Synology Drive Client "Nicht vertrauenswürdiges SSL Zertifikat"

[migu78]

Hallo zusammen,

leider verstehe ich grad überhaupt nix mehr. von Zertifikaten null Ahnung.
Auf einmal meckert mein Drive Client "Nicht vertrauenswürdiges SSL Zertifikat"

Kann mir jemand helfen die Kuh vom Eis zu bekommen?
Ich weiss NULL was ich jetzt machen kann. Unter DSM-Einstellungen / Zertifikat Seite habe ich schon geguckt. Aber verstehe nicht was zu tun.
Habs schon mit "Zertifikat erneuern" dort versucht. Funktioniert leider nicht.

DANKE schon mal vorab

 

[migu78]

bei LetsEncrypt hatte ich über die DSM Gui grade ein Zertifikat beantragt....aber was muss ich danach tun?

 

[migu78]

Hallo,.....es scheint als hätte ich es in sofern gelöst; dass ich wieder arbeiten kann.

Habe denim Client die Verbindung zu meinem NAS gelöscht und wieder neu angelegt.
Danach kam kein Fehler mehr wegen eines "Nicht vertrauenswürdigem Zertifikat"
Weiss allerdings nicht warum?!

Noch eine Frage am Rande:
"selbst unterzeichnete Zertifikate" im Vergleich zu einem von LetsEncrypt.......:
kann man den Unterschied kurz erklären oder muss ich ein Studium machen?

 

[Flessi]

Zitat aus unbekannter Quelle:
"Die ganze Sache mit den Zertifikaten dient nur dazu, zu "beweisen", dass die Schlüssel für die verschlüsselte Verbindung auch vom erwarteten Betreiber des betreffenden Dienstes generiert wurden. Da du beim Surfen im Internet ja nicht jeden Diensteanbieter kennen kannst gibt es die Zertifizierungsstellen denen man (bzw. der Browser per Voreinstellung) vertraut und die durch das Signieren von Zertifikaten zeigen, dass das Zertifikate und die dahinterliegenden Schlüssel auch von der Person/Organisation erstellt wurden, die den Dienst anbieten. Bei selbstsignierten Zertifikaten kommt im Browser dann eine Fehlermeldung, weil der Browser nur diese erwähnten Zertifizierungsstellen kennt, das Zertifikat aber selbst erstellt und somit nicht von einer solchen Stelle signiert ist. Fügt man eine Ausnahmeregel hinzu, so wird das Zertifikat dann für die Adresse aktzeptiert und man kann wieder normal surfen - die Verschlüsselung ist dabei genauso sicher wie mit einem von einer Zertifizierungsstelle signierten Zertifikat." (Zitatende)

 

[JudgeDredd]

"selbst unterzeichnete Zertifikate" im Vergleich zu einem von LetsEncrypt.......:
kann man den Unterschied kurz erklären oder muss ich ein Studium machen?

Im Zertifikat selbst ist kein Unterschied.
Es liegt eher in der ausstellenden Behörde. Bei Let's encrypt ist es DST Root. (Das haben die Browser im Normalfall als Default installiert)
Bei einem selbst signierten gibt es keine (oder eine eigene CA).
Wenn Du das eigene Zertifikat oder Deine eigene CA an alle Browser der Welt verteilst dann wäre es theoretisch egal.

 

[blurrrr]

Das ist wie "Ausweis selber malen". Malst Du Dir einen Ausweis und zeigst ihn Dir selbst, weisst Du ja, dass Du ihn Dir selbst ausgestellt hast und kann dem Ausweis also vertrauen (selbst-signierte Zertifikate), andere werden diesem Ausweis allerdings eher weniger vertrauen (weil sie Dir nicht vertrauen). Alternativ gehst Du zum Staat und dieser stellt Dir Deinen Ausweis aus. Auch diesem Ausweis wirst Du vertrauen, aber im Unterschied zu dem selbst-signierten, werden diesem Ausweis auch andere Personen vertrauen (weil Sie dem Staat vertrauen).

