SSL-Zertifikat selbst erstellen...

[NeroRS]

Hallo Synology-User,

hat jemand schonmal die Anleitung aus dem Wiki bezüglich des eigenen Zertifikats ausprobiert?

Ich habe irgendwie probleme damit... Es funktioniert einfach nicht... Bekomme die Fehlermeldung, dass der Seite nicht vertraut wird damit nicht weg.

Gibt es irgendwelche Fehler die man relativ einfach macht, so als Anfänger? Habe mich sehr genau an die Anleitung gehalten... Bin mir aber z.B. beim 2. Punkt bei der Erstellung des Server-Zertifikats nicht sicher... Aber vielleicht habt ihr ja Tipps.

Danke schonmal...

 

[oj69]

Funktioniert problemlos. Wo ist denn Problem ?

 

[NeroRS]

Das es überhaupt keine Auswirkungen hat bei mir... Ich mache wohl irgendwas falsch...

Generierung des Key-Zertifikats - wichtig ist hier vor allem der Common Name. Dieser muss mit dem verwendeten DNS-Namen übereinstimmen, also z.B. name.dyndns.org. Auch Wildcards wie *.name.dyndns.org sind hierbei möglich.

Dieser Punkt z.B. verstehe ich nicht ganz... Ist das der Name meiner DiskStation? Weil aus meinem eigenen Netzwerk rufe ich sie ja nciht mit dem DNS Namen auf sondern über die IP! Muss dann hier die IP eintragen?

 

[Benares]

Trag einfach in extfile.cnf alle Kombinationen ein, mit denen die DS in der https-URL angesprochen werden soll. Wenn sie auch über "https://<ip>" ansprechbar sein soll, gehört bei subjectAltName halt auch "IP:<ip>" mit hinein.
Zertifikate sind an den Hostname gebunden, es gibt nur einen primären Namen (Common Name, normalerweise der DDNS-Name), aber es kann mehrere Aliase geben (subjectAltName-Liste).

Gruß Benares

 

[oj69]

Bekomme die Fehlermeldung, dass der Seite nicht vertraut wird damit nicht weg.

Die Fehlermeldung bekommst Du dann weg, wenn Du das von Dir erstelle CA-Zertifikat bei Deinem Browser als Stammzertifikat importierst. Die Browser akzeptieren selbst-generierten Zertifikaten grundsätzlich nicht.

Hoffe, das hilft Dir weiter.

Grüße

Oliver

 

[Benares]

...als Stammzertifikat importierst.

Präziser gesagt als "vertrauenswürdige Stammzertifizierungsstelle" . Steht aber auch so im Wiki.

Gruß Benares

 

[oj69]

So isses. Lesen hilft

 

[NeroRS]

So isses. Lesen hilft

Ich hab das alles gelesen und hab das auch alles so gemacht... der Fehler muss woanders liegen... Hab auch die ganzen Aliasnamen und die IP in das entsprechende File eingetragen...

Fehler muss irgendwie woanders liegen... Werds nochmal versuchen, bin aber etwas Ratlos noch...

PS: Muss im extfile.cnf der Port mit dazu über den ich gehe? nein oder?

 

[Benares]

Muss im extfile.cnf der Port mit dazu über den ich gehe? nein oder?

Nein

 

[NeroRS]

Also: Hab es hinbekommen

Der Fehler lag darin, dass mein Brwoser beim installieren des Zertifikats dieses automatisch auf nicht vertrauenswürdeig eingestuft hat, ohne mir das mitzuteilen... Eine Fehlermeldung wäre z.B. toll gewesen...

Naja... Trotzdem danke für die Tipps... Grüße

 

[3x3cut0r]

hallo ich hab mal ne kurze zwischenfrage:
muss ich selbst generierte zertifikate nach einem firmwareupdate erneut nach /usr/syno/etc/ssl kopieren?
oder werden diese nicht überschrieben?

danke

 

[Darkdevil]

Würde mich auch interessieren, hab erst vor ein paar Wochen einen Thread mit 42 Beiträgen eröffnet. Diesen Horror möchte ich mir kein 2. Mal antun

 

[Frogman]

hallo ich hab mal ne kurze zwischenfrage:
muss ich selbst generierte zertifikate nach einem firmwareupdate erneut nach /usr/syno/etc/ssl kopieren?
oder werden diese nicht überschrieben?

Diese werden nicht überschrieben und bleiben aktiv - habe ich gerade beim Update auf die 4.2 nachprüfen können.

 

[3x3cut0r]

ab 4.2 kann man ja zertifikate mittels DSM erstellen. überschreiben diese dann meine selbst generierten?

 

[Frogman]

ab 4.2 kann man ja zertifikate mittels DSM erstellen. überschreiben diese dann meine selbst generierten?

Da der Server immer nur ein Zertifikat ausgeben kann, ist das wohl so - probier's einfach mal aus