Certification 3rd-party-apps

[QTip]

ich bin nochmal alle dateien durchgegangen und mir ist was aufgefallen.

den pfad:

/usr/syno/etc/ssl.crt/server.crt
/usr/syno/etc/ssl.key/server.pem

gibt es nicht. wenn ich jetzt den ordner ssl.crt und ssl.key mit der server.pem datei dadrin erstelle, damit die scripte "laut anleitung" darauf zugreifen, startet apache nicht mehr.

Erzähl keinen Quatsch, den Pfad /usr/syno/etc/ssl.crt/ und /usr/syno/etc/ssl.key/ gibt es 100%.
Wenn du den Befehl
/usr/syno/etc/ssl/mkcert wie in einem vorherigen Post von mir angegeben ausgeführt hättest, wären die Verzeichnisse auf jeden Fall vorhanden. Hab das Gefühl, du handelst nicht gewissenhaft genug


Die Datei server.crt nicht verwechseln mit server.pem. Lass die server.crt so wie sie von dem Script kopiert wurde.

server.key = Server Key mit Passphrase
server.pem = Server Key ohne Passphrase

Die server.pem wird deshalb benutzt, damit der Apache beim Neustart nicht nach der Passphrase fragt.

du musst nur in den 3 Dateien
httpd-ssl.conf
httpd-ssl.conf-sys
httpd-ssl.conf-user

die Zeile mit server.key in server.pem ändern.
Die Zeilen mit einem # davor müssen nicht geändernt werden.

 

[drago]

nein sind sie nicht...

k.a. warum, aber sie sind bei mir unter /usr/syno/synoman/phpsrc/certificate/ zu finden, habe jetzt alles dorthin verlinkt, nun klappt es mit dem zert., außer kopieren.

sowie meine DS die nicht mehr via IE erreichbar ist, nur firefox funktioniert kurioserweise.

 

[QTip]

Im Verzeichnis /usr/syno/synoman/phpsrc/certificate/ wird die Verzeichnisstruktur nachgebildet. Anschließend werden aus diesem Verzeichnis die Dateien in das richtige Verzeichnis /usr/syno/etc/ssl/... kopiert.
Ah seh grad, dass das von dir angegebene Verzeichnis /usr/syno/etc/ssl.crt und /usr/syno/etc/ssl.key nicht existieren kann, wohl aber /usr/syno/etc/ssl/ssl.crt und /usr/syno/etc/ssl/ssl.key.
Hab das auch erst eben bemerkt. Check das nochmal.

 

[drago]

ja das weiß ich, dort ist das originale zertifikat drin, sobald ich die server.key in server.pem umändere, startet der apache nicht mehr.

hatte ich schon alles durch probiert... wie du ja siehst, funktioniert bei mir das kopieren auch nicht

 

[itari]

Zwei Anmerkungen:

[*]automatisches Auslesen und Einfügen der DS Seriennummer

Das mit der DS-Seriennummer ist nur ein Beispiel, kann beliebig heißen. Der gesamte Name sollte nur weltweit eindeutig sein (ab Country ...) und da nimmt man halt in den Namen irgendwas mit auf, was den Anschein des Unitären (Einzigartigen) hat.

Man kann bei open_basedir auch einfach weitere Verzeichnisse hinzufügen z. B.
Code:

open_basedir = /:/volume1/web:/volume2/web

Man sitzt gerne dem Irrtum auf, als handele es sich hier um Verzeichnisse wie bei der PATH-Variable in der Shell. Das ist nicht so. Ein "/" würde bereits alle Pfade öffnen. Hierzu kurz die Note aus dem PHP-Manual:

The restriction specified with open_basedir is actually a prefix, not a directory name. This means that "open_basedir = /dir/incl" also allows access to "/dir/include" and "/dir/incls" if they exist. When you want to restrict access to only the specified directory, end with a slash. For example: "open_basedir = /dir/incl/"

Deshalb macht es mehr Sinn, diese Direktive zur PHP-Konfiguration ganz leer zu lassen.

itari

 

[drago]

habe ich das jetzt richtig verstanden, dass open_basedir nun doch leer bleiben soll?

 

[itari]

ja so ist es

itari

 

[drago]

es liegt definitiv am zertifikat, sobald die DS das originale zertifikat läd, funktioniert auch https via IE wieder.

 

[ROBOTRON]

Hallo,
auch ich benötige kurz Eure Hilfe weil ich hier nicht weiterkomme. Habe das Zertifikat-Script installiert und eigentlich klappt ja auch alles (Zertifikat wird erstellt und kopiert). Nur nach jedem reeboot startet der apache nicht. Muß dann jedesmal auf die Konsole und ihn von Hand starten. Dabei verlangt er mir die Passphrase. Nach der Eingabe derselben, startet er hoch. Dachte, der pem_Key sei gerade dafür da, den apache ohne Eingabe der Passphrase zu starten. Was mache ich da falsch, bzw. wo kann ich da ansetzen?
(DS-207+ mit neuster Firmware)

 

[jahlives]

Schau mal im englischen oder im deutschen Wiki vorbei

 

[Trolli]

Wenn beim Starten des Apache-Servers nach einem Passwort gefragt wird, verwendest Du einen geschützten Server-Key. Möglicherweise hast Du die falsche server.key rüberkopiert? In Itaris Skript ist jedenfalls die Passage zum Entfernen des Passwortschutzes enthalten.

Den Passwortschutz in der server.key kannst Du jedenfalls ganz einfach durch den Befehl "openssl rsa -in server.key -out server.key.insecure" entfernen. Danach die Datei server.key wegsichern und server.key.insecure nach server.key umbenennen. Fertig.

Trolli

 

[ROBOTRON]

Danke jahlives für die schnelle Reaktion. Leider verstehe ich deinen Hinweis nicht. Habe mir ja extra die 3rdpartyapp "certificate" installiert um ein Zertifikat zu erzeugen. Hat ja auch alles wunderbar funktioniert, bis auf die Tatsache, das der apache, um starten zu können, die Passphrase abfragt. Jetzt interessiert mich natürlich: Was habe ich falsch gemacht, wieso ist das so und was kann ich dagegen machen, das der apache lädt ohne die Passphrase abzufragen. Natürlich kann ich die 3rdpartyapp wieder runterschmeißen, alles wieder original machen und mir nach der Anleitung im wiki ein neues Zertifikat erstellen - aber dann habe ich mein Ziel nicht erreicht-zumal ich die Lösung mit der 3rdpartyapp echt klasse finde....

 

[Trolli]

...jaja, ignorier mich doch einfach.

 

[jahlives]

Schau dir Trollis Tipp an

Gruss

tobi

 

[ROBOTRON]

Ja,Ja, Trolli, ab und zu sollte auch ich meinen Browser refreshen...
Danke für die Lösung! werde ich gleich umsetzen

 

[ROBOTRON]

Nochmal ich..
Danke nochmal. Hat geklappt! So einfach können Lösungen sein...

 

[Erestris]

hmmmmmmm gibt dieses klasse programm auch als spk? (sorry... aber ich kann mit telnet nicht wirklich umgehen... wäre nett)

LG

Andy (schon ganz schön peinlich dass ich fast nichts versteh...)

 

[Erestris]

Hallo,

ich bekommen folgende Meldung beim kopieren:

0 0 0 Apache SSL-Configuration not modified, please read the Instructions!

Was mache ich falsch?

Ich haben openssl in den pfad kopiert der hier im thread gesagt wird (chmod 755)
Ich habe httpd-ssl.conf / httpd-ssl.conf-user und httpd-ssl.conf-sys gebackupt und bearbeitet.

Also alles was ich von diesen codes gefunden hab entsprechend bearbeitet:

SSLCertificateFile /usr/syno/etc/ssl.crt/server.crt
SSLCertificateKeyFile /usr/syno/etc/ssl.key/server.pem

Ich habe das Formular komplett ausgefüllt und beim erstellen sagt er auch überrall OK

beim kopieren kommt obige fehlermeldung und im formular stehen die alten werte.

wenn ich den apachen neustarte kommt folgendes:



und ich kann ihn erst wieder starten wenn ich die httpd-ssl.conf-sys durch das backup ersetzt habe.

Ich habe den neusten Code von Qtip verwendet und auch in das angegeben Verzeichnis kopiert.

hoffe es kann mir jemand helfen.

LG.

Andy

PS: Bevor ichs vergesse.... ja ich hab die sachen für die 3rdintegration beachtet. auch die php.ini ist laut diesen thread bearbeitet... hab ihn heute sehr oft gelesen...Gute Nacht

 

[Trolli]

Und wie sieht die bemängelte "/usr/syno/etc/ssl/ssl.crt/server.crt" aus?

Trolli

 

[ROBOTRON]

Wo ich die ersten paarmal dran gescheitert bin, war folgendes:Habe auch all die
Änderungen durchgeführt und dann den apache neu gestartet-Danach Zertifikat erzeugt und dann auf Copy gedrückt und dann kam auch die Fehlermeldung apache nicht konfiguriert. Aber es muß andersherum laufen.Zuerst alle Änderungen durchführen, dann Zertifikat erzeugen und dann erst apache neu starten. So hat es bei mir dann letztendlich funktioniert. Natürlch habe ich vorher wie hier im Thread beschrieben mit mkcert den ursrünglichen key von Synology wieder hergestellt.