HTTPS altes Zertifikat löschen

[froooosty]

Hallo Nastas,

es handelt sich um 2 unterschiedliche Befehle.

Also zuerst wie gehabt als root per Putty anmelden, dann zuerst (ohne Anführungszeichen):

"cd /usr/syno/etc/ssl/"

das bewirkt, dass du zum gewünschten Verzeichnis ssl kommst und anschließend gibst du:

"mkcert.sh" ein

mkcert.sh ist einfach nur eine Datei in dem angesteuerten Verzeichnis ssl.
Im Prinzip ist die Ganze Sache einfach nur ein Anwählen eines Ordners (erster Befehl) und ein Doppelklick auf eine .exe Datei (zweite Anweisung).

Das wusste ich noch, weil ich Lubuntu Distribution als Virtuellen Maschine zum sicheren Surfen benutze.

Wenn du alles richtig gemacht hast, erscheinen mehrere lange Meldungen, in denen die Diskstation erklärt welche Schritte sie zur Erstellung eines Zertifikates ausgeführt hat.

 

[Nastas]

Also bei mir sieht das dann so aus:

Last login: Tue Jul 31 08:00:41 on console
imac:~ sam$ ssh root@192.168.178.21
root@192.168.178.21's password:


BusyBox v1.16.1 (2012-07-06 16:14:16 CST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

ds-file> cd /usr/syno/etc/ssl
ds-file> mkcert.sh
-ash: mkcert.sh: not found
ds-file>


Aber mehr kommt eben nicht mehr und ich weis nicht was ich da falsch mache.

 

[froooosty]

Hallo,

ich glaube du hast bei dem Befehl ssl hinten den Slash vergessen, also so:
cd /usr/syno/etc/ssl/

Aber, ich denke mal du wirst bisher kein eigenes Zertifkat hochgeladen haben.
Daher sollte die Restorefunktion nicht funktionieren.
Ein funktionsfähiges, von Synology Disk Station erstellets Zertifikat ist ja vorhanden.
Daran wird es sicherlich liegen.

 

[Nastas]

Irgendwie komme ich mit der Anleitung der Wiki nicht zurecht. Ist für einen Einsteiger wie mich nicht leicht zu verstehen. Allerdings hab ich ne Anleitung gefunden die auch für Anfänger zu verstehen ist. Werde das mal versuchen. http://iphoneinaktion.de/2011/08/synology-nas-ssl-zertifikat-generieren-fur-sicheren-zugriff-von-unterwegs/

 

[froooosty]

Die Anleitung entspricht eigentlich der des Wikis, ist halt nur auf deutsch und erklärt außerden, wie man einen Ordner erstellt.
Beides läuft aber aufs Gleiche hinaus, so wie ich das sehe.

 

[Nastas]

Jetzt hab ich gerade die DSM neuinstalliert und was kommt dabei raus:

Last login: Tue Jul 31 13:18:00 on ttys000
imac:~ sam$ ssh root@192.168.178.21
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
9a:30:7a:49:ee:5d:de:c2:02:66:fd:5b:20:00:eb:a9.
Please contact your system administrator.
Add correct host key in /Users/sam/.ssh/known_hosts to get rid of this message.
Offending key in /Users/sam/.ssh/known_hosts:2
RSA host key for 192.168.178.21 has changed and you have requested strict checking.
Host key verification failed.
imac:~ sam$

Was soll das denn wieder? Ich glaub ich bleib doch bei meiner alten Medode die hat wenigstens funktioniert.

 

[jahlives]

wenn du neuinstallierst ist es klar, dass sich der Schlüssel des Server ändert. Du hast aber bereits mit dem alten Serverschlüssel eine Verbindung aufgebaut, also wurde der Hash des Zertifikates in known_hosts gespeichert. Jetzt passt bei der neuen Verbindung der Hash nicht mehr

echo > /Users/sam/.ssh/known_hosts

den obigen Befehl aber nur absetzen wenn du 100% sicher bist, dass die Änderung am Serverschlüssel gewollt ist. Wenn du diese Warnung bekommst ohne die DS neuaufgesetzt zu haben, dann müssen alle Alarmglocken schrillen

 

[Nastas]

Ich dachte wenn ich die Firmware neu aufsetzte und das Zertifikat was im Schlüsselbund des Macs eingebunden ist, lösche, dann sollte doch alles wieder auf "Standard" sein.

 

[jahlives]

kurze Antwort: scheinbar nicht
Das ist ein Schutzfeature von ssh damit du es merkst wenn du dich nicht mit dem Server verbindest den du eigentlich erreichen wolltest. Das ist ja nicht der Server der ausruft, sondern dein lokales ssh Kommando

 

[Nastas]

Das heißt dann das bei einer Neuinstallation der DSM nicht alles gelöscht wird, richtig?

 

[jahlives]

Bei einer Neuinstallation wird nicht alles neu geschrieben. Aber das hat nichts mit deinem aktuellen Fall zu tun. Der Serverkey ist neu und das merkt dein lokaler ssh und warnt dich davor

 

[Nastas]

Ach daran hab ich gar nicht gedacht.

 

[Nastas]

Nach langem hin und her und Haare rausrupfen ist mir das jetzt endlich gelungen ein Zertifikat in der Konsole zu erstellen.

 

[Nastas]

wenn du neuinstallierst ist es klar, dass sich der Schlüssel des Server ändert. Du hast aber bereits mit dem alten Serverschlüssel eine Verbindung aufgebaut, also wurde der Hash des Zertifikates in known_hosts gespeichert. Jetzt passt bei der neuen Verbindung der Hash nicht mehr

echo > /Users/sam/.ssh/known_hosts

den obigen Befehl aber nur absetzen wenn du 100% sicher bist, dass die Änderung am Serverschlüssel gewollt ist. Wenn du diese Warnung bekommst ohne die DS neuaufgesetzt zu haben, dann müssen alle Alarmglocken schrillen

Hab jetzt rausgefunden das man das auch im Terminal selbst erledigen lassen kann. Man muss nur diesen Befehl im Terminal absetzen: open .ssh, es öffnet sich dann ein Fenster und man kann die know_hosts Datei löschen.

 

[jahlives]

Hab jetzt rausgefunden das man das auch im Terminal selbst erledigen lassen kann.

Wo sollte man dieses Kommando denn sonst ausführen, wenn nicht auf der Konsole aka Terminal? ;-) ;-)

 

[Nastas]

Ja ja, lach nur.