ubuntulinux
Benutzer
- Mitglied seit
- 23. Jan 2010
- Beiträge
- 2.063
- Punkte für Reaktionen
- 0
- Punkte
- 82
Zertifikat mit Startssl
- Ersteller Dave
- Erstellt am
- Status
ubuntulinux
Benutzer
- Mitglied seit
- 23. Jan 2010
- Beiträge
- 2.063
- Punkte für Reaktionen
- 0
- Punkte
- 82
ubuntulinux
Benutzer
- Mitglied seit
- 23. Jan 2010
- Beiträge
- 2.063
- Punkte für Reaktionen
- 0
- Punkte
- 82
Hallo,
ich habe meine DS207+ mit Startssl CLASS2 Zertifikaten vernünftig am laufen.
Dabei habe ich alle Apache Config Files so gelassen wie sie sind.
Ich habe nur vorher entsprechende Sicherheitskopien gemacht:
Meine Zertifikatskette (bestehend aus 3 Zertifikaten - mein eigenes und die 2 von Startssl) habe ich in EINER Datei server.crt hintereinander reingepastet.
Damit bekomme ich auch keine Browser Warnmeldung o.ä. mehr und alles geht.
Dabei kann ich auch einen Super-Tipp mit diesem ganzen Zertifikatsgeraffel weitergeben. Wer sich nicht mit den openssl Kommandozeilentool und den kryptischen Syntaxen rumschlagen will, sollte unbedingt bei allem das freie Tool XCA für Windows benutzen. Dort kann man alles anschaulich importieren und in allen Formaten exportieren, Passwörter reinnehmen, rausnehmen usw.
Gruß
cpalm
ich habe meine DS207+ mit Startssl CLASS2 Zertifikaten vernünftig am laufen.
Dabei habe ich alle Apache Config Files so gelassen wie sie sind.
Ich habe nur vorher entsprechende Sicherheitskopien gemacht:
Rich (BBCode):
PalmDisk1> cd /usr/syno/etc/ssl
PalmDisk1> cd ssl.
ssl.crt/ ssl.csr/ ssl.key/
PalmDisk1> cd ssl.crt
PalmDisk1> ll
drwxr-xr-x 2 root root 4096 Jan 5 01:57 .
drwxr-xr-x 5 root root 4096 Jan 20 2009 ..
-r-------- 1 root root 5558 Jan 5 13:08 ca.crt
-r-------- 1 root root 1123 Jan 5 01:57 ca.old.crt
-r-------- 1 root root 8188 Jan 4 17:19 server.crt
-r-------- 1 root root 7988 Jan 27 2010 server.old.crtMeine Zertifikatskette (bestehend aus 3 Zertifikaten - mein eigenes und die 2 von Startssl) habe ich in EINER Datei server.crt hintereinander reingepastet.
Damit bekomme ich auch keine Browser Warnmeldung o.ä. mehr und alles geht.
Dabei kann ich auch einen Super-Tipp mit diesem ganzen Zertifikatsgeraffel weitergeben. Wer sich nicht mit den openssl Kommandozeilentool und den kryptischen Syntaxen rumschlagen will, sollte unbedingt bei allem das freie Tool XCA für Windows benutzen. Dort kann man alles anschaulich importieren und in allen Formaten exportieren, Passwörter reinnehmen, rausnehmen usw.
Gruß
cpalm
hallo cpalm,
könntest du mir bitte noch die angepassten httpd-ssl.conf dateien posten? evtl. habe ich dort irgendwelche fehler gemacht.
könntest du mir bitte noch die angepassten httpd-ssl.conf dateien posten? evtl. habe ich dort irgendwelche fehler gemacht.
ubuntulinux
Benutzer
- Mitglied seit
- 23. Jan 2010
- Beiträge
- 2.063
- Punkte für Reaktionen
- 0
- Punkte
- 82
Also ich habe bei mir das Zertifikat und das Keyfile übers Webinterface eingespielt und dann in der Conf das ChainFile und das andere eingetragen, geht bei mir ohne Probleme.
kein ahnung wo bei mir der wurm drin ist, wenn ich mein zertifikat via webinterface einspiele passiert folgendes: 1. das zert wird nicht geändert 2. meine DS ist nicht mehr via webinterface und https:// zu erreichen und mein PW wird via telnet nicht mehr akzeptiert. daher mache ich es jetzt nur noch via telnet.
habt ihr nur die httpd.ssl.conf oder auch die httpd.ssl.conf-user modifiziert?
habt ihr nur die httpd.ssl.conf oder auch die httpd.ssl.conf-user modifiziert?
