SSL Zertifikat auf NAS oder Fritzbox installieren

fraubi

Benutzer
Mitglied seit
25. Nov 2011
Beiträge
605
Punkte für Reaktionen
0
Punkte
42
Hi zusammen,

nach dem ich bei Lets Encrypt immer wieder Probleme hatte, die Laufzeit meines SSL-Zertifikates zu verlängern, habe ich nach einiger Suche entdeckt, dass bei meinem Domain-Vertrag bei 1 und 1 (jetzt IONOS) ein kostenloses Wildcard-SSL-Zertifikat inbegriffen ist, welches man von dort auch exportieren und auf dem NAS importieren kann. Dieses ist 1 Jahr gültig, somit habe ich nun 1 Jahr lang keine Probleme mit etwaigen Verlängerungen des SSL-Zertifikates. Das genannten Zertifkat habe ich inzwischen auf meine DS3615xs importiert und es funktioniert fehlerfrei.

Offenbar ist es aber auch möglich, ein SSL-Zertifikat in die Fritzbox zu importieren. Ich überblicke es gerade nicht, aber muss das Zertifkat zwingend auf dem NAS sein. Welche Vor- und Nachteile hätte es, das Zertifkat evtl. in der Fritzbox und nicht auf dem NAS zu haben.

Stehe da gerade gedanklich etwas auf dem Schlauch...könnt Ihr mir weiterhelfen ?

Beste Grüße
Fraubi
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
wenn ich es richtig verstehe, dann benötigt am Ende jeder Server ein eigenes Zertifikat. Also: eines für die FB (mit deren Common Name/IP) und eines für dein NAS. Ich habe jetzt keine Ahnung, wie 1und1 Zertifikate erstellt/zur Verfügung stellt. Üblicherweise wird immer ein Common Name abgefragt, der das Zertifikat für genau eine IP definiert.

Wenn du ein wenig mit Linux vertraut sein solltest: fertige doch deine eigene Zertifikate an. Dann kannst du das für jedes deiner Geräte machen, selber die Gültigkeit bestimmen und auch den Grad der Verschlüsselung.

Hier ein wenig Info:
https://legacy.thomas-leister.de/eine-eigene-openssl-ca-erstellen-und-zertifikate-ausstellen/

https://checkmk.de/lw_ca_zertifikat_erstellen.html

Und für die Fritzbox etwas spezieller:
https://blog.veloc1ty.de/2015/08/17/fritzbox-oberflaeche-durch-eigenes-zertifikat-absichern/

Viel Erfolg
Grüßle
the other
 

MadM4x

Benutzer
Mitglied seit
06. Mai 2017
Beiträge
153
Punkte für Reaktionen
1
Punkte
16
Ich hätte hierzu auch mal einige Fragen, da ich mich mit dem Thema etwas schwer tue und der Ablauf mit OpenSSL stellenweise für mich
Verwirrend ist.

1. Auf meinem Linux System erstelle ich die Root Dateien und kopiere diese auf jeden Client?

2. Das eigentliche Zertifikat erstelle ich ebenfalls auf meinem Linux System und kopiere es auf den jeweiligen Client?
2.1 Oder erstelle ich das Zertifikat dann auf dem Client selbst mit den Root Dateien von mir?
(Was für mich Unlogisch ist da ich ja nicht Überall OpenSSL zur Verfügung habe)

3. „Common Name“ muss/sollte ja den Domain Name des Client haben bzw. die IP unter der der Client erreichbar ist oder?
3.1 Wenn ich jetzt gerne erreichen möchte dass das Zertifikat sowohl für den DNS als auch für die IP gültig ist. Erstelle ich dann zwei getrennte Zertifikate?
oder kann man für "Common Name" auch gleichzeitig mehrere Angaben treffen? Immerhin kann man ja auch Wildcards nutzen oder nicht?

