Toggle sidebar

Zertifikat mit Startssl

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
Dave

Dave

Benutzer
Registriert
10. Aug. 2009
Beiträge
83
Reaktionspunkte
0
Punkte
0
Ich will für meinen Webserver ein authentifiziertes Zertifikat von Startssl.com bereitstellen. Ich habe mich mehrere Stunden damit befasst bin aber zu keinem Happy End gekommen.

Der Synology Webserver brauch ja einen Private Key (private.key) und ein Zertifikat (server.crt). Beides habe ich von startssl bekommen.
Doch es ist nicht authentifiziert.

Deshalb: Hat jemand Erfahrung mit startssl.com?

Gerät:Synology DS209
Frimware:DSM 2.2
Registrar: switch.ch
DNS: everydns.net
 
Dave schrieb:
Der Synology Webserver brauch ja einen Private Key (private.key) und ein Zertifikat (server.crt). Beides habe ich von startssl bekommen.
Zum Vergrößern anklicken....

Das hört sich schon mal sehr komisch an. Gerade der "private Key" ist das das was kein "anderer" haben darf.

Ich kenner starssl.com nicht, aber soweit ich sehen konnte, ist das eine CA (Certificate Authority). Der normale Weg bei sowas ist folgender.

1.) Du erstellst Dir einen privaten Schlüssel (der private Key) (Dieser wird NIE irgendwo hin geschickt oder weitergegeben)
2.) Aus dem privaten Schlüssel wird via openssl ein CSR (Certificate Signing Request) erzeugts. Diesen und nur diesen schickst Du an die CA (in diesem Fall wohl startssl.com). Diese signieren Deinen CSR und erzeugen damit ein Zertifikat. Dieses Zertifikat ist dann das, welches Du für Deinen Webserver verwendest. Zusätzlich solltest Du auch noch das CA-Zertifikat von startssl.com von denen bekommen.

Damit ein Browser beim Zugriff auf Dein https:// nicht meckert, muß er der CA (also startssl.com) vertrauen (dafür ist das CA-Zertifikat) notwendig. Für die großen CAs wie Verisign oder RSA sind in die Browser schon eingebaut. startssl.com habe ich in meinem Firefox nicht gefunden. Hier muss der User also entweder Dein Zertifikat "absegenen", damit der Browser nicht mehr meckert, oder er muss das CA-Zertifikat von startssl.com importieren, um allen Zertifikaten die von denen Signiert wurden zu vertrauen.
 
So, ich hab mich da mal durchgeklickt bei denen.
Es ist so wie ich bereits gepostet habe, Du kannst bei denen Dein CSR signieren lassen.
Was Du gemacht hast, ist auch von denen den private Key, den CSR und das fertige Server-Zertifikat erstellen zu lassen. Das ist OK, obwohl mir persönlich das zu unsicher wäre, wenn mein Key noch wo anders liegt. Aber egal.

Verwendest Du nun das Zertifikat für Deinen Server, solltest Du zunächst das Passwort vom "private Key" entfernen, sonst muß das bei jedem Apache-Neustart eingegeben werden, da ohne das PW der Key nicht verwendet werden kann.
Das geht auf der Kommandozeile einfach mittels "openssl rsa -in ssl.key -out ssl-opw.key" Die Dateinamen sind natürlich anzupassen. Dabei wirst Du noch einmal nach den Passwort gefragt.
Ob es geklappt hat, kannst Du wiefolgt prüfen "openssl rsa -in ssl-opw.key -noout -text"
Das Spuckt einen haufen Infos über den Key aus und zwar ohne das nach dem Passwort gefragt wird. Gleicher Befehl mit den alten Key gibt das Gleiche aus, allerdings mit Passwortabfrage.

Den Key ohne Passwort hinterlegst Du im Apache. Ebenso wie das Zertifikat.

Damit Dein Browser nicht mehr meckert, solltest Du Dir das
https://www.startssl.com/certs/ca.pem (Root-CA) und
https://www.startssl.com/certs/sub.class1.server.ca.pem (Server-CA)
im Browser importieren. Damit kennt der Browser die CA und sollte auch über Deine Zertifikate nicht mehr meckern.
 
Kam schnell vorbei da ich auf Twitter etwas Bekanntes gesehen habe und gerne etwas korrigieren möchte. Die CA Wurzel und Intermediäre CA Zertifikate müssen NICHT in die Browser importiert werden, stattdessen müssen diese auf dem Server korrekt installiert sein.

Für korrekte Installation sehe zum Beispiel https://www.startssl.com/?app=21 und im Speziellen:

SSLCertificateChainFile /usr/local/apache/conf/sub.class1.server.ca.pem
SSLCACertificateFile /usr/local/apache/conf/ca.pem
Zum Vergrößern anklicken....

Die StartCom Zertifikate sind bei Microsoft, Mozilla und Apple unterstützt.
 
Zuletzt bearbeitet:
Danke für die Antworten.

Nur Blicke ich immer noch nicht ganz durch wie ich im Synology NAS vorgehen muss. Es verlang ja in den Webserver Einstellungen einen Privaten Schlüssel und ein Zertifikat.

Von wo nehme ich den Privaten Schlüssel? aus dem startssl control panel?

von wo das Zertifikat? auch aus dem startssl control panel?

Das muss ich ja auch noch machen, oder nur das?

SSLCertificateChainFile /usr/local/apache/conf/sub.class1.server.ca.pem
SSLCACertificateFile /usr/local/apache/conf/ca.pem
Zum Vergrößern anklicken....

Gibt es konkrete Erfahrungen mit dem mit startssl und dem Synology NAS?
 
Ja sicher musst Du einen privaten Schlüssel und ein Zertifikat bekommen. Beides bekommt man vom StartSSL Control Panel => Certificates Wizard => Server SSL/TLS Certificate.

Man kann auch den privaten Schlüssel selbst erzeugen und ein CSR hoch laden, für das soll man an SKIP klicken anstatt einen Schlüssel erzeugen lassen.

Die zusätzliche Konfiguration ist natürlich:

Rich (BBCode): 
SSLCertificateFile /usr/local/apache/conf/ssl.crt
   SSLCertificateKeyFile /usr/local/apache/conf/ssl.key
 
Also ich habe:

- server.crt Certificate Request aus dem Control Panel
- private.key Privater Schlüssel aus dem Control Panel

Das sind die beiden Dateien, die ich im NAS unter Webdienste per Assistent raufladen muss.

Dann habe ich noch auch aus dem Control Panel.

- ca.pem
- sub.class1.server.ca.pem

Die müssen im NAS dort hin oder?
SSLCertificateChainFile /usr/local/apache/conf/sub.class1.server.ca.pem
SSLCACertificateFile /usr/local/apache/conf/ca.pem
Zum Vergrößern anklicken....
 
kurios, diese pfade gibt es bei mir nicht.
 
die da?
SSLCertificateChainFile /usr/local/apache/conf/sub.class1.server.ca.pem
SSLCACertificateFile /usr/local/apache/conf/ca.pem
 
jupp

apache ist bei mir unter /usr/syno/apache/ und *.key, *.crt und *.csr sind bei mir unter /usr/syno/etc/ssl zu finden.

wie ist das mit der sub.class1.server.ca.pem und ca.pem. kann ich die so einfach einfügen da ich mein zertifikat selbst erzeugt habe oder muss die ebenfalls von starssl.com ausgehändigt werden?
 
Bei mir siehts so aus:

SSLCertificateChainFile /usr/syno/etc/ssl/ssl.crt/sub.class2.server.ca.pem
SSLCACertificateFile /usr/syno/etc/ssl/ssl.crt/ca.pem


sub.class2 weil ich ein höheres cert habe
 
hm, woher weiß ich ob mein zert ein class1 oder 2 ist und was hat es mit der datei SSLCertificateChainFile auf sich?

ich blicke da noch nicht ganz durch.

ps: und die webbrowser meckern nach dieser modifikation nicht mehr?
 
Zuletzt bearbeitet:
entweder bin ich zu doof oder es wurde hier vergessen zu sagen woher man die datei SSLCertificateChainFile bekommt.
 
verstehe ich jetzt nicht!

die sub.class2.server.ca.pem und ca.pem habe ich mir von dort geholt, mein server kann die datei SSLCertificateChainFile nicht finden.

muss ich noch was erstellen?
 
du musst die sub.class1 nehmen. Ich habe ein höheres (bezahltes) Zertifikat darum ist es bei mir anderst.
 
ich meine SSLCertificateChainFile :mad:

das andere habe ich bereits schon...
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten