DS File (iPad & iPhone) funktioniert nach Update nicht mehr (Zertifikat)

[Beagle06]

Ich habe inzwischen ein Workaround vom Technical Support team erhalten, der funktioniert:

Login mit DS File (Sticker für Zertifikatsprüfung aus) und zuerst ein Image (.jpg file) öffnen. Danach lassen sich auch die anderen Dateien problemlos (ohne die bekannte Fehlermeldung)öffnen. Diese Situation ist bei mir eindeutig reproduzierbar und zeigt auch, dass es sich um einen (mittlerweile) bekannten Fehler handelt. Es gibt zwar noch keinen Fix dafür, aber mit diesem workaround kann ich gut leben....

 

[Future2013]

Hab das gerade probiert.
Funktioniert bestens

Danke

 

[mikekaily]

bei mir hat diese Anleitung auf dialogpur.com geholfen:
http://www.dialogpur.com/2014/02/20...nn-das-zertifikat-als-ungueltig-erkannt-wird/

 

[Beagle06]

Lieber Mikekally,

Vielen Dank für die wirklich hilfreiche Antwort.
Die Lösung, wie auf dialogpur beschrieben funktioniert tatsächlich - allerdings mit einer Einschränkung: Sie funktioniert nur, wenn man nur einen Namen (z.B. einen Dyndns Namen) verwendet. Sobald man aber einen 2. Namen (z.B. eine fixe IP Adresse oder einen Quick-Connect Namen von Synology) im Feld "Betreff alternativer Name" bei der Erstellung des Zertifikates eingibt, funktioniert diese Variante leider nicht mehr. Dann kommt wieder die bekannte Fehlermeldung. Ich brauche jedoch mehrere verschiedene Namen in meinem Environment, daher kann ich mit dieser Lösung nicht leben...
Trotzdem vielen Dank - und wahrscheinlich wird es für die meisten auch eine passende Lösung sein....

 

[Future2013]

Bei mir geht das nicht.

gebe ich bei common Name die Externe IP ein kommt die Fehlermeldung:
Das Root und Server Zertifikat dürfen nicht identisch sein.
Gebe ich was falsches ein?

 

[Heinz-G]

Hallo,

früher konnte man im TrustCenter ein kostenloses, jährliches Zertifikat laden.
Dies geht seit letztem Jahr nicht mehr. Kennt jemand eine Alternative.

Des Weiteren habe ich ein gültiges Zertifikat von Elster.
Dieses ist hat aber die Endung "pfx" und kann somit nicht in die DS importiert werden.
Kann mir jemand sagen, wie ich dieses in die einzelnen Schlüssel umwandeln kann?
Mit OpenSSL auf meinem Windows Rechner gelingt mir dies nicht, obwohl ich Microsoft 2008 C++ installiert habe.
Ich benötige eine Anleitung, besonders in welchem Verzeichnis welche Dateien stehen müssen.

Danke im Voraus.

 

[Beagle06]

Hallo Future2013,

Ja, man muss wirklich Schritt für Schritt der Anleitung von "dialogpur" folgen. Im Schritt Nr. 5 (Root Zertifikat erstellen) darf man unter "Common Name" nicht den gleichen Namen eintragen, wie beim Schritt Nr. 6: Zertifikat erstellen. Beim Root Zertifikat (Schritt 5) kann man einen "Phantasienamen" wählen, beim Schritt 6 muss man unter Common Name die Adresse eintragen, unter der man die Diskstation erreichen will (also z.B. eine DDNS Adresse). Dann sollte die Fehlermeldung weg sein. Was noch wichtig ist: Solange man sich mit der Zertifikaterstellung beschäftigt, sollte man nicht über https im DSM arbeiten....

 

[Future2013]

Bin jetzt hergegangen und habe mein bisheriges selbst unterzeichnetes Zertifikat am IPAD installiert.
Und siehe da es geht.

Gruß Ingo und Danke

 

[Heinz-G]

Hallo,

aber es funktioniert nicht, wenn in DS-File bei "Anmeldeeinstellungen", "Zertifikat überprüfen" aktiviert ist, oder ?

 

[Future2013]

Nein dann geht es bei mir nicht

Hallo,

aber es funktioniert nicht, wenn in DS-File bei "Anmeldeeinstellungen", "Zertifikat überprüfen" aktiviert ist, oder ?

