Import SSL-Zertitikat

[swetzlar]

Hallo,

ich habe bei Thawte ein 123Zertifikat beantragt und soben die Freischaltung erhalten.
Ich die Möglichkeit, den Zertifikat im PKCS#7 oder im X.509-Format herunterzuladen. Zumindest steht mir der Dateiinhalt zum Kopieren zur Verfügung.
Mein Ziel ist es die Synology-Station mit einer auf mich registrieren Domain SSL-Verschlüsselt aufzurufen. Hierzu habe ich ja in den DSM-Einstellungen unter HTTP die Möglichkeit.

Meinen Private-Key habe ich erstellt.

Meine Frage ist nun:

Welches Format benötige ich für den Import?
Welche Dateiendungen muss ich vergeben?

Stefan

 

[jahlives]

Dateiendungen sind Linux und damit der DS vollkommen egal ;-)
Eigentlich müsste sich das Cert im x509-Format importieren lassen. Nur zur Sicherheit: du schreibst du hättest einen private Key erstellt. Den hast du aber schon vor der Certerstellung gemacht und daraus den CSR für Thwate abgeleitet?

 

[swetzlar]

Genau. Ich hab mit einem Windowstool den private Key erstellt. Danach das csr und es Thawte zur Zertifikatserstellung geschickt. Ich probiere es morgen aus und melde mich.
Danke schon mal

 

[matt_s]

Nicht vergessen, evtl. notwendige Zwischenzertifikate mit zu importieren.

 

[swetzlar]

Hat leider nicht funktioniert. Ich bekomme die Fehlermeldung "der private Schlüssel und das Zertifikat stimmen nicht überein".
Wie jahlives beschrieben hat, habe ich der Datei keine besondere Dateiendung verpassst. Die Dateien haben die Endung *.txt.
Das von matt_s empfohlene Zwischenzertifikat habe ich ebenfalls mit importiert. Ob mit oder ohne Zwischenzertifikat... die Fehlermeldung bleibt.
Ich importiere die Zertifikate über "Systemsteuerung - DSM-Einstellungen" richtig?

Ich habe den privaten Schlüssel mit der Software CYGWIN inkl. der Zusatzsoftware/modul Openssl Version 1.01e durchgeführt und daraus auch den CSR gebildetet, den ich dann an Thawte übermittelt habe. Ich gehe eigentlich nicht davon aus, dass das Zertifikat von Thawte nicht stimmt.

Könnt Ihr weiterhelfen?

Stefan

 

[matt_s]

Die Dateiendung ist völlig egal. Ich gehe davon aus, dass du die richtigen Dateien benutzt, aber du kannst das mit einem Texteditor verifizieren. Der Private Key beginnt mit dieser Zeile:

-----BEGIN RSA PRIVATE KEY-----

Das Zertifikat und die Zwischenzertifikate beginnen mit

-----BEGIN CERTIFICATE-----

Diese Zeilen (und die zugehörigen END-Zeilen) sind Teil des Zertifikats bzw. Keys und dürfen nicht fehlen.

Und nur zur Sicherheit: Du hast, nachdem du das Zertifikat beantragt hast, nicht noch mal einen Key erzeugt, oder?

 

[jahlives]

@matt
das gilt aber nur bei base64 encodeten crt/keys, meist im PEM Format. Gut möglich dass der TS das crt in einem anderen Format hat z.B. DER
Wenn man ein Cert im DER Format hat und PEM braucht, dann muss man das zuerst mit openssl umkonvertieren z.B.

openssl x509 -in input.crt -inform DER -out output.crt -outform PEM

Analog für Keys

openssl rsa -in input.key -inform DER -out output.key -outform PEM