Wie gesagt, ich habe um das hinzubekommen gar keine ssl Konfigurationsdatei angefasst. Das war mir zu unsicher, da ich nicht weiß was Synology bei einem Firmware update damit macht.
Also habe ich ihm einfach den neuen Key und das bzw. eher die Zertifikate "untergejubelt" und schon ging alles. Das mit dem Web-Interface ging bei mir übrigens auch nicht. Nach Druck von "Ok" tat sich einfach gar nichts. Nicht einmal ein Fehler. Da hab ich es halt via üblichem Weg (PuTTY und Kommandozeile) selbst gemacht.
Gruß
cpalm
Also habe ich ihm einfach den neuen Key und das bzw. eher die Zertifikate "untergejubelt" und schon ging alles. Das mit dem Web-Interface ging bei mir übrigens auch nicht. Nach Druck von "Ok" tat sich einfach gar nichts. Nicht einmal ein Fehler. Da hab ich es halt via üblichem Weg (PuTTY und Kommandozeile) selbst gemacht.
Gruß
cpalm
Folgende Dateien:
/usr/syno/etc/ssl/ssl.crt/server.cert
und
/usr/syno/etc/ssl/ssl.key/server.key
wie gesagt: in server.cert alle Zertifikate hintereinander weg.
Ich habe sie noch mit "chmod 0400 server.key" usw. entsprechend geflaggt (das war aber von Synology per default auch schon so).
Gruß
cpalm
/usr/syno/etc/ssl/ssl.crt/server.cert
und
/usr/syno/etc/ssl/ssl.key/server.key
wie gesagt: in server.cert alle Zertifikate hintereinander weg.
Ich habe sie noch mit "chmod 0400 server.key" usw. entsprechend geflaggt (das war aber von Synology per default auch schon so).
Gruß
cpalm
Das Zertifikat sicher nicht! Das kommt ja dann von Startssl.
Beim privaten Schlüssel bin ich mir nicht so sicher wie das damals war. Ich denke, ich habe meinen eigenen generiert. Evtl. auch weil startssl ja mind. 2048 Keylänge verlangt.
Den Certificate Request zu dem privaten Schlüssel habe ich jedenfalls erfolgreich mit XCA generieren können. (Den private Key wahrscheinlich selbst auch).
Beim privaten Schlüssel bin ich mir nicht so sicher wie das damals war. Ich denke, ich habe meinen eigenen generiert. Evtl. auch weil startssl ja mind. 2048 Keylänge verlangt.
Den Certificate Request zu dem privaten Schlüssel habe ich jedenfalls erfolgreich mit XCA generieren können. (Den private Key wahrscheinlich selbst auch).
das geht? das wundert mich jetzt etwas, dass man den key unabhängig vom zertifikat erstellen kann.
und dann wäre da noch das test zertifikat von startssl. das ist doch nur ein PKCS zertifikat, was ansich verschlüsselt ist. und das soll funktionieren?
und dann wäre da noch das test zertifikat von startssl. das ist doch nur ein PKCS zertifikat, was ansich verschlüsselt ist. und das soll funktionieren?
Wie gesagt. Mit XCA kann man alles konvertieren. PKCS, PEM, ... Ganz egal.
Natürlich kann man den Schlüssel alleine generieren. Den Cert-Request für Startssl generiert man ja wieder daraus. Also ist das NICHT unabhängig voneinander.
Nur unabhängig von der physischen DiskStation. Auf die werden die fertigen Dateien einfach nur aufgebracht.
Natürlich kann man den Schlüssel alleine generieren. Den Cert-Request für Startssl generiert man ja wieder daraus. Also ist das NICHT unabhängig voneinander.
Nur unabhängig von der physischen DiskStation. Auf die werden die fertigen Dateien einfach nur aufgebracht.
hm, mein test zertifikat von startssl ist verschlüsselt, um es zu importieren benötige ich den key. war das bei dir auch?
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
