Dateiverknüpfung & StartSSL in FileStation

[Dechlein]

Ich würde ja gerne die komplette Prozedur der Registrierung und Erstellung des Zertifikat bei StartSSL noch einmal machen.
Das lässt StartSSl aber nicht zu. Dann kommt der Hinweis das es bereits ein gültiges Zertifikat für die Adresse gibt.

 

[Frogman]

Ok, wenn Du das bereits gemacht hast, dann machst Du vermutlich beim Abspeichern einen Fehler. Die Datei muss Unix-kompatibel abgespeichert werden (die Zeilenumbrüche bei Linux/Unix-Dateien werden nur mit LF gemacht, nicht wie bei Windows mit LF und CR). Am besten, Du öffnest dazu das Intermediate in Notepad++, kopierst den Inhalt des Serverzertifikats bzw. der Schlüsseldatei dort statt des alten Inhalts hinein und speicherst das unter neuem Namen ab.

Das lässt StartSSl aber nicht zu. Dann kommt der Hinweis das es bereits ein gültiges Zertifikat für die Adresse gibt.

Das geht dann nur mit einem anderen Namen oder - mit dem alten Namen - erst wieder kurz vor Ablauf des alten Zertifikats.

 

[JuSu]

Hallo Dechlein,

sorry, dass ich erst jetzt antworte - das Forum hat mich erst jetzt über die neuen Einträge informiert.

Es gibt das Dokument "Doku_owncloud455_ssl.pdf" im Netz, welches die Schlüsselerzeugung ssl.key für Synology beschreibt. In dieser Beschreibung wird auch noch die Datei ssl.csr erzeugt, mit der bei startssl.com ein Zertifikat ssl.crt erzeugt werden kann.
Falls Du über startssl.com die Datei ssl.key erzeugen solltest, so ist zu beachten, dass diese verschlüsselt ist und daher noch entschlüsselt werden muss.

Jetzt solltest Du zwei Dateien haben
- ssl.key (entschlüsselt)
- ssl.crt

Der nächste Schritt: In der Diskstation wird das "Zwischenzertifikat" als optional angegeben - das ist aber ein MUSS, da ansonsten nur Probleme mit Firefoxwarnungen zu sehen sind.
Dazu bei startssl.com in die Toolbox und dann auf "Startcom CA Certificats" und danach das "Class 1 Intermediate Server CA" laden. Diese Datei nennt sich z. B. sub.class1.server.ca.pem und muss in die Diskstation als das optionale Zwischenzertifikat eingeladen werden.

In die Diskstation sind nun folgende Files eingegeben worden:
- ssl.key
- ssl.crt
- sub.class1.server.ca.pem

Jetzt noch in Deiner Subdomain den CNAME auf Deinen DDNS Eintrag verweisen lassen, und schon bist Du mit SSL / HTTPS Zuzgriffen auf Deine Diskstation dabei.


Gruß
JuSu

 

[Dechlein]

Ich habe die Dateien im Windows Editor abgespeichert und als Codierung UTF-8 angegeben.
Ich habe auch versucht in Notepad++ die Dateien zu speichern. Dazu habe ich TXT ausgewählt.
Bei beiden ging es nicht.

 

[heavy]

Oder du musst es kostenpflichtig löschen lassen. Und für die Zukunft immer alles abspeichern am besten an zwei Orten. Und hier jetzt einmal von Hand makieren und abspeichern und einmal über strg+A. eventuell hast du auch nicht alles mitgenommen beim makieren oder du hast beim versuch ut-8 zu erstellen teile verloren.

 

[Dechlein]

Hallo Dechlein,

sorry, dass ich erst jetzt antworte - das Forum hat mich erst jetzt über die neuen Einträge informiert.

Es gibt das Dokument "Doku_owncloud455_ssl.pdf" im Netz, welches die Schlüsselerzeugung ssl.key für Synology beschreibt. In dieser Beschreibung wird auch noch die Datei ssl.csr erzeugt, mit der bei startssl.com ein Zertifikat ssl.crt erzeugt werden kann.
Falls Du über startssl.com die Datei ssl.key erzeugen solltest, so ist zu beachten, dass diese verschlüsselt ist und daher noch entschlüsselt werden muss.

Jetzt solltest Du zwei Dateien haben
- ssl.key (entschlüsselt)
- ssl.crt

Der nächste Schritt: In der Diskstation wird das "Zwischenzertifikat" als optional angegeben - das ist aber ein MUSS, da ansonsten nur Probleme mit Firefoxwarnungen zu sehen sind.
Dazu bei startssl.com in die Toolbox und dann auf "Startcom CA Certificats" und danach das "Class 1 Intermediate Server CA" laden. Diese Datei nennt sich z. B. sub.class1.server.ca.pem und muss in die Diskstation als das optionale Zwischenzertifikat eingeladen werden.

In die Diskstation sind nun folgende Files eingegeben worden:
- ssl.key
- ssl.crt
- sub.class1.server.ca.pem

Jetzt noch in Deiner Subdomain den CNAME auf Deinen DDNS Eintrag verweisen lassen, und schon bist Du mit SSL / HTTPS Zuzgriffen auf Deine Diskstation dabei.


Gruß
JuSu

Hi JuSu,

habe alle drei Dateien bei mir gespeichert. Die durch StartSSL erzeugte "key" Datei habe ich auf StartSSL wieder decryptet und abgespeichert.
Meine DS gibt trotzdem die folgende Fehlermeldung aus: der private Schlüssel stimmt nicht mit dem Zertifikat überein.

 

[Frogman]

Ich habe die Dateien im Windows Editor abgespeichert und als Codierung UTF-8 angegeben.

UTF-8 Codierung ist eines, EOL ein anderes. Und ich schrieb von einem Editor, der Unix-kompatibel ist... einen hatte ich Dir genannt, WindowsEditor ist es nicht.

Und bitte nicht immer Vollzitate - nur den Teil zitieren, worauf Du Bezug nimmst.

 

[Dechlein]

Oder du musst es kostenpflichtig löschen lassen. Und für die Zukunft immer alles abspeichern am besten an zwei Orten. Und hier jetzt einmal von Hand makieren und abspeichern und einmal über strg+A. eventuell hast du auch nicht alles mitgenommen beim makieren oder du hast beim versuch ut-8 zu erstellen teile verloren.

Hallo Heavy,

das hört sich alles nicht gut an. Mal schauen was ich mache Danke für eure Hilfe!!!!!! Schöne Grüße Detlef

 

[Frogman]

Mal schauen was ich mache

Vielleicht mal an die Tipps oben ransetzen - dann sollte das auch klappen

 

[Dechlein]

Ich werde noch einmal alles durchgehen und versuchen. Hoffe das es dann klappt.
Ich melde mich und gebe Info ob es funktioniert hat oder nicht.

Danke nochmals für eure Geduld und Hilfe !!!!!!!

Schöne Grüße
Detlef (der DS Neuling )

 

[Dechlein]

Hallo zusammen,

ich brauche noch einmal Hilfe.

Ich habe gerade auf StartSSL noch einmal die Schritte durchlaufen und konnte:
- eine encrypted Datei erstellen, die ich auf meinen rechner als encrypted_SSL.key gespeichert habe
- ein Zertifikat erstellen, dass ich auf meinen Rechner als SSL.CRT gespeichert habe
- den String aus meiner encrypted Datei auf StartSSL.com unter Tool Box "Decrypt Privat Key" einkopiert und dann wurden decrypted Daten erstellt. Die habe ich auf meinem Rechner als decrypted_SSL.key gespeicgert.
Die letzte Datei "sub.class1.server.ca.pem" hatte ich bereits gestern mit eurer Hilfe herunter geladen.

Dann habe ich meine DS geöffnet und unter Systemsteuerung, Sicherheit, Zertifikat das neue Zertifikat importiert.
Privater Schlüssel: die Datei "decrypted_SSL.key"
Zertifikat: die Datei "SSL.crt"
Zwischenzertifikat: die Datei "sub.class1.server.ca.pem"

Der Import in die Diskstation funktionierte und die Angabe in der DS ist:

Status: Fremdzertifikat
Ausgestellt für: meine Subdomäne
Ausgestellt von: Startcom Class1 Primary Intermediate Server CA
Verfallsdatum: 2016-11-28
Signaturalgorithmus: SHA256

Das sieht so aus als wenn alles OK ist aber beim Aufruf der DS im Explorer erscheint weiterhin die Warnung
"Es besteht ein Problem mit dem Sicherheitszertifikat der Webseite"
Das ist der Hinweis, den ich auch ohne Zertifikat bekommen habe.

Wisst ihr weiter? Wäre schön.

Schöne Grüße
Detlef

 

[Fusion]

Explorer = Internet Explorer?

Normalerweise sollte bei der Meldung auch stehen "welches" Problem angekreidet wird (manchmal unter einem Button "Erweitert" oder "Technische Details" versteckt. Wenn der IE da nix anzeigt mal einen anderen Browser probieren). Erst danach kann man dir eine Lösung vorschlagen.

 

[Frogman]

Status: Fremdzertifikat
Ausgestellt für: meine Subdomäne
Ausgestellt von: Startcom Class1 Primary Intermediate Server CA
Verfallsdatum: 2016-11-28
Signaturalgorithmus: SHA256

Zunächst einmal ist das Zertifikat in der DS technisch in Ordnung, wenn die Anzeige so ist, wie Du beschreibst. Greifst Du nun allerdings lokal mit einem Rechner zu, dann verwendest Du dafür ja in der Regel die IP-Adresse oder den Netzwerknamen der DS - beides passt natürlich nicht zur Domain im Zertifikat, daher gibt es eine Warnung.
Dafür gibt es mehrere Möglichkeiten, bspw.:

• Du trägst auf dem zugreifenden Rechner in die hosts-Datei einen Eintrag nach, der die feste LAN-IP der DS mit dem Domainnamen verknüpft - dann kannst Du im Browser auch die Subdomain eingeben und landest damit auf der DS - da Du dann aber über den Domainnamen zugreifst, erscheint keine Warnung.
• Du betreibst im LAN einen DNS-Server (bspw. auf der DS), der die Auflösung der (Sub-)Domain auf die lokale IP der DS erledigt.

 

[Dechlein]

Hallo Fusion und Frogman,

ich habe den Internet Explorer benutz. Über den Firefox kam auch eine Warnung und zwar:
- Dieser Verbindung wird nicht vertraut.-
Unter technische Details steht:
- Subdomäne:5001 verwändet ein ungültiges Sicherheitszertifikat -
- Das Zertifikat gilt nur für folgende Namen
jetzt sind zwei aufgeführt und zwar: "Subdomain" und die "Domain"
Die da aufgeführt sind, sind auch die richtigen mit denen ich mich über die Browser anmelde (zumindest die Subdomain)..
Weiter steht:
Fehlercode_ssl_error_bad_cert_Domain

@Frogman
Das verstehe ich gar nicht, sorry. Wo und was ist die Hostdatei?
Ich wüsste auch nicht wo ich dann an in die Datei die feste Lan IP schreiben soll.
Ich greife per WLan auf die DS zu. Geht das dann auch?

Geht denn das mit dem DNS Server auch wenn ich per WLan auf die DS zurgreife?
Mit dem DNS Server klingt auch schon wieder schwierig.

Ich habe an meinem IPad WLan ausgestellt und habe über das Funknetz auf die DS zugegriffen.
Hier kam kein Hinweis!!!!!!!!
Kann das bedeuten, dass es doch OK ist?

Beste Grüße
Detlef

 

[Dechlein]

Ich habe gerade versucht, die DS von dem Handy meiner Frau zu erreichen.
Ich hatte WLan ausgestellt.

Es kam folgende Fehlermeldung:
Subdomain - Name
Ausgestellt von StartCom Class 1 Prim.....

Nicht vertrauenswürdig (in rot)

Wohl doch nicht OK.

Schöne Grüße
Detlef

 

[Fusion]

Wie @Frogman schon schrieb ist es ein Problem im Namen (Common Name, CN) des Zertifikats.

Wenn das Zertifikat auf sub.domain.de lautet und du via Mobilfunknetz mit der URL https://sub.domain.de:5001 keinen Fehler bekommst, ist alles in Ordnung.

d.h. aber, dass wenn du im WLAN/LAN zugreifst eine andere URL verwendest oder versuchst per http auf einen ssl verschlüsselte Verbindung zuzugreifen.

Kannst du einfach mal die exakten URLs hier auflisten (anonymisiert, aber vollständig)?

Edit: ein Class 1 Zertifikat lautet auf EINE sub.domain.de und EXAKT auf diese mußt du auch zugreifen. sub2.domain.de wird Fehler werfen, genau wie sub.domain2.de

 

[Frogman]

@Frogman
Das verstehe ich gar nicht, sorry. Wo und was ist die Hostdatei?
Ich wüsste auch nicht wo ich dann an in die Datei die feste Lan IP schreiben soll.

Dazu einmal dieses, da solltest Du alles finden, was Du brauchst.

 

[Dechlein]

Hallo zusammen,

ich glaube ich habe den Fehler gefunden.
Traue mich gar nicht diesen euch zu schreiben.

Durch die Anwahl des Handys meiner Frau kam die Fehlermeldung wie oben geschrieben. Dann gab es noch die Möglichkeit einen Button
"Details" zu drücken um weitere Beschreibungen des Fehlers zu erhalten.
Ich habe mir alles genauestens durchgelesen und beim zweiten durchlesen gesehen, dass ich bei der Subdomain bei der StartSSl.com
Zertifikatsausstellung einen Fehler gemacht habe.
Im Zertifikat steht die Subdomain Diskstaton und nicht Diskstation.
Ich habe die Dyn DNS im Router umgeschrieben und siehe da,
Es kommt keine Fehlermeldung mehr im Windows Explorer. Der Firefox gibt auch keine Fehlermeldung aus.

Ich glaube das war es, oder was meint ihr?

Sorry für meine blöden Fehler, der euch Zeit kostete mir zu helfen.

Schöne Grüße
Detlef

 

[Frogman]

Ich glaube das war es, oder was meint ihr?

Yep...

 

[Fusion]

Tipp- und Flüchtigkeitsfehler sind an der Tagesordnung. Mach dir kein Kopf, schön, dass du das Problem jetzt gelöst hast.