DSM 6.x und darunter DSM nicht mehr erreichbar - Zertifikatfehler

[daBrain]

Hallo!

Ich kann aktuell über den PC, weder mit Edge noch mit IE, mein DSM erreichen.
Geblockt wird aus Sicherheitsgründen mit dem Hinweis:

"Das Sicherheitszertifikat dieser Website wurde gesperrt, sodass Sie sie derzeit nicht besuchen können.
Fehlercode: ERROR_INTERNET_SEC_CERT_REVOKED"

Bis dato war immer nur eine Meldung mit "flags" die man überspringen konnte bzw. die Website trotzdem laden durfte. Das geht jetzt nicht mehr was mich seit 1 Stunde zur Verzweiflung bringt.

Ich habe 2016 oder 2017 ein startssl.com Zertifikat eingespielt. Das könnte jetzt die Ursache sein, bin mir aber nicht sicher.

Aktuell komme ich übers Smartphone noch aufs DSM und konnte SSH freischalten. Ich kann somit über PuTTY mein NAS erreichen.

Ich habe versucht damit die Zertifikate zu löschen - nach dieser Anleitung:

https://forum.synology.com/enu/viewtopic.php?f=173&t=37570 - Post #5

Ich war allerdings nicht erfolgreich da ich weder ein Server.key noch ein Server.cert in den jeweiligen Ordnern finden konnte.

Har jemand noch weitere Inputs?

Lg, Bernhard

 

[Adama]

Ein Zertifikat, welches den Status revoked hat, steht gewissermassen auf einer Sperrliste. Das wird standardmässig geblockt.

Das hier könnte Dir vielleicht weiterhelfen: https://www.thewindowsclub.com/err_cert_revoked

Damit müsstest Du erst mal wieder auf die Syno kommen und kannst Dir ein neues Zertifikat erstellen...

 

[Lux007]

Hallo!

Schau am besten in der nginx.conf nach unter /etc/nginx/nginx.conf. Dort ist in der Regel das SSL-Certifikat eingetragen. Beim mir liegt das Standard-Certifikat z.B. unter /usr/syno/etc/certificate/system/default/.

Gruß
Lux007

 

[daBrain]

Danke für deine Antwort, Adama.
Den Tipp habe ich heute Nachmittag schon probiert.
Hab jetzt den PC auch neu gestartet - leider ebenfalls ohne Erfolg, die Meldung bleibt.

 

[daBrain]

Hallo Lux, ebenfalls danke für deine Antwort.

folgendes wird mir in der nginx.conf für ssl angegeben:

ssl_certificate /usr/syno/etc/certificate/system/default/fullchain.pem;
ssl_certificate_key /usr/syno/etc/certificate/system/default/privkey.pem;
ssl_protocols TLSv1.2;
ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256;
ssl_dhparam /usr/syno/etc/ssl/dh2048.pem;
ssl_prefer_server_ciphers on;

ssl_session_tickets off;
ssl_session_cache shared:SSL:1m;

Werde daraus aber nicht schlauer. Offenbar sind die Default-Zertifikate in Verwendung.

 

[Lux007]

Hallo!

Folgendes kannst Du unter PUTTY/SSH probieren (als ROOT-Benutzer!):

mv /usr/syno/etc/certificate/system/default/privkey.pem /usr/syno/etc/certificate/system/default/_privkey.pem
synoservice --restart nginx

Mit dem 1.Befehl wird eine Schlüsseldatei umbenannt und mit dem 2.Befehl der Webserver (NGINX) neu gestartet.

Bei mir wird dann automatisch ein Standard-Zertifikat von Synology gesetzt.

Gruß
Lux007

 

[daBrain]

Danke, Lux007.
Das gesperrte Zertifikat ist jetzt mal weg.
IE gibt die bekannte Meldung: "Fehlercode: DLG_FLAGS_INVALID_CA
DLG_FLAGS_SEC_CERT_CN_INVALID" aus, die ich aber überspringen kann.
Komme somit wieder auf die DSM.

Gibt es eigentlich eine Möglichkeit auch diese Meldung "dauerhaft" wegzukriegen?