Toggle sidebar

DSM 6.x und darunter DMS 7 selbst unterzeichnetes Zertifikat erstellen

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.
Wenn du dein Synology Zertifikat in der aktuellen DSM zurücksetzt und das Zertifikat über die GUI neu ausgestellt wird, ist es auch nur 1 Jahr gültig! Das hat Synology irgendwann angepasst. Vorher waren es 10 Jahre.
 
Ach Quark. Synology hatte früher mal seine eigenen Zertifikate auf 10 Jahre ausgestellt. Jetzt ist es 1 Jahr, weil manche Browser 10 Jahre nicht mehr akzeptieren. Aber Chrome tut es noch. Das Syno-Zert ist auch nur ein selbst-signiertes. Das kann man selbst besser.
 
Und Chrom ist das Maß der Dinge? Das ist doch Quark! Ändert doch nichts an der Tatsache, dass es Programme gibt, die mit einem selbst signierten Zertifikat nicht mehr klarkommen. Warum behauptest du das Gegenteil, wenn du es anscheinend gar nicht weißt? Beispiel hast du bekommen und auch, dass die selbst signierten Zertifikate nicht als sicher eingestuft sind. Du liest entweder nicht richtig oder willst es nicht wissen, weil du es nicht nutzt. Deine Aussage halte ich für falsch!
 
Häh? Vielleicht hab ich wirklich was überlesen, ich lese so viel am Tag. :rolleyes:
Dann sag mal, wie löst du den Zugriff auf z.B. https://Diskstation (bitte nur das und nix anderes) ohne selbst signiertes Zertifikat?

Edit: Chrome ist nicht Maß aller Dinge, aber certmgr.msc ist es, zumindest unter Windows.
 
  • Like
Reaktionen: goetz
Schau dir bitte noch einmal die Beispiele an. Das selbst erstellte Zertifikat ist für mich keine richtige Alternative. Kostenlose Beispiele habe ich bereits gepostet. Dazu ist auch keine Portöffnung notwendig. Problematisch wird es, wenn man Apps nutzt, die SSL voraussetzen.

Bei der Einrichtung musst du nicht SSL benutzen. Wer auf eine Verschlüsselung legt, die außerhalb eines Browsers auch funktioniert, kommt um ein richtiges Zertifikat noch herum. Unter Android kann man zwar Zertifikate installieren, man muss diese aber erst exportieren und in Android importieren. Mein Android (Chromium) Browser lässt noch nicht einmal das Aufrufen der Seite zu. Eine Zertifikatsmeldung gibt es dort nicht. Wie das bei IOS kann ich nicht sagen. Jedoch sind Mobilteile generell strenger mit der Umsetzung.

Wenn du ein weiteres Zertifikat hast oder ein LE Zertifikat beantragst wird das Synology Zertifikat entfernt!

Benares schrieb:
Dann sag mal, wie löst du den Zugriff auf z.B. https://Diskstation (bitte nur das und nix anderes) ohne selbst signiertes Zertifikat?
Zum Vergrößern anklicken....
Bei mir greift natürlich das LE Zertifikat, da ich eins installiert habe.

Ich denke, der Knackpunkt sind wie bereits geschrieben die Apps und Anwendungen, nicht der Windows-Browser.
 
aber Chrome verwendet doch den Cert Store vonWindows und hat doch gar kein eigenes Store?
 
Also bisher hatte ich dich ja für kompetent gehalten, aber langsam machst du mir Sorgen :rolleyes:
 
Zuletzt bearbeitet:
Bei mir wurde das Synology Zertifikat nach Erstellung des LE automatisch entfernt.

Benares schrieb:
Also bisher hatte ich dich für kompetent gehalten, aber langsam machst du du mir Sorgen :rolleyes:
Zum Vergrößern anklicken....
Das kannst du halten wie du willst – ist mir auch ehrlich gesagt voll Banane. Welches Zertifikat soll den da angeboten werden, wenn nur noch eins auf der DS darauf ist? Du redest die ganze Zeit vom Browser, weil du da einfach nur zustimmen musst und fertig bist du. Du generiert dir doch ein Zertifikat für alle Gerät, damit du nicht bei jedem Gerät die Warnung bestätigen musst. Das ist bedeuteten cleverer.

Ich nutze ein Wildcard-Zertifikat und erreiche dadurch jede Anwendung und bin natürlich nicht auf "diskstation" angewiesen. Entsprechende Weiterleitungen sind im reverse Proxy hinterlegt.

Hast du denn überhaupt schon einmal in letzter Zeit ein LE Zertifikat erstellt?
 
Zuletzt bearbeitet:
EDvonSchleck schrieb:
Welches Zertifikat soll den da angeboten werden, wenn nur noch eins auf der DS darauf ist?
Zum Vergrößern anklicken....
Mmh, ich denke, du verstehst den Zusammenhang noch nicht :rolleyes:
Auf der DS kannst du beliebig viele Zertifikate halten, entscheidend ist, welches davon den einzelnen Diensten zugeordnet ist.
Bei selbst signierten Zertifikaten müssen diese natürlich auch auf jedem Client als "vertrauenswürdig" eingestuft werden. Das ist unschön, ist aber so, da nur die gängigen CAs bei den Browsern hinterlegt sind. Es geht hier nicht um Clients-Zugriffe von außen, klar, die brauchen öffentlich zertifizierte CAs wie LE. Aber für rein intern reichen auch eigene CAs, die man halt händisch als "vertrauenswürdig" einstuft.
 
Sorry, aber irgendwie willst oder kannst du es nicht verstehen. Es gibt Apps wie z. B. den hier oft genutzten Passwortmanager Bitwarden, die warum auch immer das Zertifikat nicht annehmen. Ich jede da ganz bewusst von der Windows App. Auch ein Importieren in Windows brachte damals keinen Erfolg. Ich stecke nicht so tief drin, dass ich dir sagen kann, woran es liegt. In der Browsererweiterung funktioniert es aber. Frag jetzt bitte nicht, warum das eine geht und das andere nicht. Nachdem ich meine Domain bekommen habe, habe ich natürlich das gleich wieder ausgetestet und es funktionierte sofort und ohne Probleme. Schlussfolgerung daraus: es muss irgendetwas eingebaut sein, was das Zertifikat direkt auf Windows ignoriert. In Firefox funktionierte es ja ohne Probleme. Damals habe ich viel getestet, um alle Fehler auszuschließen.

Benares schrieb:
Auf der DS kannst du beliebig viele Zertifikate halten, entscheidend ist, welches davon den einzelnen Diensten zugeordnet ist.
Zum Vergrößern anklicken....
Hab ich etwas anderes behauptet? Fakt ist aber, dass bei mir das Synology Zertifikat entfernt wird, nachdem ich ein LE Zertifikat erstellt habe. Ich habe es auch nicht gelöscht, es ist einfach bei mir unter DSM 7.1 so.
Benares schrieb:
Bei selbst signierten Zertifikaten müssen diese natürlich auch auf jedem Client als "vertrauenswürdig" eingestuft werden. Das ist unschön, ist aber so, da nur die gängigen CAs bei den Browsern hinterlegt sind. Es geht hier nicht um Clients-Zugriffe von außen, klar, die brauchen öffentlich zertifizierte CAs wie LE. Aber für rein intern reichen auch eigene CAs, die man halt händisch als "vertrauenswürdig" einstuft.
Zum Vergrößern anklicken....
Das habe ich auf Seite eins mehrmals geschrieben, du meintest das es nicht nötig ist. Es wird vom System als nicht sicher erkannt und bei einigen Geräten sogar geblockt! Ob man nun die ganzen Geräte (je nach Anzahl) die Zertifikate installieren will, muss doch jeder selbst entscheiden. Ich finde die Lösung mit einem offiziellen Zertifikat, welches sich automatisch alle 60 Tage (30 Tage vor Ablauf) aktualisiert besser. Auch kann man mit acme.sh auch gleich die Zertifikate an andere Geräte, Docker oder Fritz!Box übertragen. Alles automatisch im Hintergrund. Eine Domain oder Postöffnung ist nicht notwendig. Auch muss man nicht unbedingt eine Domain haben. Hast du dir das ganze schon einmal angesehen oder bist du nur so contra?
 
Beantworte erstmal meine Frage aus #26 bzw. #29 richtig. Dann sehen wir weiter :rolleyes:
 
Hab ich doch!!!!!!!!
Willst du oder kannst du es nicht verstehen? Ich habe nur ein Zertifikat auf der DS. Das habe ich dir jetzt schon zum 3. Mal geschrieben! Du lenkst doch seit der ersten Seite nur ab und behaupte etwas anderes, obwohl ich dich expliziert danach gefragt habe.

Welches Zertifikat soll denn deiner Meinung nach greifen, wenn nur eins vorhanden ist?
 
Quark, dein LE-Zertifikat niemals gültig für https://Diskstation
Aber lassen wir das, ich hab genug.
 
Habe ich nicht gesagt das LE Zertifikat gültig ist für "Diskstation", trotzdem ist es zugewiesen, weil kein anderes vorhanden ist. Wo habe ich anderes geschrieben? Auch ist der Name "Diskstation" irrelevant, da jeder dieses ändern kann wie er mag. Wenn ich jetzt auf die Meldung > Zertifikat gehe, wird unter dem Diskstationnamen das installierte Zertifikat angezeigt. Wenn man die DS entsprechend benennt, greift das Zertifikat ohne Probleme. Auch wenn das Zertifikat zugelassen wird, wird es so behandelt wie ein selbst erstelltes. Das ist aber nicht der Sinn dahinter. Aufgrund des DNS-Servers bin ich nicht angewiesen auf den Diskstationnamen. Ich erreiche alle meine Anwendungen und Geräte über die Subdomain. Warum sollte ich also deine https://Diskstation URL nutzen? Du weißt doch gar nicht, wie es bei mir aufgebaut ist, gehts aber von deinen Standardwerten aus!
 
EDvonSchleck schrieb:
Habe ich nicht gesagt das LE Zertifikat gültig ist für "Diskstation", trotzdem ist es zugewiesen, weil kein anderes vorhanden ist.
Zum Vergrößern anklicken....
also das denke ich jetzt ist so nicht richtig. Ja, man kann viele Zert haben, aber ein LE wird kaum auf 'Diskstation' ausgestellt weil so was gar nicht verifiziert werden kann

Von Hand erstelltes Zertifikat kann das natürlich schon, der kann sogar auf eine IP gebaut werden, aber ein öffentlich beglaubigtes kann so was nicht


EDvonSchleck schrieb:
Warum sollte ich also deine https://Diskstation URL nutzen?
Zum Vergrößern anklicken....
das ist eher die richtige Frage, warum soll sich jemand den Aufwand machen extra einen Zertifikat selber zu bauen nur um dann die fake CA davon dann in den CertStore vom Browser oder Betriebssystem zu importieren um dann lokal im eigenen Netzwerk ssl Zugriff zu haben? Dafür hatte ich bis jetzt ehrlich noch nie ein Bedürfnis verspürt. Bei Desktop geht es vielleicht noch einfach, bei Phone ist das dann noch aufwendiger
 
Ich habe nicht gesagt die ein Zertifikat auf DiskStation ausgestellt wurde Benares wollte wissen, welches Zertifikat bei mir dort angezeigt wird. Das ist eindeutig des LE. Das a passiert, weil kein weiteres Zertifikat vorhanden ist und das LE aus Standard hinterlegt ist. Dadurch bekommen alle Dienste erst einmal dieses von der DS zugewiesen. Es erscheint zwar eine Fehlermeldung im Browser, welche zugelassen werden kann. Das ist aber identisch zum Verfahren mit einem selbst signierten Zertifikat. Der Unterschied ist nur, dass man das Zertifikat denn wieder von Hand bestätigen muss bzw. einspielen. Das ganze geht natürlich auch mit der IP. Auch wenn ein Zertifikat nicht bei einer IP greift, geht es hier vordergründig um die Verschlüsselung. TROTZDEM wird eine verschlüsselte Verbindung aufgebaut und mit den Key-Paaren gearbeitet. Wo unterscheidet sich das denn jetzt zum selbst signierten Zertifikat?

Der Sinn ist doch eher dahinter das eine Webseite aufgerufen werden kann und alles automatisch stattfindet und es eben zu keiner Fehlermeldung oder manuellen Eingreifen kommt. Wer möchte denn je nach Anzahl seiner Geräte die Zertifikate manuelle installieren? Auch reicht es im Netzwerk ganz ohne Zertifikate aus. Ich finde, man kann es besser machen als mit einem selbst signierten Zertifikat.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten