Certification 3rd-party-apps

[Erestris]

Und wie sieht die bemängelte "/usr/syno/etc/ssl/ssl.crt/server.crt" aus?

Trolli

in der befindet sich ein wirrwar von buchstaben.

Robotron: Das werd ich gleich ausprobieren.

 

[Erestris]

Also Robotron: Hat leider nichts gebracht.

bei diesem zurücksetzen? Setz ich da komplett die Apachen zurück? also durch dieses mkcert.

Oder was genau muss ich da machen? Werd aus den einen Beitrag darüber ned schlau.


und noch was:

SSLCertificateFile /usr/syno/etc/ssl.crt/server.crt
SSLCertificateKeyFile /usr/syno/etc/ssl.key/server.pem

Steht im ersten Post von Qtip.

Etwas später steht da:

In allen 3 http-ssl.conf-xxx Dateien muss der Eintrag
SSLCertificateKeyFile /usr/syno/etc/ssl/ssl-key/server.key in
SSLCertificateKeyFile /usr/syno/etc/ssl/ssl-key/server.pem
umbenannt werden.

Des mit dem .pem ist schon klar.... aber muss ich jetzt des ssl (rot markiert) rauslöschen oder nicht? Laut ersten Beitrag ja und ein paar Beiträge später nein.

die und ich denke mal mit den http dateien aus dem ersten beitrag waren auch die httpd dateien gemeint. zumindest hab ich es da bearbeitet.

LG.

Andy

 

[jahlives]

Also bei mir liegt das Zertifikat hier:
/usr/syno/etc/ssl/ssl.key/server.key

 

[Erestris]

hab ich auch grade getestet. dann lag der fehler zumindest nicht ganz bei mir. jetzt gehts.

was ist ein sinnvoller common name?

Andy

 

[jahlives]

Ich habe als CN xxx.homeip.net Wobei xxx für meinen Account bei DynDNS steht. So gibt es bei dem Zertifikat nur eine Warnmeldung wegen nicht vertrauenswürdiger Zert-Stelle. Wenn der CN nicht mit dem Host übereinstimmt, dann gäbe dies eine zweite Warnung

 

[Erestris]

ähm also sagen wir mal meine IP wäre 0.0.0.0 und mein dyndns 000.dyndns.org und meine Servername Doppelnull.

Was müsste ich reinschreiben?

 

[jahlives]

ähm also sagen wir mal meine IP wäre 0.0.0.0 und mein dyndns 000.dyndns.org und meine Servername Doppelnull.

Was müsste ich reinschreiben?

Zu bevorzugen wäre 000.dyndns.org Dann gibt es bei externen Zugriff nur die Warnung wegen der Zertifizierungsstelle. Dafür hast du aber bei internen Zugriffen zwei Warnungen weil 000.dyndns.org != Doppelnull ist.

 

[Erestris]

Danke.

Mal ne Frage. Gibt es die Möglichkeit nicht nur das Zert für den Browser in Firefox zu installieren sondern auch Firefox zu sagen dass die DS eine richtige Auth-Stelle ist und überhaupt nicht mehr meckert?

Wenn ja welches File brauch ich? und wo genau finde ich es?

LG.

Andy

 

[Trolli]

Einstellungen -> Erweitert -> Verschlüsselung -> Zertifikate anzeigen -> Importieren

Importieren muss man die Datei des Stammzertifikats "ca.crt".

Trolli

 

[Erestris]

danke. nur hab ich jetzt ein anderes prob. ftp lässt sich nicht mehr aktivieren. er sagt zwar im manager dass er es macht.. beim nächsten mal hinschauen ist aber der haken weg.

wenn ich den ftp-dienst in telnet neustarte fragt er nach dem PEM Pass Phrase.
wenn ich die pass phrase eingebe die ich bei certificate eingegeben hab sagt er -ash not found.

was ist da los?

hmmm was muss ich alles löschen um die certificate erweiterung restlos zu entfernen. was ich umschreiben muss weis ich. weil wenn die mir jetzt weiter so viele probs macht ist sie es mir einfach nicht wert. vor allem nicht auf kosten des ftp-dienstes.

LG.
Andy

 

[Erestris]

endlich alles wieder runter.......

zum glück bin ich doch noch drauf gekommen dass "in der Shell ausführen" im telnet ausführen heißt... und mkcert nicht ausreicht einzugeben sonder mkcert.sh es geht wieder alles. danke.

 

[Totti]

openssl.cnf

Hallo Liebe Gemeinde
Wie bekomme ich die datei geladen Adresse nicht erreichbar gibts da eine neue Adresse

Danke
Totti

 

[QTip]

welche Datei meinst du? Falls du die certifcate meinst, die ist immer noch da, wo sie seit meinem Post als Anhang steht. Link

 

[Totti]

Hallo
Ich meinte den Link ( http://www.gateway-1.homedns.org/synology/openssl.cnf ) um die Datei zu laden.
Hat sich da was geändert oder liegt der Fehler bei bei.....

Danke


Totti

 

[QTip]

oh stimmt, nicht mehr erreichbar. Nimm die im Anhang. Nach dem Download die Endung .txt enfernen und wie angegeben nach /usr/syno/ssl kopieren. Falls Verzeichnis noch nicht vorhanden (ist meist so), dann bitte selber ein Verzeichniss erstellen.

 

[Totti]

Danke hat funktioniert..

Muß ich danach noch Änderungen in den Dateien vornehmen und dann wann vor der Zertifikatserstellung oder danach.. ?

Totti

 

[QTip]

In en Zertifikatdateien wirst kaum sinnvolle Änderungen vornehmen können, da diese verschlüsselt sind. In der openssl.cnf kann man einige Anpassungen durchführen, muss man aber nicht

 

[Totti]

Ich habe create ausgeführt dann wurde alles ok angezeigt
bei copy kam dann folgende Meldung
Apache SSL-Configuration not modified, please read the Instructions!

was muß ich noch einstellen !!!

Danke Totti

 

[QTip]

achso, das meinste. Du musst die 3 Apache SSL Configs noch anpassen, kannst hier nachlesen

Allerdings existiert noch ein Fehler in der Anleitung, die Pfade lauten folgendermaßen

SSLCertificateFile /usr/syno/etc/[B]ssl[/B]/ssl.crt/server.crt
SSLCertificateKeyFile /usr/syno/etc/[B]ssl[/B]/ssl.key/server.pem

Der Ordner ssl hatte ich vergessen.

noch was kurz erklärt: Die .pem Datei ist die gleiche wie die .key Datei, mit dem Unterschied, dass sie beim Start keine Passphrase benötigt. Die Endung .pem hab ich mir nicht ausgedacht, das wird überall so gehandhabt. Also...es ist der Key, aber ohne Passphrase!

 

[Totti]

Also ich habe alles geändert allerdings hießen meine Dateien httpd

Zertifikat konnte ich erstellen restart apache dann fragte nach Pass...
eingegeben alles io nur die DS erreiche ich nicht mehr..


Da ich ja ab und an ordentlich bin habe ich die Sicherung erst einmal wieder eingespielt alles wieder erreichbar .
Warum fragt er auf der Busy noch nach dem Pass.. nach dem restart des apache und warum ist meine DS nicht erreichbar installation vom zertifikat war ok.... ???

Totti