Anleitung für Zertifikateerstellung

[Stemo]

Hallo, ich weiß, es gibt im Netzt eine Menge Anleitungen wie man ein Zertifikat für die Synology NAS erstellen kann. Ich bekomme es aber trotzdem nicht hin. Gibt es hier eine Anleitung für dummies.
Ich habe eine DS720+ und DSM 7.0-41890 drauf. Beim Aufruf der NAS vom Browser kommt die Meldung: Diese Verbindung ist nicht privat. Aber ich komme zumindest noch auf die NAS. Mobil ist ein Zugang wegen des Zertifikateproblems nicht möglich. Bei der Anfangsneukonfiguration der DS720+ wurde automatisch ein Zertifikat erstellt. Nur weiß ich nicht welches. Und egal welches meiner Zertifikate ich auf 'Standard' setze, es funktioniert nicht.
Ich bräuchte wirklich eine Anleitung für dummies, denn ich weis nicht mal welche Domain ich eingeben soll. Ist das meine Email oder meine dyndns?

Eines meiner Zertifikate lautet 'Synology.com'. Laufzeit bis 2036. Ginge das nicht für alles? Oder benötige ich z.B. für den WebDav Server ein anderes Zertifikat? Ihr seht schon, ich habe hier wirklich absolut keine Ahnung was ich machen soll.

Kann mir bitte jemand helfen, ich verzweifle noch.

 

[ottosykora]

Eines meiner Zertifikate lautet 'Synology.com'. Laufzeit bis 2036. Ginge das nicht für alles?

sicher geht das, nur muss man es in die jeweiligen Computer oder Browser etc importieren damit es auch 'anerkannt' wird.

 

[Stemo]

Danke für die Antwort. Ich muß das erstellte Zertifikat also auf das Mobilgerät, ein iPhone, übertragen. Ich habe das Synologyzertifikat also exportiert. Es sind 2 Dateien, eine privekey.pem und eine cert.pem.
In den Anleitungen steht jetzt:

1. Hängen Sie die.crt -Datei an eine E -Mail -Nachricht an und senden Sie sie an sich selbst.

Aber die .crt Datei habe ich doch gar nicht. Woher bekomme ich die?

 

[Stemo]

kann mir denn keiner helfen?

 

[ottosykora]

der cert.pem in den Store für Vertrauenswürdige Aussteller oder so was importieren

 

[Benares]

Selbst-Signierte Zertifikate musst du auf jedem Gerät als "vertrauenswürdig" einstufen. Probier mal folgenden Weg:

1. Ruf die Seite über https auf
2. Mit einem Rechtsklick auf der Schloss vor der URL solltest du dir das Zertifikat ansehen und auch in einer Datei speichern können (-> .cer-Datei)
3. Rechtsklick auf die Datei, "Zertifikat installieren"
4. Wähle "Lokaler Computer" und später "Vertrauenswürdige Stammzertifizierungsstelle" als Speicherort aus

Was es da schon alles gibt, siehst du über certmgr.msc. Dort könntest du es auch wieder löschen.

 

[ottosykora]

habe gerade versucht:
aus DSM7 exportieren, drin ist dann die cert.pem
die wird zwar von zum Bsp meinem Windows nicht als was nützliches erkannt, aber man kann es trotzdem importieren

Bei neueren Firefox kann ich es nicht importieren, dort kann wohl nur den Server Cert direkt als Ausnahme importieren

es wird langsam sehr kompliziert mit den selfsigned

 

[Benares]

Bei FF mag es anders sein, hat m.W. auch einen eigenen Cert-Store. Ich nutze Chrome.

 

[ottosykora]

Chrome und verwandten nutzen Windows Cert Store, dort konnte ich den cert.pem in die CA importieren.
FF weigert sich standhaft dies zu erlauben

 

[Dreamdancer77]

Hier gibt es eine Anleitung, wie man die Zertifikate "Windows-kompatibel" bekommt, nutze ich für unsere extern erreichbaren Server (Allerdings mit Let's-Encrypt-Zertifikaten nicht selfsigned). Man muss sich aber als Hilfsmittel OpenSSL auf dem PC installieren.

1. Zertifikat über DSM exportieren
2. Archiv entpacken, Dateien in Ordner C:\OpenSSL-Win64\bin kopieren
3. CMD als Admin öffnen in Verzeichnis C:\OpenSSL-Win64\bin wechseln
4. openssl.exe aufrufen
5. pkcs12 -export -out certificate.pfx -inkey privkey.pem -in cert.pem -certfile chain.pem
6. Passwort festlegen
7. Zertifikat über MMC - Snapin hinzufügen - Zertifikate - in eigene Zertifikate importieren (bzw. dann im Firefox)

Quelle: https://serverfault.com/questions/927114/how-install-ssl-certificate-for-rds-on-windows-server-2016

 

[ottosykora]

FF akzeptiert es neuerdings nicht mehr, er sagt dass die CA keine echte CA ist und verweigert den Import.
War früher nicht der Fall, da ging alles ganz normal. Jetzt ist auch das anlegen einer Ausnahme kompliziert.

Windows hingegen importiert die vorhandenen .pem ohne Probleme, ich musste nichts umwandeln

 

[Benares]

Firefox traut scheinbar selbst signierten Zertifikaten einfach nicht mehr. Bleibt also wohl nur der Weg über die Ausnahme.