DSM 6.x und darunter extern erstelltes SSL Zertifikat importiren

[buexxxi]

Hallo zusammen,

mein damals kostenlos erstelltes StarSSL.com Zerti läuft demnächst aus. hab mir jetzt ein neues erstellt. diesmal kostenpflichtig bei meinem Domain-Anbieter.
Das Zerti hat aber irgendwie ein anderes Format. Sicherheitszertifikat ist da, aber der von der Syno geforderte Private Key fehlt leider.
Wie krieg ich das ganze nun zum laufen?

Zusatzinfos:
Domain- und SSL Anbieter ist domaindiscount24.com
das zerti was ich bestellt habe: PositiveSSL (0,76€ / Monat)

 

[Frogman]

Wie läuft das da ab? Erzeugen die etwa private key plus öffentliches Zertifikat? Falls ja - wegschmeissen! Sinnvoll ist es nur, wenn Du lokal bei Dir Schlüssel generierst und einer CA ausschließlich den daraus erstellten CSR schickst, d.h. einem Certificate Signing Request. Zurück bekommst Du dann Dein signiertes Serverzertifikat. Sobald Dein private key Deinen LAN verläßt oder genauso schlimm extern erzeugt wurde, ist Deine Verschlüsselung im Fall der Fälle nix wert!

 

[buexxxi]

Hi du

Also ich habe dort ein Zerti erstellt, welches mir nun in folgender Form vorliegt:

1) das Sicherheitszertifikat an sich
2) eine Ca-Bundle-Datei, welche ich mit nem Texteditor öffnen kann. der text beginnt mit :"-----BEGIN CERTIFICATE-----...."

Das Zerti ist für meine Domain ausgestellt und den auf der mailstation geführten user "webmaster".

Wie krieg ich das jetzt da importiert?

 

[Frogman]

...was jetzt nix aussagt. Was meinst Du mit "CA-Bundle"?

 

[buexxxi]

Na das ist das was mir Windows bei der Datei als Dateityp anzeigt. Ich will ja eigentlich nur das Zertifikat importieren.



wie krieg ich das nun zur Syno ?

 

[Frogman]

...womit wir kein Stück weiter wären! Wie ich schon schrieb, gehört zu einem Serverzertifikat eine Schlüsseldatei - keinen Key, kein Entschlüsseln. Leider beantwortest Du nicht wirklich meine Fragen oben - abgesehen davon, dass Dich meine Sicherheitshinweise offensichtlich kalt lassen...

 

[buexxxi]

Hab doch nicht gleich so schlechte Laune. Ich bin ein ahnungsloser pc Rekrut ^^. Ich habe mir von der syno den csr erzeugen (unter Zertifikat erstellen, die passende Option angeklickt) lassen und ueber diesen dann bei dem Anbieter das zerti erstellen lassen.
Das was du geschrieben hast, versteh ich halt nur teilweise. Ich hab dann mal vergleichsweise das aktuell laufende Zertifikat exportiert und mit dem neuen, welches mir zugesendet wurde vergleichen. Dabei fiel mir auf dass beim alten eben so eine privatekey datei bei war, was beim neuen nicht der fall war.
Ich hab auch schon bissl gegoogel aber komme leider nicht weiter. Deshalb suche ich hier nach Hilfe.

 

[Frogman]

Aha, jetzt endlich erzählst Du etwas... Wenn Du lokal auf der DS den CSR erzeugt hast, dann hast Du doch aber dort auch die Schlüsseldatei liegen. Hast Du denn jetzt die Zertifikatsdatei dort importiert?

 

[buexxxi]

Ich kann also den alten Schlüssel den vom aktuell betriebenen zerti fuer das neue zerti verwenden?

 

[Frogman]

Ja, wenn Du nur eine Zertifikatserneuerung durchführst (bspw. mit einem CSR), ändert das nichts an der Schlüsseldatei. Dabei wird nur die Signatur der CA in Deinem Server-Zertifikat erneuert.

 

[buexxxi]

ICH HABS ich IDIOT, der Key war die ganze zeit da in dem Ordner den ich von der Syno runtergeladen habe, als ich die CSR erzeugt habe. Ich dachte der Sch*** key muss in dem Ordner drin sein, den mir die Zertifizierungsstelle zugeschickt hat ^^
Jetzt ist das Zerti auf der Syno.

Problem: seite nicht vertrauenswürdig. ds.buexxxi.de / buexxxi.de
Was mach ich falsch?

 

[Frogman]

Neustart? Cache des Browsers gelöscht?

 

[buexxxi]

ja grad alles gemacht. syno neustart, fritzbox neustart. pc neustart ^^ cache verlauf geleert. HMMM identität nicht bestätigt.

 

[Frogman]

Schau mal - wenn Du eine verschlüsselte Seite aufrufst - in die Details des Zertifikats hinein. Wer ist denn da als Signaturgeber genannt, d.h. die Root-CA? Wenn das irgendetwas arg exotisches aus Hintertupfingen ist und das Root-Zertifikat nicht im Browser hinterlegt ist, dann wird das auch nix... By the way: nicht alle Root-CAs sind in allen Browsern hinterlegt - Du könntest also auch zusätzlich mal einen anderen Browser testen.

 

[buexxxi]

Habe mir die Meldung im Browser angeschaut, aber kann nix verwerfliches finden.
Kann es sein, dass ich noch iwas in den settings meines domainanbieters ändern muss? Meine Syno sitzt hinter ner fritzbox, dort ist die dyndns mit der ich auch meinen mailserver auf der syno betreibe hinterlegt. Unter CNAME meiner subdomain war bisher immer genau diese DYNDNS hinterlegt. und auf der toplevel domain myname.de hatte ich bisher eine redirect weiterleitung auf meine subdomain eingetragen. vllt. liegts iwie daran?
Ich will doch nur dass das zerti als bestätigt angezeigt wird ohne fehlermeldung/warnung im browser.
PS ja inetexplorer firefox UND chrome probiert. Immer sicherheitswarnung :/

 

[buexxxi]

kann es sein, dass das so ist weil das zerti für meine topdomain xxxx.de ausgestellt wurde und nicht für meine sub xx.yyyyy.de die per CNAME eintrag auf meine Fritzbox/Syno weiterleitet?

 

[Frogman]

Du musst halt schauen, was genau in Deinem Zertifikat abgedeckt ist - bei einem Class1-Subdomain-Zertifikat bspw., wie es viele bei StartSSL bekommen, ist neben der obligatorischen Subdomain auch ergänzend die Haupt-Domain aufgeführt, man kann es damit auch für beides einsetzen. Wenn bei Dir nur die Haupt-Domain genannt ist (und es kein Wildcard-Zertifikat ist, was der Preis schließen läßt), dann gilt es auch nur für diese.

 

[buexxxi]

na und krieg ich jetzt die syno iwie direkt auf buexxxi.de angesprochen? oder brauch ichn neues Zerti und lasse dies für ds.buexxxi.de ausstellen? ^^

 

[Frogman]

Du könntest auf die Subdomain verzichten und direkt die Domain nutzen für den DS-Zugriff.

 

[buexxxi]

DAS WILL. was muss ich dazu machen? einfach subdomain loschen richtig?

aber wie krieg ich dann den bogen gespannt zur dyndns buexxxi.selfhost.eu die auf meinem router hinterlegt ist?