 

[Heinz-G]

Ist es denn richtig, wenn man sich das Zertifikat auf dem iPad/iPhone unter Einstellungen-> Allgemein-> Profil-> Mehr Details ansieht, dass dort alle Einträge von Synology stehen und nicht die Daten die ich bei Erstellung des Zertifikat angegeben habe ?

 

[Beagle06]

Also bei mir funktioniert jetzt alles besten (auch wenn beim logon "Zertifikat überprüfen" angeklickt ist). Ich sehe auch meine Eintragungen in den Einstellungen/Profil des Iphones - und nicht die von Synology. Da ist bei der Erstellung des Zertifikates offensichtlich was schief gegangen... Ich kann nur wiederholen: wenn man die Erstellung des Zertifikates genau nach den Anweisungen von "dialogpur.com" macht, funktioniert alles bestens. Wesentlich ist dabei noch, dass die DSM Session während der Erstellung mit "http" und nicht mit "https" eröffnet wurde. Sonst geht es nämlich schief...
Viel Erfolg noch!

 

[Heinz-G]

Na denn werde ich mal üben ..........

So jetzt habe ich meine Übung beendet !!!

Ich habe alles genau gemäß Anweisung von "dialogpur.com" gemacht.
Das Zertifikat ist erstellt und auf dem iPhone / iPad installiert. Dort sind auch jetzt meine Daten in Profil sichtbar.
Soweit so gut.

Was nicht geht, ist das anmelden, wenn beim logon "Zertifikat überprüfen" ausgewählt ist.
Hier bekomme ich die Fehlermeldung: "Das SSL-Zertifikat der Diskstation ist nicht vertrauenswürdig. Dies kann bedeuten, dass es ein selbst signiertes Zertifikat ist, oder jemand versucht, Ihre Verbindung abzufangen".
Eigentlich logisch, denn es ist doch ein "selbst signiertes Zertifikat" oder ?

Noch eine Idee ???

 

[Beagle06]

Hmm, da habe ich allerdings nicht viel Ideen. Was mich aber stutzig macht, ist, dass das Zertifikat noch immer als nicht vertrauenswürdig gesehen wird. Das ist sicher das Problem. Bei mir ist das definitiv nicht der Fall!
Unter Einstellungen>Allgemein>Profil erscheint bei mir der Name des Zertifikates (u.zw. Jener Name, den ich bei Schritt 5 der " Dialogpur Anleitung" unter Common Name eingetragen habe (also der Name, welcher bei der Erstellung des Root Zertifikates eingegeben wurde ("Phantasiename"). Und es steht "vertrauenswürdig" dabei...

Möglicherweise ist noch ein "altes" Zertifikat im IPhone/Ipad Profil hängen geblieben. Ich habe bei meinen Versuchen immer alle Profile im IPhone/Ipad gelöscht, bevor ich ein Neues eingespielt habe...

 

[Heinz-G]

Hallo Beagle06,

unter Profil ist bei mir nur das von mir erstellte Zertifikat eingetragen und steht auch dort auf "Vertrauenswürdig ( grün)".
Die Einträge entsprechen meiner Eingaben und so wie von Dir beschrieben.

Ich werde mal weiter forschen und auch ein Ticket bei Synology eröffnen, eventuell haben die Fachleute dort noch eine Idee.

 

[Beagle06]

Ja, Sorry Heinz-G,

Da weiß ich auch nicht weiter. Der Vollständigkeit halber kann ich Dir noch die Versions-/Release Nummern meiner Konfiguration geben:

DS213
DSM 4.3-3827
DS File 5.0
Iphone 5S mit IOS 7.0.5 (11B601)
IPad mit IOS 7.0.4 (11B554a)

Wie gesagt, bei mir funktioniert es sowohl auf Iphone, als auch auf Ipad...

Eines fällt mir noch ein: Das Feld "Betreff Alternativer Name" im Schritt 6 bei der Erstellung des Zertifikates muss frei bleiben. Als ich versucht habe, dort eine zweite DynDNS Adresse
bzw. eine QuickConnect ID anzugeben, kam der Fehler sofort wieder.
Laut Technical Support ist dieses Feld nicht für diesen Zweck gedacht, sondern für den Mail Server....

