Hallo Daniel,
ich befürchte, dass du das mit den X.509-Zertifikaten noch nicht so richtig verstanden hast. (=> Export des privaten Schlüssels ... .)
Wenn ich bei Systemsteuerung > DSM-Einstellungen > Zertifikat auf "Zertifikat exportieren" gehe, bekomme ich nur .cert-Dateien, mit denen Thunderbird nichts anfangen kann
Das stimmt natürlich nicht. Unser Thunderbird kann mit allen Exportformaten für Zertifikate umgehen. Egal, ob binär codierte oder ASCII-Format (.cer, .der, oder .pem), der Thunderbird nimmt alle an. Dein Problem ist, dass der Thunderbird (wie jedes korrekt mit X.509-Zertifikaten arbeitende Programm) den vollständigen "Vertrauensbaum", beginnend vom so genannten "Vertrauensanker" (=> das ist das Herausgeberzertifikat, mit welchem das Nutzer- oder Serverzertifikat signiert wurde) benötigt. Diesen zuerst unter "Zertifizierungsstellen" importieren und danach mit "Bearbeiten" das Vertrauen aussprechen. Danach werden alle Zertifikate, welche von diesem Herausgeberzertifikat signiert wurden, als vertrauenswürdig betrachtet. Am einfachsten geht das natürlich, wenn du die Serverzertifikate gleich unter "Server" importierst. (Im Prinzip also identisch bei den Zertifikaten für S/MIME).
Dein Problem: Dein Syno-Zertifikat ist eines, welches vom Gerät selbst erzeugt und auch selbst signiert wurde. Du hast also kein eigenes "echtes" Herausgeberzertifikat.
(An dieser Stelle eine Einschränkung: Ich habe das vom Gerät selbst erzeugte nicht mehr, weil ich es durch ein anderes ersetzt habe. Deswegen kann ich das folgende nicht belegen!)
Du
kannst versuchen, das exportierte Zertifikat [wir sprechen hier immer noch vom Zertifikat (nur der öffentliche Schlüssel), also .cer, .der, oder pem - ohne den privaten Schlüssel!] im Thunderbird als Herausgeberzertifikat zu importieren und ihm das Vertrauen aussprechen. Danach
kannst du versuchen, das gleiche Zertifikat noch unter "Server" zu importieren. Was davon funktioniert, ist in den im Zertifikat eingetragenen Verwendungszwecken festgelegt. (Und das kann ich eben nicht mehr prüfen.)
Wenn beides funktioniert, wars das, und auch noch mit der in diesem Falle saubersten Lösung (Ein "in-etwa-Vertrauensbaum").
Wenn das nicht funktioniert (wegen unternommener Einschränkungen im Verwendungszweck) dann
kannst du zumindest versuchen, dieses Zertifikat nur unter "Server" zu importieren, und ihm dort das Vertrauen auszusprechen. Das entspricht in etwa den (unsauberen) "Ausnahmeregeln".
Was du
keinesfalls machen darfst ist, von deinem Server (der DS) den privaten Schlüssel zu holen!!! Dieser gehört dem Server und er hat sonst nirgendwo gespeichert zu sein! Außer natürlich bei "richtigen" gekauften Zertifikaten
in einem sicher angelegten Backup.
Ich mache es so:
Ich betreibe schon viele Jahre eine (gar nicht mehr so) kleine "Privat-CA", wo ich für sicherheitsbewusste User jedes Jahr eine ganze Menge Zertifikate für S/MIME, diverse VPN und Server herstelle. Und für Server produziere ich in der Regel Zertifikate mit zwei Adressen (alternative subject name): intern und mit dem Dyn-DNS-Namen. Und dabei liefere ich natürlich auch die Zertifikate des Herausgebers mit, so dass diese sauber in die Browser und Mailclients importiert werden können.
Aber so viel Mühe musst du dir nicht machen. Mit openssl kannst du nach etwas Einarbeitung genau den gleichen Effekt erreichen.
Und noch eines:
Wenn du
eine vollständige Schlüsseldatei (also Zertifikat + privatem Schlüssel, .p12 oder .pfx) zu irgend einem Dienstleister per Internet verschickst, dann kannst du den privaten Schlüssel auch gleich an die NSA schicken. Oder besser noch, auf SS/TLS gleich verzichten. Solltest du - warum auch immer - mal die Notwendigkeit für eine Konvertierung haben, dann solltest du dieses auch lokal auf deinem Rechner mit openssl machen.
OK?
MfG Peter
