DSM 6.x und darunter Problem mit Zertifikat

[Raz3r]

Hallo,

ich habe das Problem, dass ich ein selbst unterzeichnetes Zertifikat nutzen möchte, um https unter Firefox zu legitimieren um nicht immer die Ausnahme bestätigen zu müssen.
Nun habe ich bei der ersten Erstellung eines Zertifikates den Fehler gemacht, den Common-Namen der DS falsch zu vergeben, so dass Firefox es nicht akzeptieren will. An und für sich kein Problem wenn ich es nur hin bekommen würde ein neues Zertifikat mit korrigierten Angaben zu erstellen. Jedes Mal wenn ich dies aber tun möchte, bringt mir der DSM den Fehler "Vorgang fehlgeschlagen. Bitte melden sie sich erneut ......."! Und dies passiert immer wieder.
Wie bekomme ich es hin das bestehende Zertifikat zu löschen um dann ein neues, korrigiertes zu erstellen?

Ich würde nur ungern den DS-Namen ändern müssen.

Danke und Grüße

 

[jahlives]

selbstunterzeichnete Zertifikate werden aber immer eine Warnung produzieren. Zumindest einmal wirst du eine Warnung bekommen

 

[Raz3r]

Hi und erst Mal vielen Dank für deine Hilfe.

Klar, dass ohne Ausnahmeregel die Warnung angezeigt wird. Allerdings kann ich meine DS nicht in die Ausnahmen aufnehmen um diese Warnung wegzubekommen. Das ist zwar kein Problem aber ein bisschen lästig.
Wenn ich mich einfach zu doof anstelle, die Ausnahme richtig einzustellen, bitte ich um eine Anleitung wie Ihr das für Euch realisiert habt.

Grüße

 

[Frogman]

Generiere doch die Zertifikate nicht über die GUI, sondern halte Dich an die Wiki-Anleitung http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats (das Ganze dann auf der Console). Dieses Zertifikat kannst Du dann über das jetzt installierte importieren (anstelle des "Austauschs der Dateien" im Wiki).

 

[Raz3r]

Hallo und Dnake für dier Info.

Hab jetzt mal das ganze durchgeführt. Nun habe ich das Problem, dass beim Export des Zertifikats in den Ordner public dieser bei mir nicht vorhanden ist. Auch nach dem ich den Pfad angepasst habe und das Zertifikat nach /volume1/download ausgeben lassen wollte, ist es dort nicht vorhanden.

Jetzt kann ich mich natürlich nicht mehr per Browser auf dem DSM anmelden. Vielleicht kann mir ja jemand helfen.

Danke und Gruß

Jan

 

[Frogman]

Wieso kannst Du Dich nicht mehr anmelden?

 

[Raz3r]

Ich habe zwar das Zertifikat installiert, es kommt jetzt allerdings

Fehler: Gesicherte Verbindung fehlgeschlagen

Ein Fehler ist während einer Verbindung mit 192.168.178.32:5001 aufgetreten. Das Zertifikat der Gegenstelle hat eine ungültige Signatur. (Fehlercode: sec_error_bad_signature)

Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren. Alternativ können Sie auch die Funktion im Hilfe-Menü verwenden, um diese Website als fehlerhaft zu melden.

Somit ist wohl irgendwo ein Fehler.
Ich habe auch schon daran gedacht, einfach die alten Dateien aus dem bak-Ordner wiederherzustellen, weiß allerdings nicht, wie ich das mache. Ich denke mit cp -f müsste es gehen. Vlt. kannst du mir ja mit den Befehlscodes helfen?
Wäre super!

Danke und Gruß

 

[Frogman]

Also, Du solltest Dich lokal einfach mal über http (also Port 5000) an der DS anmelden. Dann schau erst einmal, dass Du Dir einen public-Ordner anlegst (oder einen anderen, in den Du die zuvor generierten Zertifikatsdateien kopieren kannst). Dann spielst Du das neue Zertifikat über die GUI des DSM ein.

 

[Raz3r]

Genau hier ist das Problem. Ich möchte mich über Firefox anmelden, kann aber nicht aufgrund der o.g. Meldung.
Das Zertifikat habe ich installiert.

Fehler: Gesicherte Verbindung fehlgeschlagen

Ein Fehler ist während einer Verbindung mit 192.168.178.32:5001 aufgetreten. Das Zertifikat der Gegenstelle hat eine ungültige Signatur. (Fehlercode: sec_error_bad_signature)

Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren. Alternativ können Sie auch die Funktion im Hilfe-Menü verwenden, um diese Website als fehlerhaft zu melden.

Es werden alle Verbindung automatisch auf https umgeleitet.
Kann ich das via putty rückgängig machen?

 

[Frogman]

Das Zertifikat habe ich installiert.

Oben hattest Du doch geschrieben, Du konntest nicht mal die Zertifikatsdateien in ein public-Verzeichnis kopieren?!
Keine Ahnung, was Du jetzt überhaupt schon alles gemacht hast. Ist irgendwie Stochern im Nebel, wenn Du hier nur die Hälfte schreibst. Ich an deiner Stelle würde über einen einmaligen Reset die DSM-Einstellungen zurücksetzen (siehe Wiki) und dann nochmals das aktuell im DSM befindliche Zertifikat löschen sowie das jetzt neu erzeugte einspielen.

PS: Und ein Tipp: solange man an den Zertifikaten herumspielt, sollte man die Umleitung von http auf https sinnvollerweise deaktivieren

 

[Raz3r]

Jaaaaa, hätte ich machen sollen!
Das Zertifikat habe ich genau nach der Wiki-Anleitung installiert und auch ausgeben können.
Wollte den REset eigentlich vermeiden!

Ich habe ja die ursprünglichen Zertifikate gesichert.

So, ich habe mein Problem nun etwas eleganter und für mich weniger einschneidend gelöst.
Dieser Anleitung folgen und dann hat man wieder die ursprünglichen und von Synology erstellten Zertifikate:

1. Via putty auf die DS als root zugreifen

2.

rm /usr/syno/etc/ssl/ssl.crt/*.crt

rm /usr/syno/etc/ssl/ssl.csr/*.csr

rm /usr/syno/etc/ssl/ssl.key/*.key

Die o.g. Befehle löschen die selbst erstellten und nicht funktionierenden Zertifikate

3.
Die Diskstation mittels

reboot

neu starten.

4.

/usr/syno/etc/rc.d/S97apache-sys.sh restart

Dieser Befehl sorgt dafür, dass die ursprünglichen Zertifikate wiederhergestellt werden.

5.
Jetzt solltet ihr wieder Zugriff auf eure DS haben (mit dem ursprünglichen blabla bez. der unsicheren Verbindung)