Wenn ich also z.B.: Erreichen möchte das folgendes per Zertifikat "gesichert" ist benötige getrennte Zertifikate oder nur eins?
mein.syno-nas.de / *.syno-nas.de / IP-der-Nas.de oder
mein.cisco-switch.de / *.cisco-switch.de / IP-zum-Switch.de usw.

Das wären dann immer drei Zertifikate oder wo liegt da mal wieder mein Denkfehler :-D

Würde nämlich auch gerne mal für alle benötigten Geräte ein eigenes Zertifikat erstellen mit einer Entsprechend langen "Lebensdauer" ;-)



VG und Danke schon mal an alle Helferlein
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
bin nun wirklich kein Experte sondern habe selber nur etwas Erfahrungen im Heimbereich gemacht. Also vorsichtig mit meinen Ausführungen... :)

1. du erstellst deine eigene CA mit zugehörigem Zertifikat auf deinem ubuntu/linx PC. Genau. Meintest du das mit "root Dateien"?

2. du erstellst dann mit eben dieser CA auf deinem PC deine benötigten Server-Zertifikate (NAS, Fritzbox, ggf. Switch > wobei das Importieren von eigenen Zertifikaten auf cisco Geräten echt etwas komplizierter ist, hab ich selber bislang vermieden)

Beides kannst natürlich auch auf deiner NAS machen (wenn du openssl dort auf der Kommandozeile installieren willst/kannst). Ich persönlich habe da die best practice mal vergessen (ist ja nur mein Heimnetz ohne Internetanbindung/ Ansteuern übers Internet) und alle benötigen Zertifikate lokal auf dem PC erstellt (also CA, CA-Zertifikat, Server-Zertifikate). Danach habe ich die Zertifikate auf die jeweiligen Geräte geschoben und installiert. Die Clients, welche auf die Geräte zugreifen sollen, bekommen dann das CA-Zertifikat, damit sie wissen, dass die Server-Zertifikate in Ordnung sind. Guck dir dazu noch mal die links im Beitrag oben von mir an...

3. ich persönlich nutze als CommonName nur die statische IP der jeweiligen Geräte. Auch nicht best practice, da eigentlich die domainnames angegeben werden sollen...wie gesagt, für den von mir erforderten Gebrauch ausreichend.
Du kannst aber auch IP UND domainname angeben oder sogar verschiedene domainnames. Dies erfordert aber etwas Mehrarbeit, da du der CA sagen musst, dass SANs genutzt werden sollen (also mehrere domainnames/IP Angaben). Hier eine gefundene Anleitung:

https://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats

Bei der Anleitung wird (soweit ich es verstehe) allerdings die CA und alles DIREKT auf der Syno angelegt. Wenn du das am PC machen möchtest, musst du eben die Dateipfade anpassen. Natürlich kannst du auch NANO statt VI nutzen (wenn installiert).

Früher habe ich das ganze unter ubuntu auf Terminalebene angelegt. Hat für meine Bedürfnisse immer gut funktioniert (bis mal die IP geändert wurde, dann war es natürlich vorbei mit lustig). Heute nutze ich generell meine pfSense zum zentralen Verwalten aller Zertifikate. Kann ich generell empfehlen, das pfSense Thema mal anzulesen. Aber das gehört hier nicht hin...

Viel Erfolg!!
Grüssle
the other
 

MadM4x

Benutzer
Mitglied seit
06. Mai 2017
Beiträge
153
Punkte für Reaktionen
1
Punkte
16
Ich werde mich da wohl doch noch mal ganz in Ruhe einlesen müssen ....

Die meisten Anleitungen sind zwar, was den Aufbau und das Erstellen angeht, gut geschrieben aber mir fehlt noch
das Grundverständnis bzw. der Durchblick beim generellen Aufbau oder der Reihenfolge der benötigten Dateien.

Also z.b.: für die eigene CA wird mal von Root-Dateien/Zertifikate gesprochen dann wieder vom Stammzertifikat.
In der einen Anleitung wird als erstes eine "key" Datei erstellt die aber in der einen Anleitung ca-root.key heißt und
in einer anderen ca-key.pem ... usw.

Mir fehlt da echt noch der Durchblick in der Reihenfolge und was für was benötigt wird *g*

Da werden als erst einmal noch ein paar Stunden mit dem Einlesen drauf gehen...
Und falls ich da mal Durchblicke wird das ganze auf nem RPi per Console erstellt.

Trotz allem Danke für deine Hilfe
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
das ist doch ein super Plan...erstmal lesen lesen, lesen, verstehen, nochmal lesen, mehr verstehen und umsetzen und Erfahrung sammeln. Mach ich auch lieber so.

Grundsätzlich:
1 Erst die CA selber anlegen: den zugehörigen Schlüssel mit GEHEIMEN Passwort anlegen (denn den willst du ja nur für DEINE CA haben, daher schützen!), dann das ROOT_Zertifikat/das CA-Zertifikat damit anlegen.
2. Angaben zur CA machen (freie Auswahl)
3. Schlüssel für das Server-Zertifikat erstellen (das dann auf den Server, dein NAS, die FB kommt, muss nicht geheim sein)
4. Die CA mit einem CSR (Request) dazu auffordern dein Server-Zertifikat zu unterzeichnen (ACHTUNG: hier dann genau auf den CommonName achten, siehe Beiträge oben)
5. ggf. die openSSL Konfigurationsdatei anpassen
6. Server-Zertifikat signieren lassen von deiner CA und
7. Import auf Server
8. das ROOT-Zertifikat in die Clients importieren, denn die sollen ja wissen, dass das signierte Server-Zertifikat auch wirklich von einer anerkannten (ahem) CA signiert wurde.

Du brauchst also Klarheit was folgende zu erstellende Dateien machen sollen:
* ca-key.pem (DEIN GEHEIMER!!! CA KEY zum Verifizieren der damit anzulegenden Zertifikate) > NICHT auf den Server legen, sondern gut aufbewahren und NICHT verteilen
* ca-root.pem (dein ROOT-Zertifikat /CA-Zertifikat, das dann eben deine CA identifiziert) > für die Clients
* server-cert.pem (das Server-Zertifikat) für den Server/NAS/FB
Das sind die Dinge die du am Ende benötigst. Ob du die ca-key.pem nennst oder hier-kreist-der-hammer.pem ist egal, mach eben so, dass du durchsteigen kannst...

Viel Spass beim Lesen, Lernen und verstehen!!
Grüßle
the other
 

MadM4x

Benutzer
Mitglied seit
06. Mai 2017
Beiträge
153
Punkte für Reaktionen
1
Punkte
16
Danke noch mal für deine ausführliche Hilfe.

Mittlerweile habe ich allerdings eine einfachere Lösung gefunden die zu dem auch eine grafische Benutzeroberfläche hat.
So muss ich mich nur in die Menüführung einlesen ;-) ... und in den Aufbau der verschiedenen Zertifikaten um beim Erstellen keinen Fehler zu machen.
 
  • Like
Reaktionen: the other

StrangeD0S

Benutzer
Mitglied seit
05. Dez 2021
Beiträge
13
Punkte für Reaktionen
0
Punkte
7
Hallo auf diesen etwas älteren Thread. Ich bin darauf gestoßen, weil ich selbst gerade an dem Thema hänge und ein DS220+ hinter einer Fritzbox mit HTTPS erreichbar machen will. Die Ausführungen von @the other sind schonmal ganz hilfreich und werde ich als nächstes ausprobieren. Aber @MadM4x mich würde trotzdem die einfachere Lösung mit der grafischen Benutzeroberfläche interessieren :)
 

StrangeD0S

Benutzer
Mitglied seit
05. Dez 2021
Beiträge
13
Punkte für Reaktionen
0
Punkte
7
@EDvonSchleck klingt eigentlich ganz charmant. Um die Zertifikatsinstallation auf der Fritzbox komme ich aber damit nicht herum, oder?

