Kurze Frage ssl Konfiguration

[icelord]

Mal eine grundsätzliche Verständnisfrage zu ssl Verbindungen bzw. Zertifikaten.
Die derzeitige (Test-)Konfiguration:
Ich habe an meiner Synology mehrer IP Cams und kann darauf über ein iPhone zugreifen. DynDNS ist eingerichtet, ich habe ssl aktiviert, Port 5001 im Router freigegeben, der Zugriff auf den DSM und somit auf die Live Cams funktioniert problemlos.
Jetzt die Frage. Beim Zugriff auf die DiskStation über https://*******.****.***:5001 werde ich gefragt ob ich das Zertifikat akzeptiere, dies habe ich testweise getan, dann PW etc. eingegeben und es wurde erfolgreich die Verbindung hergestellt.
Ich selbst habe aber (noch) kein eigenes Zertifikat eingebunden also welches Zertifikat soll ich da akzeptieren bzw. wo kommt dieses her? Ist es ein eigenes, vorinstalliertes Zertifikat des Servers oder was genau?

 

[goetz]

Hallo,

Ist es ein eigenes, vorinstalliertes Zertifikat des Servers oder was genau?

Genau das ist es.

Gruß Götz

 

[philo]

Hallo,
Genau das ist es.

Hierzu habe ich auch eine Frage.
Kann man es dabei belassen und sich den zusätzlichen Aufwand eines eigenen Zertifikates sparen oder ist es aus irgendwelchen Gründen ratsam dieses zu ersetzen?

 

[Herbert_Testmann]

Ein eigenes Zertifikat hat den Vorteil, dass die Hinweis/Fehlermeldung beim Aufruf der https: Seite verschwindet.

Nachteil
- es kostet ca. 30,- / jahr
- es gilt nur für eine Domain (auch DynDNS). Also wenn Du Dich im lokalen Netz auf den Gerätenamen https://ds_xyz:5001 verbindest, hast Du wieder die Fehlermeldung. Die Domain im Zertifikat muss genau zu der Adresszeile passen.
- ein "richtiges" Zertifikat, bei dem die Adresszeile grün wird und das evtl. noch für mehrere SubDomain gilt, ist so ab 700,- zu haben und für privat totaler Quatsch.

Du kannst auch einfach die Seite in Deinem Browser zu den "vertrauenswürdigen Seiten" hinzufügen und so die Fehlermeldung unterdrücken.

Wenn jemand per http:// auf Deine Photosammlung oder die Mailstation zugreift, ist ohnehin alles schick. Und ob man sich Fotos per https: ansehen muss, ist noch die Frage ;-)

 

[philo]

Vielen Dank für die Erklärung!

 

[jahlives]

Du kannst bei verschiedenen Anbietern auch Gratis-Zertifikate haben (z.B. cacert.org). Dazu musst du wie im Wiki beschrieben auf der Konsole einen CSR (Key Signing Request) erstellen. Diesen übermittels du an den Anbieter. Dieser liefert dann ein CRT (Certificate) File zurück. Dieses File speicherst du auf der DS und kopierst es zusammen mit dem KEY und dem CSR File an die korrekten Stellen (sollte im Wiki stehen).
Dann hast du zumindest ein halbwegs vertrauenswürdig signiertes Zertifikat für ssl. Zum Schluss musst du noch das Root Zertifikat der Zertifizierungsstelle im Browser als vertrauenswürdig installieren. Ab dann sollten alle Warnungen weg sein.

 

[philo]

Inwiefern unterscheiden sich denn die Zertifikate (also das bereits vorhandene Synology Zertifikat und das ggf. neu zu installierende) von einander? Wenn es lediglich um das jeweilige "weg klicken" der Meldung ginge und nicht um irgendwelche Sicherheitsdefizite dann wäre es ja noch zu verkraften und man könnte es beim Synology Zertifikat belassen, oder?

 

[jahlives]

Sicherheitstechnisch dürften beide Arten gleich sein.
Ist einfach nicht so schön wenn der Zertifikat nicht auf den korrekten Host lautet resp selbst-signiert ist

 

[Herbert_Testmann]

Inwiefern unterscheiden sich denn die Zertifikate (also das bereits vorhandene Synology Zertifikat und das ggf. neu zu installierende) von einander? Wenn es lediglich um das jeweilige "weg klicken" der Meldung ginge und nicht um irgendwelche Sicherheitsdefizite dann wäre es ja noch zu verkraften und man könnte es beim Synology Zertifikat belassen, oder?

Du hast schon recht, es ist egal, welches "billige" Certifikat Du benutzt. Du musst auf jeden Fall Deinen Browser so manipulieren, dass er Deinem (woher auch immer genommenen) Certifikat vertraut.
Sinn des Certifikates ist eigentlich, dass Du Dich von einer anerkannten öffentlichen Stelle cerifizieren lässt. Also z.B am Postschalter Dein Gesicht + Ausweis vorzeigst. Dann kannst Du ein teures zertifikat kaufen und jede , der auf Deine https Seite kommt, sieht eine grüne Adresszeile und weiss, "dem kann man vertrauen. Das zertifikat ist nicht selbst gemacht, sondern Durch eine anerkannte sichere Stelle überprüft." Das kommt daher, dass die Certifikate der vertrauenswürdigen Zertifizierungsstellen in den meisten Browsern schon eingebaut sind.

 

[philo]

Ja, Ihr habt wohl recht. Ich werde mir denke ich ein ordentliches Zertifikat zulegen, jetzt habe ich an die EUR 3000,- für vernünftige IP Cams und Zubehör ausgegeben da sollte man es nicht am Zertifikat scheitern lassen und es gleich richtig machen.

 

[Herbi1966]

Hallo,

habe mir via StartSSL ein Zertifikat geholt. Auf meine DS greife ich über DynDNS via Port 7001 zu.

Woran bei mir die Übernahme der Schlüssel in die DS scheitert: die DS verlangt den Schlüssel im UTF-8 Code - was soll ich tun?

Bei meine Recherchen bin ich bisher auf keinen grünen Zweig gekommen, vielleicht kann jemand helfen?

Danke