Toggle sidebar

DSM 6.x und darunter Falsche Zertifikatsdatei aufgespielt, jetzt kein Zugriff mehr...

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.
P

Palatina-Tom

Benutzer
Registriert
16. Okt. 2014
Beiträge
19
Reaktionspunkte
2
Punkte
3
Hallo zusammen,

typisch: am Samstagabend nochmal schnell ein Zertifikat erstellt mit xca, dann beim Export irgendeinen Fehler gemacht, Schlüssel und Zertifikat auf die DS218plus geschmissen, "Ok" gedrückt - und nichts geht mehr. Ich habe noch Zugriff auf den Fileserver, gelange aber nicht mehr auf die Oberfläche und habe, wie mir scheint, den SSH-Zugang auch nicht aktiviert. Zumindest kommt da auch immer "Connection refused". HTTP ist natürlich auch deaktiviert. Jetzt bin ich einigermaßen ratlos. Jemand eine Idee, wie ich wieder auf mein System gelange?
 
Rotbart schrieb:
"kleinen" Reset machen
https://kb.synology.com/de-de/DSM/tutorial/How_to_reset_my_Synology_NAS
Zum Vergrößern anklicken....
Vielen Dank, Rotbart, da hab' ich noch gar nicht dran gedacht, dass es da ja noch was gibt, ohne das komplette DSM neu zu installieren. In Punkt 4 der Hinweise in Deinem Link sehe ich jetzt nichts von irgendwelchen Zertifikaten. Bist Du sicher, dass ich danach wieder Zugriff habe, oder ist es einfach einen Versuch wert? Noch eine Zusatz-Info: Mit dem Web-Assistant find.synology.com finde ich meine DS nicht, der auf meinem Mac installiert Synology Assistant hingegen findet sie.
 
Sicher bin ich mir nicht, wäre aber m.E. ein Versuch wert und der einfachste Weg.Vielleicht hat aber jemand auch noch eine andere Idee.
Das die Station im WebAssistant erscheint kann man in der Systemsteuerung (der)aktivieren.
 
Moinsen,
es ist einen Versuch wert, denn AFAIK wird eben auch https (was bei falschem Zertifikat bzw. fehlerhaften Angaben innerhalb des Zertifikates) nicht funzt wieder "zurückgesetzt" und es sollte auch die einfache http Verbindung (ohne Zertifikat, ob korrekt oder falsch) wieder funktionieren. Dann eben unter http anmelden, das Zertifikat entfernen, das richtige Zertifikat einfügen, dann wieder https aktivieren, fertig sollte es sein.
;)
 
  • Like
Reaktionen: geimist
Es hat tatsächlich hingehauen, aber ich bin mir nicht sicher, ob es nicht schon vor dem Reset geklappt hätte, denn:
Mit Firefox konnte ich mich nach dem Reset einloggen. Als ich's dann mit Safari erneut versucht habe, kam (wie zuvor) die Meldung, dass die Seite nicht geöffnet werden kann, weil keine sichere Verbindung aufgebaut werden kann. Das ist auch nicht (wie vorher) die Möglichkeit, das Risiko zu übernehmen und es dennoch zu machen...

Ich bin jetzt nochmal in xca eingestiegen und habe den Prozess, wie ein Zertifikat erstellt wird, noch einmal konzentriert durchgespielt, nach dieser bebilderten Anleitung: https://www.computerbase.de/forum/threads/zertifikat-im-lokalen-netzwerk.2057720/

Bevor mir da nochmal irgendwas passiert, frag' ich lieber hier nochmal in die Runde: Wie exportiere ich jetzt ganz korrekt privaten Schlüssel und Zertifikat? In xca werden mir ja nun 2 private Schlüssel angezeigt und zwei Zertifikate (Root-CA und DS218). Welchen Schlüssel und welches Zertifikat muss ich exportieren und dann in die DS importieren? Benötige ich das optionale Zwischenzertifikat?
 
Moinsen,
afaik werden von den Apfeldingern keine selbstausgestellten Zertifikate akzeptiert.
Also dafür dann doch eher LetsEncrypt und die übrigen nehmen.

Dann natürlich sowieso die Grundfrage: warum wird das benötigt? Wofür brauchst du https?
Greifst du auf deine Geräte eh nur intern zu, dann kann das auch wegbleiben im privaten Rahmen.
Greifst du von außerhalb deines Netzwerkes zu, dann wäre der Zugang via VPN die sichere Variante anstatt nur via https zu gehen.

Hier nochmal der Ablauf, erklärt vom Hersteller:
https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/connection_certificate?version=7

:)
 
the other schrieb:
Dann natürlich sowieso die Grundfrage: warum wird das benötigt? Wofür brauchst du https?
Greifst du auf deine Geräte eh nur intern zu, dann kann das auch wegbleiben im privaten Rahmen.
Greifst du von außerhalb deines Netzwerkes zu, dann wäre der Zugang via VPN die sichere Variante anstatt nur via https zu gehen.
Zum Vergrößern anklicken....
Das ist in der Tat eine wesentliche Frage dabei, und ich bin gerade in mich gegangen: Eigentlich ist die Idee, dass ich ja in meinem privaten Netzwerk eine Menge Geräte nutze, denen ich ja mehr oder weniger vertraue. Aber kann ich sicher sagen, ob nicht irgendeine Schadsoftware auf einem Android-Tablet, mit dem ich die Kameras ansehe (weswegen ich dem nicht nur den WLAN-Gastzugang verpassen kann) morgen mal meinen Datenverkehr von und zur DS abhört und da irgendwas Unschönes anstellt? Keine Ahnung, ob das ein realistisches Angriffs-Szenario ist. Was meinst Du dazu? Die Sorgen beiseite schieben und einfach http nutzen und den ganzen Zertifikats-Kram ersparen?
 
Ich würde das mit dem selbst erstellten Zertifikat jetzt doch gern mal testweise durchführen, frage mich aber, welchen der beiden privaten Schlüssel ich in die DS importieren muss (Root-CA oder "DS218plus.local") und welches der beiden Zertifikate (dito). Hab's gerade mal jeweils mit DS218plus.local probiert, bekomme aber sowohl in den beiden Mac-Browsern (Firefox und Safari) als auch in den Synology-Apps eine Meldung, verbunden mit der Frage, ob ich das Sicherheitsrisiko akzeptieren möchte. Entweder akzeptieren die allesamt keine selbst erstellten Zertifikate, oder ich habe beim Export aus xca und Import in die NAS irgendwas falsch gemacht. Jemand eine Idee?
 
Ein Zertifikat ist grob gesagt wie ein Ausweis, jemand (die Zertifizierungsstelle) hat die Identität des
jenigen geprüft und versichert mir (als Besucher der Seite) das sein Ausweis(Zertifikat) echt ist.Wenn du eins selbst erstellt bist du der jenige welcher die Echtheit deines Ausweises bestätigt. Deshalb lehnen die Browser es ab dem Zertifikat zu vertrauen, es sei denn du selbst bestätigst dir das du dir ausnahmsweise vertraust.(Ausnahme hinzufügen)
 
Moinsen,
versuch doch mal (unter Firefox) folgendes Vorgehen:
gehe zu Einstellungen > Datenschutz und Sicherheit > Zertifikate > Zertifikate anzeigen > Zertifizierungsstellen
hier dann mal "Importieren". Und da dann das Root-CA Zertifikat importieren...

Das klappt bei meinem Firefox (nicht Apple)...
 
the other schrieb:
Das klappt bei meinem Firefox (nicht Apple)...
Zum Vergrößern anklicken....
Hat auch an meinem Mac einwandfrei funktioniert, besten Dank! Im Schlüsselbund hab' ich's inzwischen auch als vertrauenswürdig hinterlegt und auch in den iPhones. Ich denke, jetzt funzt es, Kalenderzugriff habe ich nun auch wieder auf allen Geräten.

Vielen DANKE allen, die mich unterstützt haben!
 
  • Like
Reaktionen: Synchrotron
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten