Kann mir jemand helfen, sodass ich das mit den Zertifikaten wieder hinbekomme.
Irgendwie habe ich da scheinbar etwas verhunzt :/
Irgendwie habe ich da scheinbar etwas verhunzt :/
Zertifikat via SSH erstellen
- Ersteller samuelt2
- Erstellt am
- Status
joku
Benutzer
- Mitglied seit
- 06. Mrz 2011
- Beiträge
- 6.664
- Punkte für Reaktionen
- 2
- Punkte
- 164
Hey, vielen Dank für deine Antwort.
Wie ich in meinem Post davor beschrieben habe, ist dabei ein Fehler aufgetreten.
Ich bin allerdings folgender Anleitung gefolgt, weil ich mit der aus dem Wiki nicht so recht klar gekommen bin.
http://iphoneinaktion.de/2011/08/sy...enerieren-fur-sicheren-zugriff-von-unterwegs/
Wie ich in meinem Post davor beschrieben habe, ist dabei ein Fehler aufgetreten.
Ich bin allerdings folgender Anleitung gefolgt, weil ich mit der aus dem Wiki nicht so recht klar gekommen bin.
http://iphoneinaktion.de/2011/08/sy...enerieren-fur-sicheren-zugriff-von-unterwegs/
joku
Benutzer
- Mitglied seit
- 06. Mrz 2011
- Beiträge
- 6.664
- Punkte für Reaktionen
- 2
- Punkte
- 164
Ich hab das schon gelesen. Wenn Du es so wie in den Link beschrieben gemacht hast ..
hast Du mkdir /usr/local/ssl vergessen ?
Gruß Jo
Nein. Das habe ich nicht vergessen. Ich führe die Anleitung noch einmal durch. Mal schauen ob es dann vielleicht klappt.
Und ich bleibe bei folgender Stelle hängen:
Es scheint also die Datei ca.crt oder das o.g. Verzeichnis nicht zu geben...
Ich habe auch einmal einen Buchstaben zu wenig kopiert, deswegen scheint da nun noch ein falsches Verzeichnis angelegt geworden zu sein.
Weiß auch nicht wie ich das weg bekommen kann.
Zuletzt bearbeitet:
joku
Benutzer
- Mitglied seit
- 06. Mrz 2011
- Beiträge
- 6.664
- Punkte für Reaktionen
- 2
- Punkte
- 164
wo befindest du Dich hier ?
pwd
ls /usr/syno/etc/
mv ca.crt funktioniert nur wenn Du in den Verzeichniss bis.
Gruß Jo
Hey,
sorry habe es früher nicht geschafft.
Ich müsste mich im Hauptverzeichnis befinden.
Ich habe nun versucht in das Verzeichnis zu kommen. Mit folgendem Befehl:
cd /usr/syno/etc/ssl bzw cd /usr/syno/etc. Da ich nicht genau weiß in welches Verzeichnis ich muss.
Habe dann mv ca.crt /usr/syno/etc/ssl/ssl.crt eingegeben.
Bekomme dann wieder folgende Meldung:
mv: can't rename 'ca.crt': No such file or directory
edit: Ich habe soeben selber den Fehler gefunden. Ins Hauptverzeichnis geht man nicht mit dir, sondern mit cd.
Grrr.. :/
sorry habe es früher nicht geschafft.
Ich müsste mich im Hauptverzeichnis befinden.
*http://iphoneinaktion.de/2011/08/sy...enerieren-fur-sicheren-zugriff-von-unterwegs/
Ich habe nun versucht in das Verzeichnis zu kommen. Mit folgendem Befehl:
cd /usr/syno/etc/ssl bzw cd /usr/syno/etc. Da ich nicht genau weiß in welches Verzeichnis ich muss.
Habe dann mv ca.crt /usr/syno/etc/ssl/ssl.crt eingegeben.
Bekomme dann wieder folgende Meldung:
mv: can't rename 'ca.crt': No such file or directory
edit: Ich habe soeben selber den Fehler gefunden. Ins Hauptverzeichnis geht man nicht mit dir, sondern mit cd.
Grrr.. :/
Zuletzt bearbeitet:
joku
Benutzer
- Mitglied seit
- 06. Mrz 2011
- Beiträge
- 6.664
- Punkte für Reaktionen
- 2
- Punkte
- 164
Hallo, kein Problem, wie sieht es aus ?
Alles so wie Du es brauchst oder klemmt es noch wo ?
Gruß Jo
Siehe meine edits... Habs nun geschafft. Ich habe aufjeden Fall den falschen Ordner "ba" (anstatt "bak") erstellt.
Wie kann ich den löschen?
Unter "cd /usr/syno/etc/ssl"
Habe ich unter anderem folgende Verzeichnisse:
drwxr-xr-x 2 root root 4096 May 5 11:05 ba
drwxr-xr-x 5 root root 4096 May 5 11:05 bak
drwxr-xr-x 5 root root 4096 May 5 11:05 bak?
Gehört das "bak?" Verzeichnis dort hin?
joku
Benutzer
- Mitglied seit
- 06. Mrz 2011
- Beiträge
- 6.664
- Punkte für Reaktionen
- 2
- Punkte
- 164
rm -rf verzeichniss
option f löscht ohne nachfrage
option r löscht alles rekursiv
Vorsicht !!!!!
Ich denke mal nicht
cd /usr/syno/etc/ssl/
rm -rf ba
Gruß Jo
Okay Danke. Das bak? Verzeichnis konnte ich nicht löschen - ist aber glaube ich auch nicht so schlimm ;-)
joku
Benutzer
- Mitglied seit
- 06. Mrz 2011
- Beiträge
- 6.664
- Punkte für Reaktionen
- 2
- Punkte
- 164
Das Fragezeichen ist vielleicht ein Sonderzeichen,
in dem Verzeichniss mal ls bak eintippen und dann TAB drücken.
Gruß Jo
Hallo Keek
Hast Du das mit dem Zertifikat jetzt hinbekommen? Also funktioniert alles ohne Warnung im IE, Firefox etc.?
Cheers
Trent
Hast Du das mit dem Zertifikat jetzt hinbekommen? Also funktioniert alles ohne Warnung im IE, Firefox etc.?
Cheers
Trent
jahlives
Benutzer
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
Ohne Warnung im Browser kann es nur gehen wenn du 1. eine vertrauenswürdige CA-Stelle für die Signierung verwendest und wenn 2. der Name (CommonName) im Zertifikat mit dem Namen deines Hosts übereinstimmt. Es gibt einige Anbieter, die die Signierung gratis machen z.B. ca-cert oder startssl, wobei bei ersterem das Root Zertifikat afaik nicht als vertrauenswürdige CA-Stelle in den Browsern hinterlegt ist. Wenn man das Cert von extern signieren lässt, kann man auch auf die Erstellung eines ca.key verzichten. Den braucht man nur wenn man selber signieren will und das gibt mit Garantie eine Meldung in den Browsern. Wenn man der Anleitung im Wiki folgt, kann man also das "Kapitel" "Erstellung eines Stammzertifikates" weglassen und bei "Erstellung eines Serverzertifikats" ebenfalls den Punkt 3. weglassen. Aber nur wenn man es wirklich extern signieren lässt!
Besten Dank für Deine Hilfe!
Vorneweg: Wenn ich jetzt schon etwas gewurstelt habe gem. Anleitung, kommen sich dann irgendwelche Dateien in die Quere?
Dann: startssl habe ich schon einmal ausprobiert. Die Site ist aber ziemlich verwirrend, z. B. funktioniert der SignUp nicht einmal, wenn man zu langsam ist: https://auth.startssl.com/ (Meldung: Ein Fehler ist während einer Verbindung mit auth.startssl.com aufgetreten. Die SSL-Gegenstelle konnte keinen akzeptablen Satz an Sicherheitsparametern aushandeln. (Fehlercode: ssl_error_handshake_failure_alert)).
Fürs Verständnis: Wie muss ich mir die Signierung durch startssl vorstellen? Sende ich denen ein File und die setzen den Key ein?
Sorry, wie Du siehst bin ich blutiger Anfänger, daher danke für Deine Geduld.
Cheers
Trent
Vorneweg: Wenn ich jetzt schon etwas gewurstelt habe gem. Anleitung, kommen sich dann irgendwelche Dateien in die Quere?
Dann: startssl habe ich schon einmal ausprobiert. Die Site ist aber ziemlich verwirrend, z. B. funktioniert der SignUp nicht einmal, wenn man zu langsam ist: https://auth.startssl.com/ (Meldung: Ein Fehler ist während einer Verbindung mit auth.startssl.com aufgetreten. Die SSL-Gegenstelle konnte keinen akzeptablen Satz an Sicherheitsparametern aushandeln. (Fehlercode: ssl_error_handshake_failure_alert)).
Fürs Verständnis: Wie muss ich mir die Signierung durch startssl vorstellen? Sende ich denen ein File und die setzen den Key ein?
Sorry, wie Du siehst bin ich blutiger Anfänger, daher danke für Deine Geduld.
Cheers
Trent
jahlives
Benutzer
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
also das Erstellen eines Certs ist immer der gleiche Weg:
1. du erstellst bei dir lokal ein key File. Dieses ist geheim und darf niemals nach aussen gegeben werden
2. aus diesem Key leitest du einen CSR (Certificate Signing Request) ab
3. wenn man den CSR mit einem ca.key signiert ensteht daraus das CRT File
Das crt ist der öffentliche Schlüssel und der key der private. Die CA-authority wird also deinen csr nehmen mit ihrem CA-private-Key signieren und dir dann ein CRT zurückschicken. Dieses CRT kopierst du dann an die richtige Stelle
Oftmals verlangen Anwendungen die key resp crt Files in einem einzigen File (sogenannte pem Files). Die kann man relativ einfach erstellen. Man muss einfach die Reihenfolge im File beachten:
1. private Key des Servers
2. crt des Servers
3. crt das zum Key gehört welcher server.csr signiert hat
4. root Cert der CA-Authority. Also das Cert, das zum Key gehört, der das Cert unter 3. signiert hat
Also z.B.
wichtig wäre noch, dass nur der User root dieses File (server.pem) lesen darf, da sich darin der geheime private Key (server.key) befindet. Wobei nicht immer 3. angewendet werden muss. Je nach Anbieter wurde dein crt auch direkt mit dem root Key deiner CA-Auth signiert. Gerade wenn man selber signiert mit eigenem ca.key hat man eigentlich nie ein Intermediate Crt
1. du erstellst bei dir lokal ein key File. Dieses ist geheim und darf niemals nach aussen gegeben werden
2. aus diesem Key leitest du einen CSR (Certificate Signing Request) ab
3. wenn man den CSR mit einem ca.key signiert ensteht daraus das CRT File
Das crt ist der öffentliche Schlüssel und der key der private. Die CA-authority wird also deinen csr nehmen mit ihrem CA-private-Key signieren und dir dann ein CRT zurückschicken. Dieses CRT kopierst du dann an die richtige Stelle
Oftmals verlangen Anwendungen die key resp crt Files in einem einzigen File (sogenannte pem Files). Die kann man relativ einfach erstellen. Man muss einfach die Reihenfolge im File beachten:
1. private Key des Servers
2. crt des Servers
3. crt das zum Key gehört welcher server.csr signiert hat
4. root Cert der CA-Authority. Also das Cert, das zum Key gehört, der das Cert unter 3. signiert hat
Also z.B.
Code:
cat server.key >> server.pem
cat server.crt >> server.pem
cat CA-intemediate.crt >> server.pem
cat CA-root.crt >> server.pemOk, jetzt klärt sich so langsam einiges. Mir ist aber längst noch nicht alles klar
Aber mit Deiner Anleitung werd ichs nochmals versuchen, vielen Dank!
Aber mit Deiner Anleitung werd ichs nochmals versuchen, vielen Dank!
jahlives
Benutzer
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
wenn du das ein paar Mal gemacht hast (Zertifikate muss man ja immer wiedermal erneuern), dann wird plötzlich vieles klarer
Btw: bei ca-cert gibt es zwar einen Fehler im Browser weil dem CA-Crt ned vertraut wird, das Erstellen eines crt ist jedoch bei ca-cert imho einfacher als bei startssl. Zudem noch ganz wichtig: egal bei wem du das Cert machtst du musst auf deiner Domain Mails empfangen können. Wenn du also einen dyndns Domainnamen hast (oder auch no-ip oder wie sie alle heissen), dann wirst du kein Cert erstellen können bei diesen Anbietern. Denn die schicken zur Verifizierung eine Mail an die Hauptdomain und nur wenn du den Link dort klickst wird dein Account aktiviert. Das Problem ist, dass die dyndns Anbieter diese Mails verweigern, denn die Hauptdomain gehört nicht dir z.B. du hast xxx.dyndns.org und willst ein Cert dafür. Dann geht eine Mail an DEIN_USER@dyndns.org und die verweigert dyndns mit Garantie.
Lange Rede kurzer Sinn: auf Subdomains kann man nur dann Certs erstellen, wenn einem die Hauptdomain auch gehört und das ist bei dyn DNS Hostnamen afaik nie der Fall
Btw: bei ca-cert gibt es zwar einen Fehler im Browser weil dem CA-Crt ned vertraut wird, das Erstellen eines crt ist jedoch bei ca-cert imho einfacher als bei startssl. Zudem noch ganz wichtig: egal bei wem du das Cert machtst du musst auf deiner Domain Mails empfangen können. Wenn du also einen dyndns Domainnamen hast (oder auch no-ip oder wie sie alle heissen), dann wirst du kein Cert erstellen können bei diesen Anbietern. Denn die schicken zur Verifizierung eine Mail an die Hauptdomain und nur wenn du den Link dort klickst wird dein Account aktiviert. Das Problem ist, dass die dyndns Anbieter diese Mails verweigern, denn die Hauptdomain gehört nicht dir z.B. du hast xxx.dyndns.org und willst ein Cert dafür. Dann geht eine Mail an DEIN_USER@dyndns.org und die verweigert dyndns mit Garantie.
Lange Rede kurzer Sinn: auf Subdomains kann man nur dann Certs erstellen, wenn einem die Hauptdomain auch gehört und das ist bei dyn DNS Hostnamen afaik nie der Fall
Wenn das so ist... Dann kann ich mir eigentlich die komplette Mühe sparen Das heisst, ich muss zuerst eine IP-Adresse bei meinem Provider kaufen. Mal schauen ob sich dieser Aufwand für mich lohnt...
Das heisst, ich muss zuerst eine IP-Adresse bei meinem Provider kaufen. Mal schauen ob sich dieser Aufwand für mich lohnt...- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
