Synology Drive Client "Nicht vertrauenswürdiges SSL Zertifikat"

migu78

Benutzer
Mitglied seit
22. Jan 2016
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

leider verstehe ich grad überhaupt nix mehr. von Zertifikaten null Ahnung.
Auf einmal meckert mein Drive Client "Nicht vertrauenswürdiges SSL Zertifikat"

Kann mir jemand helfen die Kuh vom Eis zu bekommen?
Ich weiss NULL was ich jetzt machen kann. Unter DSM-Einstellungen / Zertifikat Seite habe ich schon geguckt. Aber verstehe nicht was zu tun.
Habs schon mit "Zertifikat erneuern" dort versucht. Funktioniert leider nicht.

DANKE schon mal vorab
 

migu78

Benutzer
Mitglied seit
22. Jan 2016
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
bei LetsEncrypt hatte ich über die DSM Gui grade ein Zertifikat beantragt....aber was muss ich danach tun?
 

migu78

Benutzer
Mitglied seit
22. Jan 2016
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Hallo,.....es scheint als hätte ich es in sofern gelöst; dass ich wieder arbeiten kann.

Habe denim Client die Verbindung zu meinem NAS gelöscht und wieder neu angelegt.
Danach kam kein Fehler mehr wegen eines "Nicht vertrauenswürdigem Zertifikat"
Weiss allerdings nicht warum?!

Noch eine Frage am Rande:
"selbst unterzeichnete Zertifikate" im Vergleich zu einem von LetsEncrypt.......:
kann man den Unterschied kurz erklären oder muss ich ein Studium machen? ;)
 

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
373
Punkte für Reaktionen
38
Punkte
34
Zitat aus unbekannter Quelle:
"Die ganze Sache mit den Zertifikaten dient nur dazu, zu "beweisen", dass die Schlüssel für die verschlüsselte Verbindung auch vom erwarteten Betreiber des betreffenden Dienstes generiert wurden. Da du beim Surfen im Internet ja nicht jeden Diensteanbieter kennen kannst gibt es die Zertifizierungsstellen denen man (bzw. der Browser per Voreinstellung) vertraut und die durch das Signieren von Zertifikaten zeigen, dass das Zertifikate und die dahinterliegenden Schlüssel auch von der Person/Organisation erstellt wurden, die den Dienst anbieten. Bei selbstsignierten Zertifikaten kommt im Browser dann eine Fehlermeldung, weil der Browser nur diese erwähnten Zertifizierungsstellen kennt, das Zertifikat aber selbst erstellt und somit nicht von einer solchen Stelle signiert ist. Fügt man eine Ausnahmeregel hinzu, so wird das Zertifikat dann für die Adresse aktzeptiert und man kann wieder normal surfen - die Verschlüsselung ist dabei genauso sicher wie mit einem von einer Zertifizierungsstelle signierten Zertifikat." (Zitatende)
 

JudgeDredd

Benutzer
Mitglied seit
12. Nov 2009
Beiträge
1.057
Punkte für Reaktionen
1
Punkte
64
"selbst unterzeichnete Zertifikate" im Vergleich zu einem von LetsEncrypt.......:
kann man den Unterschied kurz erklären oder muss ich ein Studium machen?
Im Zertifikat selbst ist kein Unterschied.
Es liegt eher in der ausstellenden Behörde. Bei Let's encrypt ist es DST Root. (Das haben die Browser im Normalfall als Default installiert)
Bei einem selbst signierten gibt es keine (oder eine eigene CA).
Wenn Du das eigene Zertifikat oder Deine eigene CA an alle Browser der Welt verteilst dann wäre es theoretisch egal.
 
  • Like
Reaktionen: migu78

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.093
Punkte
248
Das ist wie "Ausweis selber malen". Malst Du Dir einen Ausweis und zeigst ihn Dir selbst, weisst Du ja, dass Du ihn Dir selbst ausgestellt hast und kann dem Ausweis also vertrauen (selbst-signierte Zertifikate), andere werden diesem Ausweis allerdings eher weniger vertrauen (weil sie Dir nicht vertrauen). Alternativ gehst Du zum Staat und dieser stellt Dir Deinen Ausweis aus. Auch diesem Ausweis wirst Du vertrauen, aber im Unterschied zu dem selbst-signierten, werden diesem Ausweis auch andere Personen vertrauen (weil Sie dem Staat vertrauen).

Der Unterschied liegt hier also in der Zertifizierungsstelle ("Wer hat ausgestellt?"). Für die meisten öffentlichen Zertifizierungsstellen sind schon die entsprechenden Zertifizierungsstellen-Zertifikate (auch die haben Ausweise) im entsprechenden Client-Betriebssystem hinterlegt. Falls Du grade z.B. unter Windows unterwegs bist, öffne das Startmenü, schreib einfach drauf los "zertifikat" und klick auf "Computerzertifikate verwalten". Dort kannst Du Dir mal die Inhalte der Ordner "Vertrauenswürdige Stammzertifizierungsstellen" und "Drittanbieter-Stammzertifizierungsstellen" anschauen, vielleicht hast Du den ein oder anderen Namen ja schon mal gelesen.

Das Zertifikat hier für das Syno-Forum (via Lets Encrypt) hat halt auch eine entsprechende Verkettung:

DST Root CA X3 -> Let's Encrypt Authority X3 -> synology-forum.de

Und jetzt rate mal, welches Zertifikat sich bereits auf Deinem Rechner befindet... genau... das für DST Root CA X3. Somit vertraut Dein Rechner dieser Zertifizierungsstelle, allen untergeordneten Zertifizierungsstellen (z.B. Lets Encrypt) und somit auch allen Zertifikaten die aus dieser Ecke kommen. Daher wirst Du dann auch bei Aufruf dieser Website nicht mit der Meldung konfrontiert, dass es ein "selbstsigniertes" Zertifikat ist, sondern die Seite kommt einfach direkt, da das oberste Zertifikate von DST Root CA X3 kommt, dem vertraut Dein Rechner, also auch allem darunter und fertig.

Hoffe das war jetzt halbwegs verständlich und nicht allzu technisch ?
 

migu78

Benutzer
Mitglied seit
22. Jan 2016
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
das war so gut erklärt das ich es verstanden habe ;-))))))
Allerbesten Dank. Das mit dem "Ausweis" ist ein gutes Beispiel.

Und der DSM bindet mein bei Lets Encrypt angefprdertes Zertifkat ann quasi automatisch ein, so dass zb. von aussen bei Zugriff auf "freigegebene Ordner" keine Meldung kommt "Die Seite ist nicht vertrauenswürdig".
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.093
Punkte
248
Geeeeenau so läuft das (y)

Du greifst dann von aussen mit einer Domäne zu, für welche das Zertifikat ausgestellt wird (da muss ja schon der richtige "Name" drin stehen - wie beim Ausweis halt (name.domain.tld)) und dann ist das auch alles völlig in Ordnung. Ändert sich der Name allerdings irgendwann mal, muss auch ein neues Zertifikat für den neuen Namen beantragt werden (neuer-name.domain.tld).
 

JudgeDredd

Benutzer
Mitglied seit
12. Nov 2009
Beiträge
1.057
Punkte für Reaktionen
1
Punkte
64
@blurrr
Den Vergleich mit dem Ausweis muss ich mir merken, wenn ich Mal wieder von einem nicht ITler gefragt werde.
Wirklich guter Vergleich (y)
 

blueice_haller

Benutzer
Mitglied seit
14. Jan 2020
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Hallo,
wie muss ich bei DS218j vorgehen?
Control Panel > Security > Certificate > Add > Get a certificate from Let's encrypt

Kann man nicht einfach ein selbst signiertes erstellen, auf die DS218j und in allen Computern die darauf Zugreifen sollen importieren?

Let's Encrypt unterstützt doch nur öffentliche Domains.
Aber das DS218j befindet sich im privaten Netzwerk.
Bin ich in einem andern Netzwerk z.B. bei Freunden dann verbindet sich "Cloud Station Drive" über QuickConnect ID und das Zertifikat ist gültig.

Ich habe bereits hier geantwortet: https://www.synology-forum.de/threa...swuerdiges-ssl-zertifikat.105114/#post-880766
 
Zuletzt bearbeitet:

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
6.990
Punkte für Reaktionen
488
Punkte
203
Kann man nicht einfach ein selbst signiertes erstellen, auf die DS218j und in allen Computern die darauf Zugreifen sollen importieren?

klar geht das, mache ich seit Jahren so. Bevor es LE gab, haben die meisten so gearbeitet weil sonstige Cert kosten und auch nicht für DDNS Adressen verfügbar waren.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
8.391
Punkte für Reaktionen
1.156
Punkte
288
Schaut mal in certmgr.msc unter "Vertrauenswürdige Stammzertifizierungstellen" . Da muss nur, einmalig, die selbst erstellte Zertifizierungsstelle aufgenommen werden. Anders ist es bei LE-Zertifikaten auch nicht, nur ist deren Zertifizierungsstelle hier halt schon vordefiniert.

Hier z.B. das Zertifikat hier vom Forum:

1595956930899.png
 
Zuletzt bearbeitet:

blueice_haller

Benutzer
Mitglied seit
14. Jan 2020
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Ich habe jetzt unter "Control Panel > Security > Certificate > Add > Create a self-signed certificate"
eine Root CA und ein Zertifikat erstellt.

Für das Zertifikat habe ich als "Subject Alternate Name" folgendes gewählt:
  • Hostname
  • Hostname.fritz.box
  • IP

Unter "Control Panel > Security > Certificate" habe ich "Export certificate" gewählt und erhalte vier .pem Dateien.
Diese kann ich z.B. mit KeyStore Explorer öffnen und das Root CA als X.509 Dateiendung .cer exportieren.

Das Root CA habe unter "Vertrauenswürdige Stammzertifizierungsstellen" importiert.
Wenn ich jetzt mit Internet Explorer die Webseite über die IP also https://192.168.x.y öffne dann wird mir trotzdem angezeigt:
Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website ausgestellt.

Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen.

Es wird empfohlen, dass Sie die Webseite schließen und nicht zu dieser Website wechseln.

Klicken Sie hier, um diese Webseite zu schließen.
Laden dieser Website fortsetzen (nicht empfohlen).

Weitere Informationen
• Wenn Sie zu dieser durch einen Link weitergeleitet wurden, dann überprüfen Sie die Websiteadresse in der Adressleiste, um sicherzustellen, dass dies die erwartete Adresse ist.
• Wenn Sie zu Websites wie https://example.com wechseln, versuchen Sie "www" zu der Adresse hinzuzufügen (https://www.example.com).

Weitere Informationen erhalten Sie unter "Zertifikatfehler" in der Internet Explorer-Hilfe.


"Cloud Station Drive" meldet "SSL-Zertifikat wurde geändert".
Wenn ich auf den Burger Button und "Synchronisierung fortsetzen" wähle kommt die Meldung nach 10 Sekunden wieder.
Also hat mich das jetzt nicht weiter gebracht, oder?


Anleitungen:
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.093
Punkte
248
FQDN ist hier wohl das Stichwort... Alternativ einfach mal hier in diesen FAQ-Artikel schauen.
 

blueice_haller

Benutzer
Mitglied seit
14. Jan 2020
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Ich habe das Zertifikat auf den Hostnamen (CN = Hostname) ohne Domain (fritz.box) ausgestellt aber wie gesagt alle drei Kombinationen als SAN angegeben.
Also erwarte ich das wenn ich die Weboberfläche mit allen drei Arten aufrufe das Zertifikat gültig ist.
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.093
Punkte
248
Hostname so wird via VPN i.d.R. nicht funktionieren, via IP wird es so überhaupt nicht funktionieren. Generell gilt: wer lesen kann ist klar im Vorteil, ich hab Dir die notwendigen Infos schon verlinkt, lesen musst Du schon selbst ;)
 

RichardB

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2019
Beiträge
2.701
Punkte für Reaktionen
374
Punkte
129
Wenn es nur darum geht, sich selbst zu vertrauen: Ausnahme im Browser hinzufügen.

Wenn ein paar Leute dem selbsterstellten Zertifikat vertrauen sollen: E-Mail an die Leute und siehe oben.

Wenn es businessmäßig laufen soll: siehe @blurrrr
 
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup