dass du es mit noch einmal bestätigst).

Der Wizard im DSM fragt aber im 1. Schritt den Common-Name im Root Cert und gleich im 2. Schritt nochmal den Common-Name im Cert ab. Trage ich da in beide dasselbe ein, beschwert sich der Wizard. :confused:

Kannst du dich da vielleicht doch nochmal an Details erinnern? ;)
 
Ich hab oben nochmal editiert.
Gib im 1. Schritt einfach irgendwas ein, z.B. abc.de, im 2. Schritt dann den wirklichen DDNS-Namen als Common Name. Unter Alternate Names dann alle Adressen, über die du die DS(en) sonst so ansprichst. abc.de registrierst du dann im Browser als "Vertrauenswürdige Zertifizierungsstelle"
 
Cool. Danke! Das werde ich probieren...
 
also ich habe in self signed nichts spezielles eingetragen, einfach etwas wie meinen Namen oder so. Ist ja egal, weil es sowieso nicht verifiziert werden kann. Dann die beiden Teile (Cert und CA Cert) in den jeweiligen Browser oder Betriebssystem importieren und schon geht es.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten