Certification 3rd-party-apps

[drago]

ich bin die php.ini nochmal komplett durchgegangen und es ist alles so eingetragen wie es sein sollte, siehe anhang.

mit dem befehl: hostname -s
bekomme ich server> als antwort

mit dem befehl: cat /var/run/dmesg.boot
siehe anhang

 

[QTip]

ahaaa, du hast immer noch safe_mode auf das Verzeichnis /usr/syno/bin begrenzt, dadurch können von PHP aus nur Kommandos ausgeführt werden, die in diesem Verzeichnis liegen.
das steht bei dir drin:

safe_mode_exec_dir = /usr/syno/bin

es muss aber so ausschauen:

safe_mode_exec_dir =

dann wäre da noch open_basedir, dort darf dahinter nichts mehr stehen
dein Eintrag:

open_basedir = /volume1/web:/volume2/web:/volume3/web:/volume4/web:/volume5/web:/volume1/photo:/volume2/photo:/volume3/photo:/volume4/photo:/volume5/photo:/usr/syno/synoman:/etc:/var/run:/tmp:/var/spool/php:/volume1/@tmp/php:/var/services/web:/var/services/photo:/var/services/blog

richtiger Eintrag:

open_basedir =

Ändere diese Einträge und probiere es nochmal, sollte nun eigentlich funktionieren.

 

[drago]

laut deiner anweisung nach, hat sich folgendes ergeben:

Creating Certificates with Serial: 1
RSA CA Key OK
RSA Private Server Key OK
Remove the Pass-Phrase from the CA Key OK
Remove the Pass-Phrase from the Server Key OK
Certificate Authority Signing Request Error
Server Certificate Signing Request Error
Generating a Self-Signed CA Certificate Error
Generating a Self-Signed Server Certificate Error

 

[QTip]

bei dir fehlt noch die openssl.conf. Anscheinend hast du den 1. Post von itari nur überflogen, sonst hättest du gelesen, das diese Datei benötigt wird.
Also runterladen der Datei mit

wget http://www.gateway-1.homedns.org/synology/openssl.cnf

Diese kopierst du dann nach /usr/syno/ssl/. Falls das Verzeichnis noch nicht existieren sollte, dann bitte vorab erstellen.

 

[drago]

nein hab ich nicht, ich habe es mit dem openssl verwechselt was schon auf meiner DS installiert ist

 

[drago]

hi,

habe nun den letzten schritt mit erfolg durchgeführt. nun funktioniert alles, wie es sein soll.

vielen dank an dieser stelle.

 

[drago]

das zertifikat wird zwar korrekt erstellt, aber mit dem button "zertifikat kopieren" kommen die standardeinstellungen wieder und auch nach einem reboot ist via browser noch das alte zertifikat vorhanden. :/

 

[Trolli]

Sicher, dass es noch das alte Zertifikat ist? Damit die Zertifikatwarnung verschwindet, muss das Zertifikat auch auf dem zugreifenden PC installiert werden...

 

[drago]

ist mir schon klar das es auch auf den jeweiligen rechner instal. werden muss, aber wenn ich keine bestätigung bekomme. wie soll ich es dann instal.?

 

[jahlives]

Damit die Zertifikatwarnung verschwindet, muss das Zertifikat auch auf dem zugreifenden PC installiert werden...

zumindest auf dem IE (habe hier IE 6) kommt die Warnung anyway. Egal ob das Zert installiert ist oder ned. FireFox kann es (zumindest in Version 3)
@QTip
Man kann bei open_basedir auch einfach weitere Verzeichnisse hinzufügen z.B

open_basedir = /:/volume1/web:/volume2/web:/volume3/web:/volume4/web:/volume5/web:/volume1/photo:/volume2/photo:/volume3/photo:/volume4/photo:/volume5/photo:/usr/syno/synoman:/etc:/var/run:/tmp:/var/spool/php:/volume1/@tmp/php:/var/services/web:/var/services/photo:/var/services/blog

Gruss

tobi

 

[QTip]

als Erstes fertigen wir ein Backup von einigen Dateien an

Backup vom Verzeichnis /usr/syno/etc/ssl anfertigen
Backup vom Verzeichnis /usr/syno/apache/conf/extra anfertigen

Die SSL-Konfigurationsdateien modifizieren.
In den folgenden 3 Dateien im Verzeichnis /usr/syno/apache/conf/extra

http-ssl.conf
http-ssl.conf-sys
http-ssl.conf-user

die folgenden Zeilen suchen, überprüfen und anpassen

SSLCertificateFile /usr/syno/etc/ssl.crt/server.crt
SSLCertificateKeyFile /usr/syno/etc/ssl.key/server.pem

Hast die Dateien auch wie im Post angegeben modifiziert? Ansonsten benutzen die Apache(s) noch die alten originalen Dateien.

 

[drago]

@jahlives

lach, diese einträge habe ich erst auf anweisung entfernt, siehe oben.

 

[drago]

Hast die Dateien auch wie im Post angegeben modifiziert? Ansonsten benutzen die Apache(s) noch die alten originalen Dateien.

ja habe ich, es gibt aber noch die einträge hier:

http-ssl.conf

SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.key
#SSLCertificateFile /usr/syno/apache/conf/server-dsa.crt

SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.crt
#SSLCertificateKeyFile /usr/syno/apache/conf/server-dsa.key


http-ssl.conf-sys

SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
#SSLCertificateFile /usr/syno/apache/conf/server-dsa.crt

SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key
#SSLCertificateKeyFile /usr/syno/apache/conf/server-dsa.key

http-ssl.conf-user

#SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.key
#SSLCertificateFile /usr/syno/apache/conf/server-dsa.crt

#SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.crt
#SSLCertificateKeyFile /usr/syno/apache/conf/server-dsa.key

weiß ja nun nicht, ob die was damit zu tun haben.

 

[QTip]

Einträge mit # sind nicht aktiv, brauchen also nicht geändert werden. Denke aber daran, das es 3 Configdateien gibt und das es nicht ...server.key sondern server.pem lauten muss.

Man kann bei open_basedir auch einfach weitere Verzeichnisse hinzufügen z.B

open_basedir = /:/volume1/web:/volume2/web:/volume3/web:/volume4/web:/volume5/web:/volume1/photo:/volume2/photo:/volume3/photo:/volume4/photo:/volume5/photo:/usr/syno/synoman:/etc:/var/run:/tmp:/var/spool/php:/volume1/@tmp/php:/var/services/web:/var/services/photo:/var/services/blog

Ja klar, wollte nur keine abweichenden Anweisungen von den im Thread "3rd-party-apps - Anleitung" durch itari geposteten Einstellungen abgeben.

zumindest auf dem IE (habe hier IE 6) kommt die Warnung anyway. Egal ob das Zert installiert ist oder ned. FireFox kann es (zumindest in Version 3)

Bei mir funktioniert es auf dem IE6 und FireFox2, siehe Beispielbilder im Anhang (für IE6)
Beim ersten Aufruf mit einem unbekannten Zertifikat erscheint [Meldung 1]
Danach Zertifikat anzeigen klicken. In der neuen Dialogbox dann auf Zertifikat installieren klicken [Meldung 2]. Nun erscheint der Zertifikatstimport-Assistent [Meldung 3]. Diesen bis zum Ende mit weiter durchgehen, bis [Meldung 4] erscheint. Die danach erscheinende [Meldung 5] erscheint nur beim IE, kann man aber in den Einstellungen defaultmäßig akzeptieren.
Beim Firefox ist es weniger aufwendig, funktioniert aber ähnlich.

Von links nach rechts und oben nach unten (Meldung 1, Meldung 2..)

 

[drago]

also ich habe nochmal die zeilen ohne # bearbeitet

irgendwas stimmt nicht mit der anweisung überein, weil den pfad hier gibt es nicht, auch wenn ich wieder /ssl/ dazu schreibe, findet er die datei server.pem nicht

SSLCertificateKeyFile /usr/syno/etc/ssl.key/server.pem

 

[drago]

mal so nebenbei.

muss nicht chmod 775 auf openssl.cnf gesetzt werden?

 

[QTip]

muss nicht chmod 775 auf openssl.cnf gesetzt werden?

chmod 755 sollte reichen

was hast du mit dem Verzeichnis /usr/syno/etc/ssl/ gemacht, das sollte definitiv existieren?
Nebenbei kopiert das Script die Dateien nicht, wenn die Änderungen von dir nicht vorher durchgeführt worden sind.

Log dich mal in der DS per Telnet oder SSH ein. Danach folgendes eingeben

cd /usr/syno/etc/ssl/

kommt keine Fehlermeldung dann

ls -lR

eingeben und das Ergebnis hier posten.

 

[drago]

-rwxr-xr-x    1 root     root         7825 Jun 19 20:46 mkcert.sh
drwxr-xr-x    2 root     root         4096 Aug  6 23:13 ssl.crt
drwxr-xr-x    2 root     root         4096 Jun 13 18:13 ssl.csr
drwx------    2 root     root         4096 Jun 13 18:13 ssl.key

./ssl.crt:
-r--------    1 root     root         1229 Jun 19 20:52 ca.crt.old
-rw-r--r--    1 root     root         2329 Aug  6 23:14 server.crt
-r--------    1 root     root         1208 Jun 19 20:52 server.crt.old

./ssl.csr:
-r--------    1 root     root          745 Jun 19 20:52 ca.csr
-r--------    1 root     root          745 Jun 19 20:52 server.csr

./ssl.key:
-r--------    1 root     root          887 Jun 19 20:52 ca.key
-r--------    1 root     root          887 Jun 19 20:52 server.key

 

[QTip]

1. warum haben bei dir einige Dateien die Endung .old?
2. in dem Ordner ssl.key fehlt server.pem und ca.pem
3. warum haben die neuesten Dateien nur chmod 400?

In allen 3 http-ssl.conf-xxx Dateien muss der Eintrag
SSLCertificateKeyFile /usr/syno/etc/ssl/ssl-key/server.key in
SSLCertificateKeyFile /usr/syno/etc/ssl/ssl-key/server.pem
umbenannt werden.

Es werden insgesamt 8 Dateien kopiert und wenn vorhanden überschrieben. Es werden keine Dateien umbenannt. Bei dir sind, wenn überhaupt, nur 6 Dateien kopiert worden.

 

[drago]

kann ich dir auch nicht sagen...

bei dem kopiervorgang der dateien die ich hier posten will, ist mir ein fehler unterlaufen. mir ist 1 von 3 dateien überschrieben worden, weiß jetzt aber nicht welche der beiden es ist.

könntest du mir bitte diese datei ersetzen und bei den anderen nachgucken ob ich doch irgendwo ein fehler eingebaut habe? danke!