Der Unterschied liegt hier also in der Zertifizierungsstelle ("Wer hat ausgestellt?"). Für die meisten öffentlichen Zertifizierungsstellen sind schon die entsprechenden Zertifizierungsstellen-Zertifikate (auch die haben Ausweise) im entsprechenden Client-Betriebssystem hinterlegt. Falls Du grade z.B. unter Windows unterwegs bist, öffne das Startmenü, schreib einfach drauf los "zertifikat" und klick auf "Computerzertifikate verwalten". Dort kannst Du Dir mal die Inhalte der Ordner "Vertrauenswürdige Stammzertifizierungsstellen" und "Drittanbieter-Stammzertifizierungsstellen" anschauen, vielleicht hast Du den ein oder anderen Namen ja schon mal gelesen.

Das Zertifikat hier für das Syno-Forum (via Lets Encrypt) hat halt auch eine entsprechende Verkettung:

DST Root CA X3 -> Let's Encrypt Authority X3 -> synology-forum.de

Und jetzt rate mal, welches Zertifikat sich bereits auf Deinem Rechner befindet... genau... das für DST Root CA X3. Somit vertraut Dein Rechner dieser Zertifizierungsstelle, allen untergeordneten Zertifizierungsstellen (z.B. Lets Encrypt) und somit auch allen Zertifikaten die aus dieser Ecke kommen. Daher wirst Du dann auch bei Aufruf dieser Website nicht mit der Meldung konfrontiert, dass es ein "selbstsigniertes" Zertifikat ist, sondern die Seite kommt einfach direkt, da das oberste Zertifikate von DST Root CA X3 kommt, dem vertraut Dein Rechner, also auch allem darunter und fertig.

Hoffe das war jetzt halbwegs verständlich und nicht allzu technisch ?

 

[migu78]

das war so gut erklärt das ich es verstanden habe ;-))))))
Allerbesten Dank. Das mit dem "Ausweis" ist ein gutes Beispiel.

Und der DSM bindet mein bei Lets Encrypt angefprdertes Zertifkat ann quasi automatisch ein, so dass zb. von aussen bei Zugriff auf "freigegebene Ordner" keine Meldung kommt "Die Seite ist nicht vertrauenswürdig".

 

[blurrrr]

Geeeeenau so läuft das

Du greifst dann von aussen mit einer Domäne zu, für welche das Zertifikat ausgestellt wird (da muss ja schon der richtige "Name" drin stehen - wie beim Ausweis halt (name.domain.tld)) und dann ist das auch alles völlig in Ordnung. Ändert sich der Name allerdings irgendwann mal, muss auch ein neues Zertifikat für den neuen Namen beantragt werden (neuer-name.domain.tld).

 

[JudgeDredd]

@blurrr
Den Vergleich mit dem Ausweis muss ich mir merken, wenn ich Mal wieder von einem nicht ITler gefragt werde.
Wirklich guter Vergleich

 

[blueice_haller]

Hallo,
wie muss ich bei DS218j vorgehen?
Control Panel > Security > Certificate > Add > Get a certificate from Let's encrypt

Kann man nicht einfach ein selbst signiertes erstellen, auf die DS218j und in allen Computern die darauf Zugreifen sollen importieren?

Let's Encrypt unterstützt doch nur öffentliche Domains.
Aber das DS218j befindet sich im privaten Netzwerk.
Bin ich in einem andern Netzwerk z.B. bei Freunden dann verbindet sich "Cloud Station Drive" über QuickConnect ID und das Zertifikat ist gültig.

Ich habe bereits hier geantwortet: https://www.synology-forum.de/threa...swuerdiges-ssl-zertifikat.105114/#post-880766

 

[ottosykora]

Kann man nicht einfach ein selbst signiertes erstellen, auf die DS218j und in allen Computern die darauf Zugreifen sollen importieren?

klar geht das, mache ich seit Jahren so. Bevor es LE gab, haben die meisten so gearbeitet weil sonstige Cert kosten und auch nicht für DDNS Adressen verfügbar waren.

 

[Benares]

Schaut mal in certmgr.msc unter "Vertrauenswürdige Stammzertifizierungstellen" . Da muss nur, einmalig, die selbst erstellte Zertifizierungsstelle aufgenommen werden. Anders ist es bei LE-Zertifikaten auch nicht, nur ist deren Zertifizierungsstelle hier halt schon vordefiniert.

Hier z.B. das Zertifikat hier vom Forum:

 

[blueice_haller]

Ich habe jetzt unter "Control Panel > Security > Certificate > Add > Create a self-signed certificate"
eine Root CA und ein Zertifikat erstellt.

Für das Zertifikat habe ich als "Subject Alternate Name" folgendes gewählt:

• Hostname
• Hostname.fritz.box
• IP

Unter "Control Panel > Security > Certificate" habe ich "Export certificate" gewählt und erhalte vier .pem Dateien.
Diese kann ich z.B. mit KeyStore Explorer öffnen und das Root CA als X.509 Dateiendung .cer exportieren.

Das Root CA habe unter "Vertrauenswürdige Stammzertifizierungsstellen" importiert.
Wenn ich jetzt mit Internet Explorer die Webseite über die IP also https://192.168.x.y öffne dann wird mir trotzdem angezeigt:

Spoiler: Es besteht ein Problem mit dem Sicherheitszertifikat der Website.

Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website ausgestellt.

Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen.

Es wird empfohlen, dass Sie die Webseite schließen und nicht zu dieser Website wechseln.

Klicken Sie hier, um diese Webseite zu schließen.
Laden dieser Website fortsetzen (nicht empfohlen).

Weitere Informationen
• Wenn Sie zu dieser durch einen Link weitergeleitet wurden, dann überprüfen Sie die Websiteadresse in der Adressleiste, um sicherzustellen, dass dies die erwartete Adresse ist.
• Wenn Sie zu Websites wie https://example.com wechseln, versuchen Sie "www" zu der Adresse hinzuzufügen (https://www.example.com).

Weitere Informationen erhalten Sie unter "Zertifikatfehler" in der Internet Explorer-Hilfe.

"Cloud Station Drive" meldet "SSL-Zertifikat wurde geändert".
Wenn ich auf den Burger Button und "Synchronisierung fortsetzen" wähle kommt die Meldung nach 10 Sekunden wieder.
Also hat mich das jetzt nicht weiter gebracht, oder?


Anleitungen:

• https://www.synology.com/de-de/know...cate_from_my_Synology_NAS_to_my_mobile_device

 

[blurrrr]

FQDN ist hier wohl das Stichwort... Alternativ einfach mal hier in diesen FAQ-Artikel schauen.

 

[blueice_haller]

Ich habe das Zertifikat auf den Hostnamen (CN = Hostname) ohne Domain (fritz.box) ausgestellt aber wie gesagt alle drei Kombinationen als SAN angegeben.
Also erwarte ich das wenn ich die Weboberfläche mit allen drei Arten aufrufe das Zertifikat gültig ist.

• Wenn ich es mit https://Hostname aufrufe kommt: Die Seite kann nicht angezeigt werden. Vielleicht weil ich über VPN verbunden bin?
• Wenn ich es mit https://Hostname.fritz.box aufrufe dann wird es ohne Warnung angezeigt.
• Wenn ich es mit https://192.168.x.y aufrufe kommt die Warnung.

 

[blurrrr]

Hostname so wird via VPN i.d.R. nicht funktionieren, via IP wird es so überhaupt nicht funktionieren. Generell gilt: wer lesen kann ist klar im Vorteil, ich hab Dir die notwendigen Infos schon verlinkt, lesen musst Du schon selbst

 

[RichardB]

Wenn es nur darum geht, sich selbst zu vertrauen: Ausnahme im Browser hinzufügen.

Wenn ein paar Leute dem selbsterstellten Zertifikat vertrauen sollen: E-Mail an die Leute und siehe oben.

Wenn es businessmäßig laufen soll: siehe @blurrrr