Brauche Hilfe beim Zertifikat importieren

[lenno]

Hi zusammen

Ich hab mir bei Comodo ein Zertifakt bestellt und möchte dies nun auf der Synolgoy importieren. Leichter gesagt als getan.
Aber nun von beginn an. Was hab ich getran.

Auf meinem Windows Server 2012 R2 (Webserver) hab ich ein CSR File generiert. Dieses hab ich bei Comodo eingegeben und nach der ganzen Dokumentenprüfung hab ich ein ".csr" File erhalten.
Dies hab ich auf meinem Windows Server importiert... läuft
Auf dem Server hab ich dann ein "pfx" File Exportiert mit dem Privatem Schlüssel drin, welches ich wiederum auf sslshopper.com in ein "pem" File konveriert hab.

Auf der Synology meldet er mir beim Import jedoch immer ungültiges Zertifikat.
Wie muss ich hier vorgehen?

Danke für die Hilfe
Grüsse Lenno

 

[Frogman]

Du musst lediglich den privaten Schlüssel (der sich auf dem Rechner befinden sollte, auf dem Du den CSR generiert hast) zusammen mit dem *.csr-File von Comodo (das ist das eigentliche signierte Serverzertifikat) und einem etwaigen Zwischenzertifikat von Comodo (dazu schreiben die sicher etwas in der Nachricht) im DSM importieren. Dabei sollten die Zertifikatdateien im PEM.Format vorliegen (die Endung ist da eher unwichtig, wichtig ist, wie der Inhalt aussieht - im PEM-Format findet sich die Kette "-----BEGIN CERTIFICATE-----" am Anfang und die Kette "-----END CERTIFICATE-----" am Ende).

...Auf dem Server hab ich dann ein "pfx" File Exportiert mit dem Privatem Schlüssel drin, welches ich wiederum auf sslshopper.com in ein "pem" File konveriert hab.

Wenn der private Schlüsselteil tatsächlich auf einem Webserver war, ist Dein Zertifikat eigentlich keinen Pfifferling mehr wert. Der private Schlüsselteil ist geheim und sollte Deine Hoheit niemals verlassen!

 

[lenno]

Hi Danke für die Antwort.

Also bei der Syno muss ich die drei Files hochladen.
Privater Schlüssel: Dies ist der Private Schlüssel. Liegt natürlich nicht auf dem Webserver, sondern nur auf dem Windows (IIS). Diesen hab ich wie folgt exportiert. https://www.digicert.com/ssl-support/pfx-import-export-iis-8.htm#export pfx
Zertifikat: Das *.csr-File von Comodo.
Zwischenzertifikat: woher bekomme ich dieses?

danke!

 

[Frogman]

Zwischenzertifikat: woher bekomme ich dieses?

Wenn denn Comodo in ihrer Zertifikatskette ein Zwischenzertifikat einsetzt, dann bei denen auf der Webseite. Probiere es ohne, wenn das nicht geht, schau in die email mit dem Zertifikat!

 

[Nightlover]

Hallo lenno

Du kannst nicht ein vom Windows-Server erstellten Privaten Schlüssel mit dem man dann mit Comodo ein Zertifikat umwandelst dann auf einen anderen Server anwenden.

Musst zuerst mit der DS und dessen Privaten Schlüssel bei Comodo einen für die DS generiertes Zertifikat erstellen Welches dir dann mit dem Zwischenzertifikat zusammen gesendet wird.

Dann hast die Teile zusammen ansonsten eine Hilfe von iDomiX ist zwar SSL-trust aber Comodo geht gleich vor. Wieso verwendest du nicht das Gratis Zertifikat das von Synology zur verfügung gestellt wird?

Ich habe bei Comodo blos die gratis Mailzertifikate.

Night

 

[Frogman]

Du kannst nicht ein vom Windows-Server erstellten Privaten Schlüssel mit dem man dann mit Comodo ein Zertifikat umwandelst dann auf einen anderen Server anwenden.

Aha. Warum nicht?

 

[Nightlover]

Hallo

Aha. Warum nicht?

Weil ein Echtes Zertifikat mit dem individuellen auf dem Server liegenden Privaten Zertifikat erstellt wird und so nur auf den jeweiligen Server passt. Sonnst könntest du ja ein Zertifikate mehrere beliebigen Server importieren.

 

[Fusion]

Hindert dich ja niemand dran den privaten Schlüssel mit dem du ein CSR (Certificate Signing Request) erstellt hast und dann ein unterzeichnetes Zertifikat vom Anbieter bekommst zusammen mit dem Zertifikat und dem Intermediate auf einer anderen Maschine zu installieren...
Echte Zertifikate sind alle Zertifikate.

 

[Nightlover]

Hi Fusion

Versuche es doch mal, wird nicht klappen.

 

[Fusion]

Brauch ich nicht versuchen, hab ich schon gemacht. Zugegeben nur auf Linux Servern.

 

[Frogman]

Weil ein Echtes Zertifikat mit dem individuellen auf dem Server liegenden Privaten Zertifikat erstellt wird und so nur auf den jeweiligen Server passt. Sonnst könntest du ja ein Zertifikate mehrere beliebigen Server importieren.

Das ist totaler Unsinn!
Informiere Dich bitte, bevor Du hier solche Dinge in Umlauf setzt.
Ich werde hier jetzt nicht in Breite erläutern, wie die Beantragung eines Zertifikats funktioniert - das findet sich haufenweise im Netz und hier im Forum (wenn auch kurz bspw. hier). Mit dem privaten Key wird es nicht erstellt!
Der originäre RSA-Key enthält keinerlei rechner- oder domainspezifischen Inhalte - kann folglich mit dem dazugehörigen öffentlichen Schlüssel (d.h. dem Serverzertifikat, welches um Informationen zu Identität/Domain und eventuell um eine Signatur einer CA ergänzt ist) auf jedem Server eingesetzt werden!

Und für Dich zur Info:
Aus sicherheitstechnischen Gründen werden in der Regel RSA-Schlüssel immer auf Offline-Rechnern angelegt und eben nicht auf den Servern selbst.

 

[Nightlover]

Frogmann

sorry wie du meinst, als ich mein NAS-SSL-Zertifikat auf meinen Router importieren wollte klappte das genau nicht und auf anfrage wurde mir das so erklärt.
Also wurde ich wohl falsch informiert aber nach anpassen des Key's hat es aber dann geklappt.

 

[Frogman]

Bei Routern wie bspw. der Fritzbox muss man schauen, wie sie ein Zertifikat haben wollen - die Fritzbox bspw. erwartet ein PEM-codiertes File, in dem sich private und öffentliche Schlüsselhälfte direkt hinterheinander befinden (eventuell ergänzt um das notwendige Intermediate-Zertifikat), vgl. hier und bspw. hier.

Ich selbst habe bspw. das identische Zertifikat, welches ich in der DS installiert habe, ebenfalls auf meiner Fritzbox laufen.

 

[Nightlover]

Also bei mir hat es nicht geklappt obwohl er auch von Synology ist und die gleichen Dateien wollte ging es nicht, bekam die Meldung das die Zertifikate nicht mit dem Server übereinstimmen. Aber das würde ja heissen das sich jeder irgend ein Zertifikat holen kann und so vorgaukeln das es ein Vertrauenswürdiger Server sei. Daher war mir auch die Erklärung klar zum Problem.

 

[Frogman]

...Aber das würde ja heissen das sich jeder irgend ein Zertifikat holen kann und so vorgaukeln das es ein Vertrauenswürdiger Server sei.

Klar, das geht - und wird auch gemacht, wenn jemand sich mit einem SSL-Proxy in eine verschlüsselte Verbindung klinkt.
Abhilfe schafft hier nur, dass man beim Zugriff den Fingerprint des an den Client (bspw. an den Browser) ausgelieferten SSL-Serverzertifikats mit demjenigen vergleicht, den der Server tatsächlich haben soll. Sind sie identisch, ist man auf der sicheren Seite.
Dazu gibt es auch automatisierte Techniken wie bspw. Certificate Pinning oder zukünftig auch DANE.

 

[Nightlover]

Abhilfe schafft hier nur, dass man beim Zugriff den Fingerprint des an den Client (bspw. an den Browser) ausgelieferten SSL-Serverzertifikats mit demjenigen vergleicht, den der Server tatsächlich haben soll. Sind sie identisch, ist man auf der sicheren Seite.

Aber würde dann nicht heißen das wenn du bei dir

Ich selbst habe bspw. das identische Zertifikat, welches ich in der DS installiert habe, ebenfalls auf meiner Fritzbox laufen.

die bei der FB ja dann nicht identisch sind oder nicht?

Sehe ich das völlig falsch?

 

[Frogman]

Doch, wie ich oben schrieb - die sind identisch.
Hintergund ist eben, dass ich wegen DANE und Certificate Pinning mit dem gleichen Zertifikat reden möchte, wenn ich Dienste daheim nutze - sei es auf der DS oder der Fritzbox.

 

[Nightlover]

wahrscheinlich bin ich momentan zu dumm, lese mich mal durch die CP und DANA hoffe ich werde schlauer, denn momentan verstehe ich es noch nicht. Aber egal und danke.

 

[Frogman]

Wichtig ist dabei nur, dass jedes neu erstellte Schlüsselpaar und davon ausgestellte SSL-Zertifikate einen eindeutigen Fingerprint besitzen (d.h., es kann zwar mehrere Zertifikate für ein und dieselbe Domain geben, die dann aber unterschiedliche Fingerprints besitzen). Für ein Pinning oder die Verwendung eines Hash-Wertes für ein Zertifikat bei DANE ist es dann jedoch wichtig, dass immer das gleiche Zertifikat verwendet wird, weil man ja eben dessen ID oder Hash-Wert hinterlegt. Wie gesagt, und wenn ich von außen über meine Domain bspw. das DSM aufrufe oder aber auch die Fritzbox, sollte dann immer das gleiche Zertifikat ausgeliefert werden, damit die Prüfung dazu ein gültiges Ergebnis liefert. Lies Dich dazu einfach mal etwas ein, und wenn Dir Fragen in den Sinn kommen, dann stelle sie einfach hier.

 

[lenno]

Hat funktioniert, musste das .cer in ein pem Umwandeln...