Vielleicht noch eine nähere Erläuterung zu meiner Ausgangssituation:
- Auf der Fritzbox habe ich die MyFritz-Adresse eingerichtet, nutze damit also den hauseigenen DynDNS Anbieter von AVM.
- Für das NAS und verschiedene Dienste, die darauf laufen, sind Portfreigaben auf der Fritzbox erstellt.
- Ich kann also über eine Adresse xxxxxxxxx.myfritz.net und die entsprechenden Ports die Dienste über HTTP erreichen.
- über namecheap habe ich eine Domain gemietet und dort Redirects für die .myfritz.net Adresse eingerichtet. Über HTTP funktioniert das auch alles wunderbar.
- Übers DSM habe ich mir auch ein Letsencrypt Zertifikat ausgestellt, aber damit allein komme ich scheinbar nicht weiter. HTTPS funktioniert damit jedenfalls so noch nicht. Wahrscheinlich brauche ich auch noch eins auf der Fritzbox. Aber hier wollte ich nun erstmal der Anleitung vom User the other folgen.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.114
Punkte
214
Du willst nur auf die Dienste der DS zugreifen? Denn brauchst du kein Zertifikat auf der FB. Wie sieht es mit den Ports aus? Welche hast du denn freigegeben? Das Zertifikat der FB wird eigentlich nur interessant, wenn du auf die FB direkt zugreifen willst.
 

StrangeD0S

Benutzer
Mitglied seit
05. Dez 2021
Beiträge
13
Punkte für Reaktionen
0
Punkte
7
Nein ich möchte auch auf andere Dienste zugreifen, die ich als Docker Container laufen habe.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
28. Okt 2020
Beiträge
13.504
Punkte für Reaktionen
4.633
Punkte
499
Wenn er aber über den DDNS der Fritte zugreift, wird doch auch das Zertifikat der Fritte verwendet. Abhilfe: DDNS auf der DS einrichten.
 

StrangeD0S

Benutzer
Mitglied seit
05. Dez 2021
Beiträge
13
Punkte für Reaktionen
0
Punkte
7
Wäre es nicht auch eine Option, ein Zertifikat auf die Fritzbox zu laden? Den Vorteil des DDNS der Fritzbox sehe ich darin, dass AVM den Dienst kostenfrei anbietet und ich mich um nichts weiter kümmern muss. Und ich kann damit auch andere Geräte in meinem Heimnetz erreichen und nicht nur die DS.

Wenn es aber einen anderen besseren Weg gibt, bin ich natürlich gerne bereit, mein Setup zu ändern.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
12.013
Punkte für Reaktionen
2.703
Punkte
423
Ein Zertifikat gehört auf den Web-Server für den es gedacht ist, oder auf den Reverse-Proxy davor, der es weiterleitet.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.114
Punkte
214
Du kannst unterschiedlich herangehen. Ich nutze weder Myfritz noch den Synology Service! Für mich sind die Dienste nicht ganz durchsichtig. Bei AVM konnte man das gut beim Update der 7590 auf FritzOS7.50 beobachten. Dort wird für die Sprachansage ein Myfritz-Zugang benötigt. Das Ganze ist nicht gut dokumentiert und habe mich fast doof gesucht. Denn wäre ich noch blöder als ich es jetzt schon bin.

Was dort im Hintergrund abläuft, soll mir AVM erst einmal erklären. Ich würde DynDNS nutzen und diesen gibt es auch umsonst und kann man sogar selbst hosten und die IP zu deinem Anbieter übertragen.
 

StrangeD0S

Benutzer
Mitglied seit
05. Dez 2021
Beiträge
13
Punkte für Reaktionen
0
Punkte
7
DynDNS scheint inzwischen nicht mehr kostenlos zu sein. Ich habe mir aber einen Account bei DuckDNS geholt. Ab hier versuche ich erstmal weiter. Vielen Dank für eure Tips schonmal!
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat