Certification 3rd-party-apps

Status
Für weitere Antworten geschlossen.

QTip

Super-Moderator
Teammitglied
Mitglied seit
04. Sep 2008
Beiträge
2.341
Punkte für Reaktionen
14
Punkte
84
ich bin nochmal alle dateien durchgegangen und mir ist was aufgefallen.

den pfad:
PHP:
/usr/syno/etc/ssl.crt/server.crt
/usr/syno/etc/ssl.key/server.pem
gibt es nicht. wenn ich jetzt den ordner ssl.crt und ssl.key mit der server.pem datei dadrin erstelle, damit die scripte "laut anleitung" darauf zugreifen, startet apache nicht mehr.
Erzähl keinen Quatsch, den Pfad /usr/syno/etc/ssl.crt/ und /usr/syno/etc/ssl.key/ gibt es 100%.
Wenn du den Befehl
/usr/syno/etc/ssl/mkcert wie in einem vorherigen Post von mir angegeben ausgeführt hättest, wären die Verzeichnisse auf jeden Fall vorhanden. Hab das Gefühl, du handelst nicht gewissenhaft genug :(


Die Datei server.crt nicht verwechseln mit server.pem. Lass die server.crt so wie sie von dem Script kopiert wurde.

server.key = Server Key mit Passphrase
server.pem = Server Key ohne Passphrase

Die server.pem wird deshalb benutzt, damit der Apache beim Neustart nicht nach der Passphrase fragt.

du musst nur in den 3 Dateien
httpd-ssl.conf
httpd
-ssl.conf-sys
httpd
-ssl.conf-
user

die Zeile mit server.key in server.pem ändern.
Die Zeilen mit einem # davor müssen nicht geändernt werden.

 
Zuletzt bearbeitet:

drago

Benutzer
Mitglied seit
17. Jun 2008
Beiträge
328
Punkte für Reaktionen
0
Punkte
16
nein sind sie nicht...

k.a. warum, aber sie sind bei mir unter /usr/syno/synoman/phpsrc/certificate/ zu finden, habe jetzt alles dorthin verlinkt, nun klappt es mit dem zert., außer kopieren. :)

sowie meine DS die nicht mehr via IE erreichbar ist, nur firefox funktioniert kurioserweise.
 

QTip

Super-Moderator
Teammitglied
Mitglied seit
04. Sep 2008
Beiträge
2.341
Punkte für Reaktionen
14
Punkte
84
Im Verzeichnis /usr/syno/synoman/phpsrc/certificate/ wird die Verzeichnisstruktur nachgebildet. Anschließend werden aus diesem Verzeichnis die Dateien in das richtige Verzeichnis /usr/syno/etc/ssl/... kopiert.
Ah seh grad, dass das von dir angegebene Verzeichnis /usr/syno/etc/ssl.crt und /usr/syno/etc/ssl.key nicht existieren kann, wohl aber /usr/syno/etc/ssl/ssl.crt und /usr/syno/etc/ssl/ssl.key.
Hab das auch erst eben bemerkt. Check das nochmal.
 

drago

Benutzer
Mitglied seit
17. Jun 2008
Beiträge
328
Punkte für Reaktionen
0
Punkte
16
ja das weiß ich, dort ist das originale zertifikat drin, sobald ich die server.key in server.pem umändere, startet der apache nicht mehr. :confused:

hatte ich schon alles durch probiert... wie du ja siehst, funktioniert bei mir das kopieren auch nicht
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Zwei Anmerkungen:

[*]automatisches Auslesen und Einfügen der DS Seriennummer

Das mit der DS-Seriennummer ist nur ein Beispiel, kann beliebig heißen. Der gesamte Name sollte nur weltweit eindeutig sein (ab Country ...) und da nimmt man halt in den Namen irgendwas mit auf, was den Anschein des Unitären (Einzigartigen) hat.

Man kann bei open_basedir auch einfach weitere Verzeichnisse hinzufügen z. B.
Code:
Rich (BBCode):
open_basedir = /:/volume1/web:/volume2/web

Man sitzt gerne dem Irrtum auf, als handele es sich hier um Verzeichnisse wie bei der PATH-Variable in der Shell. Das ist nicht so. Ein "/" würde bereits alle Pfade öffnen. Hierzu kurz die Note aus dem PHP-Manual:

The restriction specified with open_basedir is actually a prefix, not a directory name. This means that "open_basedir = /dir/incl" also allows access to "/dir/include" and "/dir/incls" if they exist. When you want to restrict access to only the specified directory, end with a slash. For example: "open_basedir = /dir/incl/"

Deshalb macht es mehr Sinn, diese Direktive zur PHP-Konfiguration ganz leer zu lassen.

itari
 

drago

Benutzer
Mitglied seit
17. Jun 2008
Beiträge
328
Punkte für Reaktionen
0
Punkte
16
habe ich das jetzt richtig verstanden, dass open_basedir nun doch leer bleiben soll?
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
ja so ist es

itari
 

drago

Benutzer
Mitglied seit
17. Jun 2008
Beiträge
328
Punkte für Reaktionen
0
Punkte
16
es liegt definitiv am zertifikat, sobald die DS das originale zertifikat läd, funktioniert auch https via IE wieder.
 