Hier die Antwort des Synology Technical Support:

*****************************************************

Hi,

"Subject Alternative Adress" is not for you to insert QuickConnect ID, QuickConnect ID use HTTPS and connect to our relay server, the connection method is different.
Normally this is for your mail server, normally if you have abc.com domain, and able to get another domain mail.abc.com for your mail server domain name, then you could fill the alternative name for the certificate.

So just leave it blank.

Best Regards,
Jim Cheng
Technical Support
Synology Inc.

******************************************

Vielleicht hilft das?
Jedenfalls: Viel Erfolg!

 

[ottosykora]

Was nicht geht, ist das anmelden, wenn beim logon "Zertifikat überprüfen" ausgewählt ist.
Hier bekomme ich die Fehlermeldung: "Das SSL-Zertifikat der Diskstation ist nicht vertrauenswürdig. Dies kann bedeuten, dass es ein selbst signiertes Zertifikat ist, oder jemand versucht, Ihre Verbindung abzufangen".
Eigentlich logisch, denn es ist doch ein "selbst signiertes Zertifikat" oder ?

Noch eine Idee ???

also ich weiss nicht auf Grund von was genau sollte die Überprüfung gehen. Dazu müsste doch die CA mit dem OCSP Protokol angerufen werden und gefragt werden ob der Cert nicht zufällig gesperrt ist oder so was. Wie soll die genau funktionieren wenn wir schon die CA selber ausgedacht haben also diese quasi selber faken und die es also gar nicht gibt.
Wenn die das mit dem überprüfen seriös meinen in der App, dann kann man es ja kaum machen es sei denn es ist eine fake Überprüfung in sich selber.

 

[Heinz-G]

Hallo ottosykora,

es ist sicherlich richtig was Du sagst, aber ich frage mich schon wo der Unterschied liegt, wenn es bei der Installation von beagle06 funktioniert und bei mir nicht.
Er hat die gleiche Installation und trotzdem gibt es in der Funktion unterschiede.

 

[ottosykora]

na, die Vertrauenswürdigkeiten kann man ja auch editieren, importiere es in den Browser zum Bsp und sehe dort.

Nur hat das ganze keinen Sinn. Der Zertifikat System basiert auf einem hierarchischen System. Da gibt es CA und die sind eben per default vertrauenswürdig falls sie nicht als unzuverlässig oder so was markiert sind. Diese unterschreiben die public keys der Anwender, Server etc. und sagen damit aus dass der Schlüssel echt ist. Nur unterhalten die CA auch Listen mit Angaben ob nicht etwas dieser Schlüssel mittlerweile widerrufen ist oder so was. Dazu gibt es festgelegte Regeln und Protokole die nur dazu da sind.
Warum es da Unterschiede gibt sehe ich so sofort nicht, aber die Überprüfung zu verlangen bei einem Selfsigned macht für mich kein Sinn. Also falls ein Selfsigned überprüft wird dann sehe ich eher das als Bug. Da es für ddns keine Zertifikate gibt, betrifft die Überprüfnug ja nur Server die eigene Domain haben und dafür einen Zertifikat haben machen lassen.

Also Überprüfung abschalten und gut ist.

 

[Heinz-G]

Hallo Beagle06,

unter Profil ist bei mir nur das von mir erstellte Zertifikat eingetragen und steht auch dort auf "Vertrauenswürdig ( grün)".
Die Einträge entsprechen meiner Eingaben und so wie von Dir beschrieben.

Ich werde mal weiter forschen und auch ein Ticket bei Synology eröffnen, eventuell haben die Fachleute dort noch eine Idee.

Hallo beagle06,

so ich habe nun eine offizielle Antwort von Synology Support bekommen.
Diese lautet (Zitat):

Die Meldung die sie erhalten, lässt auf ein selbst erstelltes Zertifikat schließen.
Auch mit diesem Zertifikat, ist der Schutz von SSL gegeben, jedoch kann dieser nicht offiziell überprüft werden.
Dementsprechend ist es nötig, das Sie die ein Zertifikat beantragen.

Das Hinzufügen von eigenen Zertifikaten im System, wird in iOS nicht unterstützt.
Dies ist so von iOS gewünscht und kann nicht geändert werden.
Sollten Sie kein Zertifikat erwerben wollen (durch einen Offiziellen Zertifizierer), so deaktivieren Sie bitte die Überprüfung des Zertifikats.

Hast Du ein Zertifikat von einem offiziellen Zertifizierer oder auch selbst erstellt über die DS?

Vielen Dank im Voraus.