Selbst erstelltes Zertifikat löschen

[Bergischer Jung]

Hallo Zusammen,

ich habe mir gemäß der Anleitungen hier im Forum ein eigenes SSL-Zertifikat erstellt und auf der DS installiert.
Frage: wie kann ich es wieder von der DS löschen?

Unter der Überschrift finde ich zwar einige Beiträge, aber in keinem wird es tatsächlich erklärt. Wäre schön, wenn mir jemand einen Tipp geben könnte.

Beste Grüße vom Bergischen Jung

 

[Frogman]

Im Prinzip brauchst Du nur die entsprechenden Zertifikat-Dateien löschen (die Pfade und Dateinamen findest Du ja im Wikiartikel). Stattdessen solltest Du aus dem Backupordner wieder die Synology-Standards an den alten Ort zurückkopieren, damit der Server das generische SSL-Zertifikat ausliefern kann.

 

[Bergischer Jung]

Hallo Frogman,

vielen lieben Dank für die Antwort. Da ich erst jetzt aus einem Auslandsaufenthalt zurück gekehrt bin, kommt mein Dank leider sehr spät.
Ob es dann funktioniert hat, vermelde ich später, da ich mit dem Terminal schon damals so meine Probleme hatte.

Bis dann.... und beste Grüße

der Bergische Jung

 

[steini01]

Hatte das Problem Ende März. Nachdem ich mir neue Zertifikate erstellt habe lief mein DSM nicht mehr richtig. Es wurde empfohlen, den Support zu kontaktieren.

Hier die Antwort:

If you're able to SSH/telnet to your DS with root account and password (same as admin's), pleas try following commands to restore default certificate to see if you're able to access your DS.
DS-Test> cd /usr/syno/etc/ssl/
DS-Test> mv ./ssl.crt/server.crt /volume1/web/
DS-Test> mv ./ssl.key/server.key /volume1/web/
DS-Test> ./mkcert.sh

Hat bei mir sehr gut geholfen

Gruß Steini01

 

[BitPipe]

Hallo zusammen,
ich greife diesen Beitrag auf, weil es so gut passt und frage Euch um Rat.

Hintergrund: Habe auch wie der Bergische Jung ein eigenes Zertifikat erstellt, nur mal so.Mit dem Nachteil, dass sämtliche Browser nun rumzicken und Warnungen rausgeben, wenn man sich per https auf die Synology einloggen will.

Also will ich das Synology Zertifikat wieder herstellen

Ich habe die oben genannten Befehle ausgeführt

DS-Test> cd /usr/syno/etc/ssl/
DS-Test> mv ./ssl.crt/server.crt /volume1/web/
DS-Test> mv ./ssl.key/server.key /volume1/web/
DS-Test> ./mkcert.sh

Wobei ich die Verzeichnisse nicht nach Volume1/web kopiert habe, sondern in ein backup Verzeichnis in /usr/syno/etc/ssl

Soweit hat es gut geklappt, auch das Shell Skript mkcert lief sauber durch.
Nach Neustart der DS wird folgendes im Bereich Zertifikate angezeigt:

Status: Selbst unterzeichnetes Zertifikat
ausgestellt für: synology.com
Ausgestellt von: Synology Inc CA
Verfallsdatum: 2034
Algorithmus: SHA256

Nach aktivieren der https Funktionalität bekomme ich aber wieder die gleichen Warnungen bei allen Browsern, wie bisher: Unsicherere Seite, etc.

Der Status ist scheint mir nicht richtig zu sein, "Selbst unterzeichnetes Zertifikat". Ist ja nun wieder ein synology Zertifikat.
Muss ich den Schlüssl noch exportieren oder sonst noch irgendwo hin kopieren?
Oder habe ich noch was falsch verstanden oder übersehen?

Danke schon mal im Voraus.


Meine DS: Modell DS211j / DSM Version: DSM 5.1-5004 /

 

[fpo4711]

Hallo,

völlig richtig. Es ist nämlich ein selbstsigniertes Zertifikat. Einfach im Browser das Zertifikat unter Vertrauenswürdig importieren und es ist Schluß mit den Warnmeldungen.

Gruß Frank

 

[BitPipe]

Hallo Frank,
besten Dank für die schnelle Hilfe. Ok, heißt also Folgendes:

1. ein "wiederbelebtes" Synology Zertifikat (mit der oben genannten Prozedur) stammt zwar von Synology, ist dann aber nicht von Synology signiert, sondern vom Root user. Somit erkennt der Browser dieses Zertifikat nicht an, da nicht öffentlich bekannt signiert.

Man kann dann in den eignen Browsern das neue Zertifikat vertrauenswürdig importieren(wie auch immer). Das löst dann die Probleme auf den lokalen Rechnern. User, die sich von ausserhalb einwählen, müssen dass ebenfalls tun, sonst gibt's die bekannten Probleme.

2. Eine Alternative wäre dann nur ein neues, irgendwie dem Browser als vertrauenswürdig bekanntes Zertifikat zu importieren.
Dieses kann man vermutlich bei Anbietern im Netz erwerben.
Wo auch immer, hab ich noch nicht recherchiert.

Passt das so?

Ach ja: der Grund für der Wunsch nach einem von akzeptierten Zertifikat ist, dass die Video Station die Filme zwar anzeigt, aber unter https nicht abspielt, wenn das Zertifikat nicht als vertrauenswürdig ist. Somit muß sich jeder externe User die Seite als vertrauenswürdig im Browser konfigurieren, bevor er sich Filme ansehen kann. Meine Bekannten und Freunde sind damit leider überfordert...

Gruss, Ulrich

 

[Frogman]

So grob passt es, mit einer Anmerkung: auch das DS-Zertifikat out of the box nach einer neuen Installation ist nicht vertrauenswürdig, da eigensigniert von Synology. Du stehst jetzt also genau dort, wo Du auch achon vor dem Versuch mit Deinem eigenen Zertifikat gestanden hast.

 

[BitPipe]

@ Frogman: Genau, an dem Punkt war ich schon. Aber hab was dazugelernt, und des Zertifikat wird nicht bald depriciated (SHA-1). Zurück auf Auslieferungsstatus kommt man wohl nicht.

Zu blöd, aber sich immer umfänglich über alles klar zu werden, bevor man was macht geht einfach auch nicht.

Mal sehen, vielleicht frag ich mal den Synology Support, ob die da was machen können / wollen / dürfen....

 

[Peter_Lehmann]

Hallo BitPipe,

vielleicht noch einmal deutlicher.
Auch der Synology-Support wird dir nicht helfen können. Oder doch, indem er dir den Hinweis gibt, zu einem etablierten TrustCenter zu gehen, dessen Herausgeberzertifikat(e) in den üblichen Browsern von Hause aus importiert sind, dort ein paar €nen über den virtuellen Tresen zu reichen und dir ein eigenes Serverzertifikat zu kaufen. Oder du findest einen Billigheimer, der es wie auch immer geschafft hat, in den Browsern gelistet zu sein und der dir die Zertifikate "für lau" gibt.

Das in unseren DS vorhandene Zertifikat stammt nicht etwa von Synology (von der CA der Firma Synology), sondern es wird von jeder DS irgendwann (beim ersten Start?) mit Hilfe von openSSL und einem angepassten Script, welches die Zertifikatsdaten ("Fa. Synology") in das Zertifikat schreibt, selbst erzeugt. Es gibt also nicht einmal eine gesonderte CA, welche dieses Zertifikat signiert. Wie der Name schon sagt, signiert sich dieses Zertifikat selbst. => für eigene Anwendungen ausreichend, für "Öffentlichkeit" (Bekannte, Freunde ...) schon weniger, für Firmen (mit öffentlichem Zugriff aus dem INet) absolut nicht angemessen weil wenig vertrauenserweckend.

Selbst wenn die Firma Synology evtl. für internen Gebrauch eine eigene CA hat, nutzt dir das wenig. Auch wenn du auf deren Webseite das CA-Zertifikat herunterladen könntest (bei einer seriösen CDA üblich) ist dieses ja ebenfalls in keinem mir bekannten Browser von vorn herein installiert. Also gleicher Effekt.

Vorschlag für Problemlösung, völlig ausreichend für "privat" mit "kleiner Öffentlichkeit" (außer dem Kauf eines Zertifikates):
Du setzt dir mit einem der bekannten und frei verfügbaren Tools (XCA, Tiny-CA oder per Konsole und openSSL) zuerst eine eigene CA auf. Und dann lässt du dir von dieser das Serverzertifikat signieren. Und das eigene CA-Zertifikat veröffentlichst du mit einer kleinen Anleitung auf deiner Webseite oder du verschickst beides an deine Freunde per Mail. Heruntergeladen und in wenigen Sekunden in den Browser (der Nutzer) installiert, und fertig ist die Laube.

OK?

MfG Peter