ROBOTRON

Benutzer
Mitglied seit
22. Nov 2008
Beiträge
27
Punkte für Reaktionen
0
Punkte
0
Hallo,
auch ich benötige kurz Eure Hilfe weil ich hier nicht weiterkomme. Habe das Zertifikat-Script installiert und eigentlich klappt ja auch alles (Zertifikat wird erstellt und kopiert). Nur nach jedem reeboot startet der apache nicht. Muß dann jedesmal auf die Konsole und ihn von Hand starten. Dabei verlangt er mir die Passphrase. Nach der Eingabe derselben, startet er hoch. Dachte, der pem_Key sei gerade dafür da, den apache ohne Eingabe der Passphrase zu starten. Was mache ich da falsch, bzw. wo kann ich da ansetzen?
(DS-207+ mit neuster Firmware)
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Wenn beim Starten des Apache-Servers nach einem Passwort gefragt wird, verwendest Du einen geschützten Server-Key. Möglicherweise hast Du die falsche server.key rüberkopiert? In Itaris Skript ist jedenfalls die Passage zum Entfernen des Passwortschutzes enthalten.

Den Passwortschutz in der server.key kannst Du jedenfalls ganz einfach durch den Befehl "openssl rsa -in server.key -out server.key.insecure" entfernen. Danach die Datei server.key wegsichern und server.key.insecure nach server.key umbenennen. Fertig.

Trolli
 
Zuletzt bearbeitet:

ROBOTRON

Benutzer
Mitglied seit
22. Nov 2008
Beiträge
27
Punkte für Reaktionen
0
Punkte
0
Danke jahlives für die schnelle Reaktion. Leider verstehe ich deinen Hinweis nicht. Habe mir ja extra die 3rdpartyapp "certificate" installiert um ein Zertifikat zu erzeugen. Hat ja auch alles wunderbar funktioniert, bis auf die Tatsache, das der apache, um starten zu können, die Passphrase abfragt. Jetzt interessiert mich natürlich: Was habe ich falsch gemacht, wieso ist das so und was kann ich dagegen machen, das der apache lädt ohne die Passphrase abzufragen. Natürlich kann ich die 3rdpartyapp wieder runterschmeißen, alles wieder original machen und mir nach der Anleitung im wiki ein neues Zertifikat erstellen - aber dann habe ich mein Ziel nicht erreicht-zumal ich die Lösung mit der 3rdpartyapp echt klasse finde....
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
...jaja, ignorier mich doch einfach. :rolleyes:
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Schau dir Trollis Tipp an

Gruss

tobi
 

ROBOTRON

Benutzer
Mitglied seit
22. Nov 2008
Beiträge
27
Punkte für Reaktionen
0
Punkte
0
Ja,Ja, Trolli, ab und zu sollte auch ich meinen Browser refreshen...:confused::confused:
Danke für die Lösung! werde ich gleich umsetzen:cool:
 

ROBOTRON

Benutzer
Mitglied seit
22. Nov 2008
Beiträge
27
Punkte für Reaktionen
0
Punkte
0
Nochmal ich..
Danke nochmal. Hat geklappt! So einfach können Lösungen sein...:)
 

Erestris

Benutzer
Mitglied seit
07. Dez 2008
Beiträge
64
Punkte für Reaktionen
0
Punkte
0
hmmmmmmm gibt dieses klasse programm auch als spk? (sorry... aber ich kann mit telnet nicht wirklich umgehen... wäre nett)

LG

Andy :( (schon ganz schön peinlich dass ich fast nichts versteh...)
 

Erestris

Benutzer
Mitglied seit
07. Dez 2008
Beiträge
64
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich bekommen folgende Meldung beim kopieren:

0 0 0 Apache SSL-Configuration not modified, please read the Instructions!

Was mache ich falsch?

Ich haben openssl in den pfad kopiert der hier im thread gesagt wird (chmod 755)
Ich habe httpd-ssl.conf / httpd-ssl.conf-user und httpd-ssl.conf-sys gebackupt und bearbeitet.

Also alles was ich von diesen codes gefunden hab entsprechend bearbeitet:
Rich (BBCode):
SSLCertificateFile /usr/syno/etc/ssl.crt/server.crt
SSLCertificateKeyFile /usr/syno/etc/ssl.key/server.pem

Ich habe das Formular komplett ausgefüllt und beim erstellen sagt er auch überrall OK

beim kopieren kommt obige fehlermeldung und im formular stehen die alten werte.

wenn ich den apachen neustarte kommt folgendes:



und ich kann ihn erst wieder starten wenn ich die httpd-ssl.conf-sys durch das backup ersetzt habe.

Ich habe den neusten Code von Qtip verwendet und auch in das angegeben Verzeichnis kopiert.

hoffe es kann mir jemand helfen.

LG.

Andy

PS: Bevor ichs vergesse.... ja ich hab die sachen für die 3rdintegration beachtet. auch die php.ini ist laut diesen thread bearbeitet... hab ihn heute sehr oft gelesen...Gute Nacht
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Und wie sieht die bemängelte "/usr/syno/etc/ssl/ssl.crt/server.crt" aus?

Trolli
 

ROBOTRON

Benutzer
Mitglied seit
22. Nov 2008
Beiträge
27
Punkte für Reaktionen
0
Punkte
0
Wo ich die ersten paarmal dran gescheitert bin, war folgendes:Habe auch all die
Änderungen durchgeführt und dann den apache neu gestartet-Danach Zertifikat erzeugt und dann auf Copy gedrückt und dann kam auch die Fehlermeldung apache nicht konfiguriert. Aber es muß andersherum laufen.Zuerst alle Änderungen durchführen, dann Zertifikat erzeugen und dann erst apache neu starten. So hat es bei mir dann letztendlich funktioniert. Natürlch habe ich vorher wie hier im Thread beschrieben mit mkcert den ursrünglichen key von Synology wieder hergestellt.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat