DS211j - WebDAV, eigenes Zertifikat implementieren

Status
Für weitere Antworten geschlossen.

blueangel1610

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
134
Punkte für Reaktionen
0
Punkte
0
Hallo,
ich bin was die Praxiserfahrung angeht ein vollkommener Neuling in Sachen NAS und benötige hinsichtlich der im Betreff genannten Thematik eure fachkundige Hilfe.
Ich habe es nun nach einigen testen und ausprobieren geschafft, den WebDAV in Betrieb zu nehmen, auch über https. Nun möchte ich aber meine Lesezeichen und Passwörter mit den Firefox-AddOn XMarks synchronisieren. Dieses Vorhaben scheitert jedoch weil die Verbindung zum NAS abgebrochen wird, weil ein nicht vertrauenswürdiges Zertifikat vorliegt. Jetzt stellt sich mir jedoch die Frage wie ich mein eigenes benutzerdefiniertes Zertifikat implementieren kann. Kann mir jemand bei dieser Problematik helfen? Außerdem: Wie erstelle ich ein solches Zertifikat?

Verwendete Hardware (Modem+Router): FRITZ!Box Fon WLAN 7050 (UI), Firmware-Version 14.04.33
Installierte Firmware des NAS: DSM 3.0-1354

Ich hoffe mir kann jemand helfen und weiß eine Lösung dazu.
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0

donkristo

Benutzer
Mitglied seit
04. Jan 2011
Beiträge
37
Punkte für Reaktionen
0
Punkte
0
Lt. Wiki soll man openssl benutzen. Ist das schon vorinstalliert, oder muss man es manuell installieren?
 

blueangel1610

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
134
Punkte für Reaktionen
0
Punkte
0
Oh mein Gott. Das sind auch meine Wort nachdem ich mich durch so ziemlich alles durchgelesen haben.
Das ist unmöglich für mich. Davon lasse ich dann wohl lieber die Finger .. // Wirklich schade.
Nicht einmal der Verbindungsaufbau zu meiner DS via Telnet funktioniert. obwohl ich unter Windows 7 den Telnet-Dienst schon aktiviert habe.
 

blueangel1610

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
134
Punkte für Reaktionen
0
Punkte
0
Kann mir jemand erklären wie ich mich über telnet zur DS verbinden kann?
Leider habe ich es mit der Hilfe von dem Wiki nicht geschafft.
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Was finktioniert denn nicht? Hast Du die Telnet-Verbindung im Disk Station Manager aktiviert?
Ist bei Dir die interne Firewall der DS eingschaltet? Dann müsste da der Telnet-Port freigegeben werden.

OpenSSL ist bereits auf der DS vorhanden.
 

blueangel1610

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
134
Punkte für Reaktionen
0
Punkte
0
Es kam kein Verbindungsaufbau zustande, weil der Port 23 nicht erreichbar war.
Ich habe nun in der DS-Firewall die Ausnahmeregel eingerichtet und siehe da: Es funktioniert.
Vielen Dank. Alles weitere wird sich (hoffentlich) ergeben. Wenn nicht dann könnt ihr hier mit weiteren Nachfragen rechnen.
Ich tüffel dann mal weiter :D
 

blueangel1610

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
134
Punkte für Reaktionen
0
Punkte
0

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Der genaue Befehl ist dort nicht beschrieben:
Rich (BBCode):
mkdir /usr/local/ssl
Ich hab das mal im Wiki entsprechend ergänzt.

Und ich werd auch schon mal Deine nächste Frage vorwegnehmen: :D
Eine kurze Anleitung für den Editor vi gibts hier:
-> http://www.synology-wiki.de/index.php/Der_Editor_vi
 

blueangel1610

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
134
Punkte für Reaktionen
0
Punkte
0
DiskStation> mkdir /usr/local/ssl
mkdir: can't create directory '/usr/local/ssl': Permission denied

----

Der Befehl funktioniert nicht, zumindest nicht in meinem Fall.
Auch mit su mkdir /usr/local/ssl funktioniert es nicht.
Es scheint als hätte ich nicht die erforderlichen Rechte..

Danke für die Anleitung. Sicherlich hilfreich für die weiteren Arbeitsschritte.
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Dann hast Du dich nicht als root angemeldet. Die Anmeldung über SSH oder Telnet muss immer mit dem Benutzernamen root und dem Adminkennwort erfolgen. Sonst hast Du nicht die benötigten Rechte.
 

blueangel1610

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
134
Punkte für Reaktionen
0
Punkte
0
Problem behoben :) // Vielen Dank für den Tip.

Ich schaffe es gerade aber nicht diesen Inhalt
[ req ]
default_bits = 1024
distinguished_name = req_DN
string_mask = nombstr

[ req_DN ]
countryName = "1. Staat (2 Buchstaben)"
countryName_default = DE
countryName_min = 2
countryName_max = 2
stateOrProvinceName = "2. Bundesland "
localityName = "3. Ort "
0.organizationName = "4. Name der Organisation "
organizationalUnitName = "5. Name der Organisationseinheit "
commonName = "6. Common Name (Synology Station) "
commonName_max = 64
commonName_default = Synology Station
emailAddress = "7. Email Adresse "
emailAddress_max = 40

in die vorgegebenen Dateien zu kopieren und zu speichern. Den kopierten Text kann ich ja mit der Tastenkombination "UMSCHALT + Einfg" einfügen. Speichern klappt nur nicht so ganz?!

Darüber hinaus weiß ich nicht welches Passwort ich bei
openssl genrsa -des3 -out ca.key 1024
eingeben soll. Woher soll ich das 1024bit lange Passwort haben?
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Deswegen der Link zum Editor vi. ;)
In vi kommst Du mit 'i' zum Eingabemodus (insert). Dann kannst Du den Text reinkopieren. Mit 'Esc' verlässt Du den Eingabemodus wieder, danach kannst Du mit ':wq' (write + quit) speichern und schliessen.

Alternativ kannst Du die Datei auch unter Windows erstellen und anschließend über Telnet/SSH an den richtigen Ort kopieren. Ich nehme aber an, dass Du die Datei dann mit Unix-Zeilenenden abspeichern musst, z.B. mit Notepad++.

Das Passwort musst Du Dir ausdenken - es wird dann bei den späteren Schritten wieder benötigt.
 

blueangel1610

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
134
Punkte für Reaktionen
0
Punkte
0
Stückchen für Stückchen komme ich, vorallem aber mit Eurer Hilfe, dem Ziel immer näher.

Wo es derzeit streikt ist an dieser Stelle:
Erstellung des endgültigen Zertifikats mit einer Gültigkeit von 10 Jahren:

openssl req -config ca.config -new -key ca.key -out ca.csr

Ich erhalte nach der Eingabe von DiskStation> openssl req -config ca.config -new -key ca.key -out ca.csr diese Fehlermeldung:

WARNING: can't open config file: /usr/syno/ssl/openssl.cnf
error on line 20 of ca.config
1073868240:error:0E079065:lib(14):func(121):reason(101):NA:0:line 20

Bei den Eingaben zuvor hatte jedoch alles reibungslos geklappt. Wo könnte dieses mal der Stein begraben liegen.
Immerhin habe ich festgestellt das die ca.config gar keine 20. Zeile besitzen sollte.
Ich finde es erstaunlich interessant, wie tief man doch in diese Materie eindringen kann und muss, um die DS seinen eigenen Wünschen und Bedürfnissen anzupassen. Ich bin ehrgeizig und bin mir sicher zusammen schaffen wir das :)
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Schau dir nochmal die ca.config an. Sieht da wirklich alles richtig aus?
 

blueangel1610

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
134
Punkte für Reaktionen
0
Punkte
0
Ich denke schon. Ich mit meinem Laienwissen finde dort zumindest keinen offensichtlichen Fehler.

An der unten aufgeführten Stelle macht sich ja auch schon der erste Fehler bemerkbar.


DiskStation> openssl genrsa -des3 -out ca.key 1024
WARNING: can't open config file: /usr/syno/ssl/openssl.cnf
Generating RSA private key, 1024 bit long modulus
.........................++++++
.....++++++
e is 65537 (0x10001)
 

blueangel1610

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
134
Punkte für Reaktionen
0
Punkte
0
Neuer Erkenntnisstand:

Lediglich der 3. beschriebene Punkt bei Erstellung des Stammzertifikats im Wiki, unter http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats, scheint fehlzuschlagen.

Die Inhalte der Dateien sind geprüft und haben ihre Richtigkeit.

Ich habe dann einfach mal mit dem Punkt Erstellung des Server-Zertifikats weitergemacht, was auch funktioniert, weil er meine Daten dort abfragt. Aber auch hier scheitert es beim schlussendlichen erstellen des Server-Zertifikats, weil eben schon das Stammzertifikat nicht vorliegt, was er mir auch mit der Fehlermeldung
Error opening CA Certificate ca.crt
bestätigt.

Wir nähern uns gemeinsam immer weiter dem Ziel *g // Vielen Dank für eure Geduld.
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Die Standard-Konfiigurationsdatei 'openssl.cnf' ist nicht auf der DS vorhanden. Deshalb wird in der Anleitung die selbsterstellte ca.config genutzt. Könnte höchstens noch sein, dass die neue Version von openssl ein paar weitere Optionen erwartet, die wir in dieser ca.config noch nicht drin haben. Versuch mal die Konfigurationsdateien im Anhang, mit denen hab ich auf jeden Fall schon Zertifikate erstellt. Enpacken, ins Verzeichnis 'public' kopieren (oder halt in ein anderes Verzeichnis), und dann damit ins richtige Verzeichnis kopieren:
Rich (BBCode):
cp /volume1/public/ca.config /usr/local/ssl
cp /volume1/public/server.config /usr/local/ssl
 

Anhänge

  • config.zip
    775 Bytes · Aufrufe: 52

blueangel1610

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
134
Punkte für Reaktionen
0
Punkte
0
Gesagt getan. Wenn ich die Dateien kopiert habe, erfolgt keinerlei Fehlermeldung. Ich gehe daher davon aus das der Kopiervorgang korrekt verlaufen ist.

Führe ich diesen Befehl aus:

openssl genrsa -out server.key 1024

erhalte ich die nun aufgeführte Fehlermeldung:

DiskStation> openssl genrsa -out server.key 1024
WARNING: can't open config file: /usr/syno/ssl/openssl.cnf
Generating RSA private key, 1024 bit long modulus
.....................++++++
..++++++
e is 65537 (0x10001)
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Das scheint nur eine Warnung zu sein, keine Fehlermeldung. Sollte eigentlich ok so sein.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat