Zertifikate austauschen

[karlgoldfinger]

Hallo zusammen,

ich möchte gerne bei meiner DS-106 ein SSL-Zertifikat installieren,
welches auf meinen Namen registriert ist, da das vorhandene SSL-
Zertifikat auf Synology Inc. ausgestellt ist. Das schreckt meine
Besucher ab.
Ferner möchte ich, dass kein Zertifikatsfehler im Browser angezeigt
wird.

Ich vermute, dass dies bei selbst-signierten Zertifikaten immer
so der Fall ist, richtig?

Wenn das sinnvoll ist, würde ich ein Zertifikat von www.cacert.org
einsetzen, da dies kostenlos ist.

Hat das schon einmal jemand gemacht?
Oder hat jemand Erfahrung mit so etwas?
Wie muss man dabei vorgehen?
Und was ist dabei zu beachten?

Danke für Eure Hilfe

Gruss
Karl

 

[T4B_]

Ferner möchte ich, dass kein Zertifikatsfehler im Browser angezeigt wird.

Ja, das würde mich auch mal interessieren.

 

[Trolli]

Ich hab's endlich geschafft! Dank einer ausführlichen Anleitung im englischen Forum:
http://www.synology.com/enu/forum/viewtopic.php?p=16675#16675

Endlich keine nervigen Zertifikatwarnungen mehr...

 

[CS407Rudi]

Hi Trolli

Bin ein wenig neu im Linux aber mit dem Wiki bin ich gut klargekommen und habe mir wie dort beschrieben ein Zertifikat erstellt. Nach dem Reboot komme ich leider nicht mehr auf die CS407 drauf, Laufwerke Freigaben etc funktionieren noch. Ja sicher ich habe ein Backup der 3 Files gemacht, falls die Frage kommt. Würde doch gern wissen, warum es trotzdem nicht geht.
Das Zertifikat habe ich dann auch in den PC reingekommen. Es muss in den Ordner Vertrauenwürdige Stammzertifizierungsstellen rein und ist dort auch als gültig gemeldet.
Jetzt weiiß ich erstmal nicht weiter.
kann mir jemand einen Tipp geben?
Der Browser meint:

Obwohl die Website gültig erscheint, konnte keine Verbindung aufgebaut werden....

weder per https noch mit http.
LG
Rudi

 

[CS407Rudi]

Moin
Ich antworte mir mal selber.
nach dem Rückspielen der bak files geht erst einmal alles wieder mit dem alten Zertifikat. Voher hatte ich in den System messages folgende Infos gefunden:

Jan 17 22:38:41 ftpd[3567]: init.c (82) Error loading '/usr/syno/etc/ssl/ssl.key/server.key'
Jan 17 22:38:41 ftpd[3567]: main.c (352) Failed to initial SSL configs.

Warum die Server.key nicht geladen werden konnte, habe ich nicht rausbekommen, habe alles so gemacht wie es im WIKI steht. Nur bei der Eingabe bei

commonName = "6. Common Name (DynDNS) "

war ich mir nicht sicher, weil ich da meine richtige *homeip.net* eingegeben habe. Sonst wüßte ich nicht was an dem ganzen prozess schiefgegangen ist.

LG
Rudi

 

[Trolli]

Möglicherweise hast Du den Passwortschutz nicht aus der server.key entfernt? Dann wird beim Start des Apache-Servers nach dem Passwort gefragt - und das kannst Du beim Systemstart natürlich nicht angeben. Deshalb schlägt der Start des Webservers fehl. Nur eine Vermutung.

Ich hab das mittlerweile auch recht schön im deutschen Synology Wiki dargestellt: http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats

Trolli

 

[PAPPL]

Hallo,

in der wiki steht:

ca.config mit folgendem Inhalt:

[ req ]
default_bits = 1024
distinguished_name = req_DN
string_mask = nombstr

[ req_DN ]
countryName = "1. Staat (2 Buchstaben)"
countryName_default = DE
countryName_min = 2
countryName_max = 2
stateOrProvinceName = "2. Bundesland "
localityName = "3. Ort "
0.organizationName = "4. Name der Organisation "
organizationalUnitName = "5. Name der Organisationseinheit "
commonName = "6. Common Name (Synology Station) "
commonName_max = 64
commonName_default = Synology Station
emailAddress = "7. Email Adresse "
emailAddress_max = 40

Hab da noch eine Frage:
Bei stateOrProvinceName = "3. Ort "
muss man dort z.B. "3. Berlin" oder nur "Berlin" eingeben?
Muss ich alle Angaben machen?

 

[Trolli]

Ja. Ich war mal so frei, das ein wenig zu übersetzen. Bin mir nicht wirklich sicher, welche Angaben hier minimal möglich sind. Das wichtigste ist auf jeden Fall der Common Name. Der darf auf keinen Fall fehlen.

Hier mal eine ausführlichere Anleitung, die allerdings nicht speziell auf die Synology Stations zugeschnitten ist: http://mathias-kettner.de/lw_ca_zertifikat_erstellen.html

Trolli

 

[CS407Rudi]

Hallo Trolli,

Möglicherweise hast Du den Passwortschutz nicht aus der server.key entfernt? Dann wird beim Start des Apache-Servers nach dem Passwort gefragt - und das kannst Du beim Systemstart natürlich nicht angeben. Deshalb schlägt der Start des Webservers fehl. Nur eine Vermutung.

Trolli

Danke für die Info,
Ich habe mich ja genau an die Reihenfolge im WIKI gehalten (dein Link). Wo ist denn die Stelle, wo der Passwortschutz aus der server.key entfernt wird?
LG Rudi

 

[Trolli]

Du meinst den ersten (englischen) Link, oder?

Diese Stelle:

openssl rsa -in server.key -out server.key.insecure
mv server.key server.key.secure
mv server.key.insecure server.key

Nach diesen drei Befehlen ist die server.key ohne Passwort.

Trolli

 

[CS407Rudi]

Du meinst den ersten (englischen) Link, oder?
Diese Stelle:
Zitat:
openssl rsa -in server.key -out server.key.insecure
mv server.key server.key.secure
mv server.key.insecure server.key

Ups, der fehlt aber im deutschen WIKI. Na dann werde ich mich nochmal an die Arbeit machen...

Vielen Dank auch Chef
LG
Rudi

 

[Trolli]

Im deutschen Wiki ist das anders. Da wird der server.key erst gar nicht mit passwort geschützt...

 

[CS407Rudi]

ja ... aber ich mußte doch einen key für den ca & den server.key eingeben.
Da ich das nun schon drei mal gemacht habe, kann ich mich gut erinnern.
Rudi

 

[Trolli]

Was passiert denn, wenn Du einfach mal den Apache-Server neu startest mit "/usr/syno/etc/rc.d/S97apache-user.sh restart"?

 

[CS407Rudi]

Das kann ich erst am WE wieder probieren, bin gerade nicht zu Hause
machen wir also später noch mal, ok?
LG
Rudi

 

[Trolli]

Alles klar. Du weißt ja, wo Du mich findest...

Trolli

 

[msarkon]

Alles klar. Du weißt ja, wo Du mich findest...

Trolli

Hi Trolli,

vielleicht kannst du mir auch helfen. Ich habe exakt das gleiche Problem. Habe mich an die deutsche WiKi-Anleitung gehalten und die Zertifikate erstellt.

Sobald ich aber die original Synology-Zertifikate gegen diese austausche und die Diskstation neu starte, ist die Diskstation nicht mehr erreichbar.

Eine Idee bzw Tipp für mich? Auch ein Neustart des Apache bringt mich nicht weiter.

Viele Dank schonmal.

 

[Trolli]

Dann bekommst Du aber bestimmt eine Fehlermeldung beim Neustart des Apache-Servers, oder?
Mit welchem Befehl startest Du den Webserver neu?

 

[msarkon]

Dann bekommst Du aber bestimmt eine Fehlermeldung beim Neustart des Apache-Servers, oder?
Mit welchem Befehl startest Du den Webserver neu?

Neustart über den o. g. Befehl

/usr/syno/etc/rc.d/S97apache-user.sh restart

Eine Fehlermeldung kommt nicht.

NewStation> /usr/syno/etc/rc.d/S97apache-user.sh restart
/usr/syno/etc/rc.d/S97apache-user.sh: user httpd stopped
Start User Apache Server .....
/usr/syno/etc/rc.d/S97apache-user.sh: user httpd started

Bei Aufruf der Diskstation über den SSL-Port kommt im Browser folgende Fehlermeldung:

Gesicherte Verbindung fehlgeschlagen

Das Zertifikat der Gegenstelle hat eine ungültige Signatur.

(Fehlercode: sec_error_bad_signature)

 

[Trolli]

Dann ist bestimmt auf dem zugreifenden Client voch ein altes Zertifiakt für Deine DS gespeichert. Schau mal, ob Du das findest und lösch es dann einfach.