DSM 6.x und darunter HTTPS klappt nicht

[bullrin]

Hi,

ich habe ein Lets Encrypt Zertifikat, wie in diesem Video erklärt, eingerichtet.
Wenn ich meine Syno mit https und Port 5001 aufrufe spuckt mir mein Firefox den Fehler entgegen, dass die Verbindung nicht sicher ist.
Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

Die DDNS Einstellung sieht so aus:

Die Zertifikats Einstellung sieht so aus:


Falls das relevant ist, ich habe einen Vodafone Kabel Vertrag, also Dual Stack Lite...
DS218Play

 

[Benares]

Dein Zertifikat wird für nichts verwendet - aufgefallen (letzte Zeile)?
Klick mal auf Konfigurieren - Da stellt man ein, welches Zertifikat wofür verwendet wird.
Hast du das bisherige Standardzertifikat gelöscht? - Hättest du nicht müssen.

 

[bullrin]

Ah das ist ein guter Hinweis. Leider zeigt das Fenster das bei Klick auf "Konfigurieren" kommt, nichts an. Es werden keine Dienste angezeigt.

 

[Benares]

Mmh, normalerweise kommt da ne Liste aller Dienste und hinten kann ausgewählt werden, welches der Zertifikate dafür gilt.
Weiß ich auch nicht. Erstell vielleicht nochmal ein Self-Signed Zertifikat. Vielleicht war es ein Fehler, das zu löschen.

 

[bullrin]

Leider nicht geholfen. Ist immer noch leer. Reboot hat auch nicht geholfen

 

[Penthys]

Was reportet denn der Browser als Zertifikat, dass er von deiner Syno angeboten bekommt?

 

[Benares]

Puh, weiß ich auch nicht.

 

[bullrin]

Was reportet denn der Browser als Zertifikat, dass er von deiner Syno angeboten bekommt?

 

[Penthys]

Und die weiteren Informationen? Wenn es ein Zertifikat gibt, hat es auch mehr Daten darüber, vor allem für welche Domain es gilt.

 

[bullrin]

Mehr gibt der Firefox nicht aus. Ich vermute es liegt daran dass ich im DSM nicht auswählen kann, wofür das Zertifikat gelten soll. Daher wird vermutlich aktuell gar kein Zertifikat überliefert.

 

[Penthys]

Ohne Zertifikat geht gar kein https, dann wäre es nur http. Da nur ein Zertifikat dem Server bekannt ist, braucht bzw. kann man halt nichts konfigurieren. Es wird das Standardzertifikat hergenommen. Damit eine Verbindung als sicher eingestuft wird, muss unter anderem die Domain(s) des Zertifikats mit der im Browser aufgerufenen übereinstimmen. In deinem Bild rufst du eine IP auf. Das hat nix mit einer Domain zu tun und das Zertifikat ist nicht dafür gedacht, mit einer IP in Verbindung zu stehen. Es funktioniert dann einfach nur für die Verschlüsselung.

 

[Benares]

Schau mal hier. Da hat es einer geschafft, das zu reparieren, indem er /usr/syno/etc/certificate/_archive/INFO editiert. Schau dir die Datei mal an.

 

[Wollfuchs]

mal abgesehen von der tatsache, dass das zertifikat fuer DIE DOMAIN und nie fuer die IP ausgestellt wuerde ..
ein https://ip-adresse ist schonmal nicht so zielfuehrend ..

 

[Benares]

Um das Zertifikat zu sehen reicht das aber. Firefox ist etwas komisch, was die Zertifikats-Anzeige anbetrifft, Chrome ist da besser/einfacher.

 

[bullrin]

Schau mal hier. Da hat es einer geschafft, das zu reparieren, indem er /usr/syno/etc/certificate/_archive/INFO editiert. Schau dir die Datei mal an.

super dass du das gefunden hast. ich versuch das gerade. leider komm ich über putty nicht auf den ordner _archive. Permission Denied. Bin mit meinem Admin Account per Putty auf der Syno.

EDIT: habs selbst gefunden. sudo -i war die Lösung. Ich probiere das jetzt mal nach Infos aus dem Thread.

 

[Penthys]

Nimm sudo für root-Rechte als Befehl davor und schon wird es besser.

 

[bullrin]

Knaller, das war die Lösung. Hab die INFO Datei mit NANO bearbeitet. Mein neues Zertifikat hatte ein leeres Array bei Services drin stehen. Hab dann alles aus dem alten Zertifikat (das nicht mehr existiert) genommen.

So sah es vorher aus:



Vielen Dank an alle für die schnelle und detaillierte Hilfe!

 

[Penthys]

Interessant. Gut zu wissen. Das nächste Mal das originale Zertifikat nicht so schnell entsorgen

Man weiß eh nie, ob man es nicht doch nochmal braucht.

 

[Benares]

D.h., du hast die "services" von unten nach oben verschoben?
Gab es dieses lK2IJy-Verzeichnis auf gleicher Ebene noch?
Geht jetzt auch die Oberfläche wieder?

Wenn man sich das genau anschaut, ist der Aufbau, bis auf die kryptischen Verzeichnisnamen für die Zertifikate, eigentlich ganz logisch.

 

[bullrin]

@Benares: genau ich hab es nach oben verschoben. Ja den Ordner gibt es.
Ich glaub ich hatte einfach die dumme Annahme gehabt, dass ich auch über IP mit https verbinden kann. Ich glaube es ging vorher schon alles wie es sollte, wenn ich z.b. über quickconnect drauf connected habe.
Jetzt hab ich ein neues Problem... Drive Share Sync funktioniert nicht mehr über SSL. Zertifikat ist ja jetzt in der Konfiguration zugewiesen.