- Registriert
- 10. Juni 2013
- Beiträge
- 176
- Reaktionspunkte
- 10
- Punkte
- 24
Hallo Freunde!
Vorgeplänkel:
Ich betreibe seit zwei Wochen neben meiner guten alten DS213j eine neue DS220+. Mein gesamtes Netz ist bewusst nur über mein Wireguard-VPN zu erreichen. Deshalb auch keine Verwendung von LE-Zertifikaten.
Da ich bis zur Pensionierung viele Jahre in einem größeren TrustCenter gearbeitet habe, betreibe ich privat ebenfalls eine kleine "Privat-CA" und stelle jedes Jahr viele X.509-Zertifikate für die E-Mailverschlüsselung für mich, Familie und meine Freunde usw. her. Natürlich erzeuge ich damit auch die Zertifikate für alle im neinem doch schon recht großen Wireguard-Netz befindlichen Geräte und Server, also auch die für die Geräte aller VPN-Nutzer. Innerhalb dieses (für reine Privatanwender doch schon großen!) Netzes ist meine Privat-CA selbstverständlich überall als vertrauenswürdig eingetragen.
Mein Problem:
Obwohl ich (auch rein privat) schon einige Tausend Zertifikate hergestellt und verteilt habe, ist mir bei der Erzeugung des Zertifikates für meine DS220+ ein dummer und peinlicher Fehler passiert. Ich habe in meinem CA-Programm das falsche Profil angeklickt und für meine DS ein reines S/MIME-Zertifikat erstellt. Dummerweise hat DS dieses Zertifikat ohne Widerspruch akzeptiert ... .
(An dieser Stelle: bitte keine "dummen Bemerkungen". Ich ärgere mich schon genug!)
Da ich vorher schon die Umleitung auf reinen https-Zugang aktiviert hatte, lässt mich die DS jetzt nicht mehr auf ihre GUI.
Fehler: Gesicherte Verbindung fehlgeschlagen
Beim Verbinden mit 192.168.188.220:5001 trat ein Fehler auf. Das Zertifikat enthält eine unbekannte kritische Erweiterung.
Fehlercode: SEC_ERROR_UNKNOWN_CRITICAL_EXTENSION
Ja, stimmt ja auch
.
Und da ich auf allen meinen Geräten immer als erstes einen ssh-Zugang (selbstverständlich mit public-keys) eingerichtet habe, komme ich noch immer per ssh aufs Gerät.
Die eigentliche Frage:
Ich vermute, dass ich in der nginx-Konfiguration den Zwang auf https irgendwo deaktivieren kann. Will aber durch unbekümmertes Probieren nichts weiter verschlimmbessern.
=> Kann mir einer von euch den genauen "Schalter" dafür nennen? Dann könnte ich mich einfach per http anmelden und in der GUI ein (nun korrektes) Zertifikat installieren.
Andere Möglichkeit: Ich habe in der nginx-Konfiguration Pfade für Zertifikate gefunden. Kann ich dort einfach die vorhandenen (defekten) Zertifikate umbenennen und den key, das cert und das Zwischenzertifikat (mein CA-Zertifikat) mit den richtigen Namen reinkopieren? Ich frage das, weil ich nicht weiß, ob dort woanders irgendwelche Prüfsummen gespeichert sind.
Über zielführende Antworten würde ich mich sehr freuen.
Grüße aus der Eifel!
Peter
edit:
Gestern war ich unvorsichtig - heute war ich ungeduldig.
Ich konnte oder wollte nicht warten und habe etwas Mut gezeigt.
Unter
/usr/syno/etc/certificate/system/default
habe ich als root die vier vorhandenen Dateien durch die Dateien des neu generierten Zertifikates ersetzt. Dann einen reboot und das wars schon.
Fazit: Kaum macht man alles richtig, funktioniert es.
Vorgeplänkel:
Ich betreibe seit zwei Wochen neben meiner guten alten DS213j eine neue DS220+. Mein gesamtes Netz ist bewusst nur über mein Wireguard-VPN zu erreichen. Deshalb auch keine Verwendung von LE-Zertifikaten.
Da ich bis zur Pensionierung viele Jahre in einem größeren TrustCenter gearbeitet habe, betreibe ich privat ebenfalls eine kleine "Privat-CA" und stelle jedes Jahr viele X.509-Zertifikate für die E-Mailverschlüsselung für mich, Familie und meine Freunde usw. her. Natürlich erzeuge ich damit auch die Zertifikate für alle im neinem doch schon recht großen Wireguard-Netz befindlichen Geräte und Server, also auch die für die Geräte aller VPN-Nutzer. Innerhalb dieses (für reine Privatanwender doch schon großen!) Netzes ist meine Privat-CA selbstverständlich überall als vertrauenswürdig eingetragen.
Mein Problem:
Obwohl ich (auch rein privat) schon einige Tausend Zertifikate hergestellt und verteilt habe, ist mir bei der Erzeugung des Zertifikates für meine DS220+ ein dummer und peinlicher Fehler passiert. Ich habe in meinem CA-Programm das falsche Profil angeklickt und für meine DS ein reines S/MIME-Zertifikat erstellt. Dummerweise hat DS dieses Zertifikat ohne Widerspruch akzeptiert ... .
(An dieser Stelle: bitte keine "dummen Bemerkungen". Ich ärgere mich schon genug!)
Da ich vorher schon die Umleitung auf reinen https-Zugang aktiviert hatte, lässt mich die DS jetzt nicht mehr auf ihre GUI.
Fehler: Gesicherte Verbindung fehlgeschlagen
Beim Verbinden mit 192.168.188.220:5001 trat ein Fehler auf. Das Zertifikat enthält eine unbekannte kritische Erweiterung.
Fehlercode: SEC_ERROR_UNKNOWN_CRITICAL_EXTENSION
Ja, stimmt ja auch
.Und da ich auf allen meinen Geräten immer als erstes einen ssh-Zugang (selbstverständlich mit public-keys) eingerichtet habe, komme ich noch immer per ssh aufs Gerät.
Die eigentliche Frage:
Ich vermute, dass ich in der nginx-Konfiguration den Zwang auf https irgendwo deaktivieren kann. Will aber durch unbekümmertes Probieren nichts weiter verschlimmbessern.
=> Kann mir einer von euch den genauen "Schalter" dafür nennen? Dann könnte ich mich einfach per http anmelden und in der GUI ein (nun korrektes) Zertifikat installieren.
Andere Möglichkeit: Ich habe in der nginx-Konfiguration Pfade für Zertifikate gefunden. Kann ich dort einfach die vorhandenen (defekten) Zertifikate umbenennen und den key, das cert und das Zwischenzertifikat (mein CA-Zertifikat) mit den richtigen Namen reinkopieren? Ich frage das, weil ich nicht weiß, ob dort woanders irgendwelche Prüfsummen gespeichert sind.
Über zielführende Antworten würde ich mich sehr freuen.
Grüße aus der Eifel!
Peter
edit:
Gestern war ich unvorsichtig - heute war ich ungeduldig.
Ich konnte oder wollte nicht warten und habe etwas Mut gezeigt.
Unter
/usr/syno/etc/certificate/system/default
habe ich als root die vier vorhandenen Dateien durch die Dateien des neu generierten Zertifikates ersetzt. Dann einen reboot und das wars schon.
Fazit: Kaum macht man alles richtig, funktioniert es.
Zuletzt bearbeitet:
