Generierung eines eigenen SSL-Zertifikats aber wie?

[Frankisunshine]

Hallo zusammen.
Ich versuche grad an meiner Ds 1010 eine SSl Zertifizierung einzurichten. Ich folge dabei der WIKI Anleitung (http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats).
Ich habe auf meiner DS bereits das Admintool installiert und kann mit der Shell zugreifen. Ich habe bereits im Pfad /usr/local/ den Ordner SSL angelegt. Für mich ist das alles Neuland. Nun meine erste Frage: Bei der Beschreibung in WIKI wird die Datei VI ca.config genannt. Steht das VI für das Anzeigen des Files oder gehört es direkt zum Ordnernamen.
2. Frage: Dort soll diese oben genannte Datei als Konfigurationsdatei hergestellt werden. Ich habe diese :
[ req ]
default_bits = 1024
distinguished_name = req_DN
string_mask = nombstr

[ req_DN ]
countryName = "1. Staat (2 Buchstaben)"
countryName_default = DE
countryName_min = 2
countryName_max = 2
stateOrProvinceName = "2. Bundesland "
localityName = "3. Ort "
0.organizationName = "4. Name der Organisation "
organizationalUnitName = "5. Name der Organisationseinheit "
commonName = "6. Common Name (Synology Station) "
commonName_max = 64
commonName_default = Synology Station
emailAddress = "7. Email Adresse "
emailAddress_max = 40

in eine Textdatei kopiert und per upload in das File ssl kopiert. Weis auch nicht welche Endung das File haben muß. Ist das richtig so?? Würde mich über ein bissel Hilfe freuen. Vielleicht eine Anleitung für Anfänger Danke

 

[itari]

Du nimmst dir da schon was vor ...

Der VI bzw. vi ist ein Linux-Editor.

Du willst wohl das Synology-Skript (mkcert.sh) verwenden. Ich hab es nie benutzt, es scheint aber alles zu enthalten. Musst einfach probieren. Das Ergebnis wirst ja in den Browser laden und da kannst dir das Zertifikat auch anschauen und ggf. noch mal probieren.

Itari

 

[Herbert_Testmann]

Wenn Du nicht weisst was VI ist, solltest Du den Editor nicht benutzen. Der hat mit einem normalen Editor wenig zu tun und ist ohne Anleitung und Befehlsreferenz für Anfänger nicht bedienbar.

Ich weiss nicht, ob die Shell im Admin Tool für Deine Zwecke die geeignete Arbeitsfläche ist. Du solltest Dich lieber per Telnet oder SSH anmelden.
Falls Dir der "Norton Commander" aus DOSen Zeiten bekannt ist, empfehle ich den "mc" für die Bearbeitung und die Dateioperationen (kopieren, Rechte ...).

 

[ubuntulinux]

Lass dir doch gratis ein SSL Zertifikat von StartCom generieren. Bekommst dann keinen SSL Fehler mehr. Geht aber nur wenn du eine Domain hast, die gibts gratis incl DNS bei http://www.dot.tk/

 

[Frankisunshine]

Vielen Dank für Eure schnelle Reaktion. Der Hintergrund für diese Aktion war, dass der Servicemensch von Ready2host einen ca.Key braucht. Um den zu generieren, muss ich ein CSR Zertifizierung an der DS durchführen. (Ich hoffe ich liege bis hier hin richtig :?). Deshalb habe ich die Prozedur in WIKI durchgeführt. Gibt es bessere und einfachere Alternativen diesen SSL Zertifizierung umzusetzten und wenn welche. Danke im vorraus Frank

 

[Herbert_Testmann]

Ich muss zugeben, dass ich das nicht ganz verstehe. Wozu braucht wer einen ca.key?

Du kannst auf Deiner DS einen Key erzeugen, den Du aber niemals nicht aus der Hand gibst. Und Du kannst dann mit diesem Key einen Zertifikats Antrag erstellen. Oder eben selbst Dein eigenes Zertifikat beglaubigen.

Ist alles schon ein wenig her, aber ich habe immer nur Zertifikate irendwo hin geschickt und das bearbeitetet Zertifikat und u.U. ein CA Zertifikat oder CA-Bundle zurück bekommen.

 

[ubuntulinux]

Für den Antrag eines Zertifikates braucht man doch nur den CSR (Certificate Sign Request), sofern der Aussteller dies nicht auch noch generiert?

gruss
ubuntulinux

 

[jahlives]

Einen ca.key brauchst du nur wenn du damit die Zertifikate selber signieren willst.
Wenn du einen Schlüssel singieren lassen willst, dann musst einen server.key erstellen und davon den server.csr ableiten

[FONT=monospace]
[/FONT]openssl genrsa -out ./server.key 1024
openssl req -new -key ./server.key -out ./server.csr

diesen csr musst du dann bei der Signing Authority angeben, diese signiert in und erstellt damit das server.crt, welches du in das korrekte Verzeichnis kopieren musst. Auch der server.key und der server.csr müssen in die entsprechenden Verzeichnisse

 

[Frankisunshine]

Hallo alle zusammen. Also der gute Mann von ready2host hat mich auf die Seite http://www.ssl-sicherheit.info/ verwiesen. Dort sollte ich eine CRS
Zertifizierung meiner DS durchführen. Ehrlich gesagt blick ich nun gar nicht mehr durch, weil ich denke dass Ihr da mehr Erfahrung habt als der Servicemensch von read2host. Unabhängig was dieser gesagt hat, bitte ich Euch mir eine kleine Prozedur am besten Step by Step was ich tun muss, um eine SSL Zertifizierung an meiner DS vorzunehmen. Ich danke Euch wenn Ihr dass so leicht wie möglich erklären könntet. Vielen Dank an Euch alle.

 

[Herbert_Testmann]

Der Mann hat Dich doch auf die richtige Seite geschickt.
Voraussetzung ist, das Du auf der DS "openSSL" installiert hast.

http://www.ssl-sicherheit.info/csr-erstellen/openssl.html

Wie das mit dem DS internen, vorinstallierten SSL geht, kann ich Dir nicht sagen.

 

[Der Graue]

Ich bin nur zufällig über diesen Beitrag "gestolpert" und möchte mich für den Link zum Wiki bedanken.
Bin genau nach der Anleitung vorgegangen, nun habe ich endlich keine Fehlermeldung mehr, wenn ich mal von extern über hxxps://xxx.selfhost.me:5001/ auf den DSM und Filestation zugreife.
Hatte mich schon lange darüber geärgert, doch nie an die Beseitigung des Problems rangetraut.

 

[Frankisunshine]

Csr

Hallo Tobi. Ich nutze das OpenSSL von Synology.
Nach Eingabe which openssl kommt als Ausgabe /usr/syno/bin/openssl .

 

[jahlives]

Wenn du den openssl Befehl von der ersten Seite dieses Threads eingibst, sollte eigentlich eine Fehlermeldung kommen, dass die openssl.cnf nicht vorhanden ist. In der Fehlermeldung müsste auch das Verzeichnis stehen, wo openssl gesucht hat. Dort rein solltest du die Datei, die ich dir geschickt haben reinkopieren.
Genau kann ich es auch ned sagen, weil ich selber den openssl von ipkg benutze. Dort sind die Verzeichnisse leider anders.

 

[jahlives]

Habs gerade mal probiert mit dem Default openssl

webserver> /usr/syno/bin/openssl req -new -key ./server.test -out ./server.csr
Unable to load config info from [B]/usr/syno/ssl/openssl.cnf[/B]

also die Datei dort hin

 

[Frankisunshine]

Also ja ich habe das OpenSSL von Synology. Gibt es den noch eine Openssl packet??

 

[jahlives]

Mal eine kurze Step-by-Step Anleitung für ein Zertifikat, das bei cacert.org signiert wurde:

1. auf der Webseite http://www.cacert.org/ registrieren und Confirmationmail bestätigen
2. sich ein openssl.cnf File besorgen (z.B. http://www.faqs.org/docs/securing/chap24sec194.html) und nach /usr/syno/ssl/ kopieren
3. als root auf der Konsole
   

   cd /root
   /usr/syno/bin/openssl genrsa -out ./server.key 1024
   /usr/syno/bin/openssl req -new -key ./server.key -out ./server.csr

   eingeben. Dabei werden diverse Werte abgefragt. Letztendlich ist aber nur der Common Name (CN) wichtig , also der Hostname (z.B. mydyndns.homeip.net). Der Rest wird von cacert ignoriert
4. sich den Inhalt des server.csr Files in die Zwischenablage kopieren
5. bei cacert.org einloggen und im Menu unter Server Certificates-->New wählen
6. den Inhalt der Zwischenablage reinkopieren und das Formular absenden
7. cacert wird euch dann den Inhalt der Datei server.crt zurückgeben
8. diese Rückgabe wieder in die Zwischenablage und die Datei server.crt in /root anlegen und den Inhalt reinkopieren
9. danach solltet ihr server.key, server.csr und server.crt haben
10. diese drei Dateien gehören nach /usr/syno/ssl/ dort gibt es pro Datei ein Verzeichnis
    

    drwxr-xr-x  2 root root 4096 Mar 28 17:54 ssl.crt
    drwxr-xr-x  2 root root 4096 Mar 28 17:54 ssl.csr
    drwx------  2 root root 4096 Mar 28 17:54 ssl.key

Macht besser ein Backup der alten Zertifikatsdateien, BEVOR ihr die neuen Files in die Verzeichnisse verschiebt

Gruss

tobi

p.s. so schaut es bei cacert auf der Webseite aus wo man den csr reinkopieren muss

 

[itari]

Also ja ich habe das OpenSSL von Synology. Gibt es den noch eine Openssl packet??

Ja, man kann sich auch OpenSSL per IPKG installieren. Da dies früher notwendig war, gibt es hier verschiedene Leute, die es noch verwenden (und deswegen den Umgang mit dem Synology-Firmware-OpenSSL nicht genau kennen).

Itari

 

[blackfir3]

Möchte mir für meine DS410 auch ein "richtiges" SSL Zerfikat anlegen. Habe mir eine dyndns.org Adresse angelegt, und von meine .de Adresse "home" Subdomain per DNS als CNAME auf die dyndns.org Adresse (klappt auch schonmal).
Aber mit dem SSL will das noch nicht so.
Möchte auf jedenfall ein richtiges signiertes,damit keine Warnungen mehr im Browser kommen.
Habe mir dann erst die Anleitungen hier im wiki durchgelesen, und dann diese hier.
Anstatt cacert.org habe ich mir ein 30 Tage gratis Zertifikat von ready2host.de erstellen lassen (zum testen, wollte nachher ein richtiges). Die server.csr, server.crt und server.key Dateien hab ich von root verzeichnis in /usr/syno/ssl/ erschoben (dort hießen die dann aber auch wieder ssl.* also genau mit den alten ersetzt.
Aber wenn ich per SSL draufgehe wird mir immer noch das Synology Zertifkat angezeigt.
Habe nun auch schon vieles ausprobiert. Vielleicht ist meine DS nun auch schon ganz durcheinander.

 

[casnoff]

Hallo Franki,

habe auch mal die ersten Schritte mit dem Zertifikat aus dem Wiki gemacht. Wenn man vorher sowas noch nie gemacht hat, dann muss man es einfach ausprobieren. Unter http://www.fehcom.de/pub/viref.pdf oder http://debiananwenderhandbuch.de/vi.html kannst du eine kleine Befehlsübersicht über den Editor VI einsehen. M. E. führt hier kein Weg ums Probieren herum. Es ist ein eigenständiges Bedienkonzept und das kann man nur durch Nutzung erlernen. Ist ätzend aber je öfter man es probiert desto sicherer wird man im Umgang mit dem Editor.

Sofern du C&P nutzt, achte bitte darauf, dass eventuell nicht alle Zeichen mitkopiert bzw im VI eingefügt werden.

 

[blackfir3]

Naja vi ist zwar bisschen "gewöhnungsbedürftig" aber komme damit schon klar, und das "reinkopierte" sah auch immer ok aus (auch per cat anzeigen nachher). Wobei ich sonst auf meiner "Debianspielkiste" immer nano hatte, den fand ich besser.
Aber trotzdem irgendwie will ja mein SSL noch nicht so