SSH - Suche Tutoria/Hilfe zum Einbinden von CAcert .per/.crt in die Diskstation

[FischimGlas]

Hallo Zusammen,

ich setze mich gerade innig mit meiner DS-415play auseinander und habe festgestellt, dass sie sich mangels fehlender Schlüssel nicht immer mit SSL-Verbindungen auseinandersetzen will.
Da ich mit ihr aber auch von anderen DS und Servern sicher herunterladen will will ich mich schlau machen, wie man die CA-Zertifikate richtig installiert und diese Befehle dann auch per SSH steuern.
Alternativ wäre die Installation wie in einem Browser mit der Übernahme des Zertifikats per Befehl.

- Ich habe schon mal ein wenig Recherche betrieben und festgestellt, dass meine DS die Verwaltung zumindest like Firefox im Verzeichnis /usr/share/ca-certificates/mozilla/*.crt niederlegt.
- Die Zertifikate kann ich via Windows im Browser exportieren und auf die DS kopieren und dem Ordner beifügen.
- Die Rechteverwaltung via chmod klappt auch einwandfrei, ich habe die Dateien bereits angepasst.

Was mache ich jetzt um die Zertifikate zu installieren / zum Laufen zu bringen?
Ich kämpfe mich durch jedes Tutorial und hab mich auch versucht bei anderen Distributionen durchzuwühlen. Irgendwie hört sich das jedes Mal anders an macht aber irgendwie keinen Sinn oder funktioniert nicht.

Beispiele: http://askubuntu.com/questions/73287/how-do-i-install-a-root-certificate
https://www.uni-bamberg.de/fileadmin/rz/wlan/Zertifikate_manuell_importieren.pdf

 

[Matthieu]

Hallo,
mir fehlt gerade ein wenig der Hintergrund. Was genau möchtest du womit herunterladen und von wo? Wo meckert die DS über das fehlende Cert? Mir fallen nur wenige Situationen ein in denen die DS mal als Client ein Zertifikat validiert. Wenn es um die Verwendung mit dem mitgelieferten Webserver geht, gibt es dafür auch einen Assistenten innerhalb des DSM; aber deine Schilderung klingt anders.

MfG Matthieu

 

[FischimGlas]

Hallo Matthieu,
Danke für die schnelle Antwort.

Ich versuche das ohne Missverständnisse darzulegen:
Wenn ich beim Browsen bestimmte Websites besuche muss ich, wie bei meiner ds, bei https das Server Zertifikat in meinem Browser installieren/übernehmen.
Wenn ich dann über wget auf meine ds von diesen Server herunterladen will geht das nicht will die ds stellt. Keine Verbindung.

Ich vermute, das die Inhalte ssl verschlüsselt sind da mir die ds dann mitteilt das keine Verbindung möglich sei.

Was mach ich um das Zertifikat zu übernehmen.

 

[heavy]

Also du willst mittels der Download station Daten laden von Seiten die zwar https anbieten aber kein gültiges Zertifikat einer CA haben? Weil es ebenfalls Private Diskstations sind. Richtig

 

[FischimGlas]

Hallo heavy,
ja das ist richtig. Die Synchronisation klappt gar nicht. Downloads nur http. Daher denke ich das es am Zertifikat liegt.

Ich hab jetzt dieses Forum durch:
http://forum.synology.com/enu/viewtopic.php?f=36&t=93223

Demnach klappt das einwandfrei mit .crt-files.
Ich will mich nicht aussperren daher fragt ich vorsichtshalber: muss ich die Datei zu .crt konvertieren?


Mit openssl scheint einer Konvertierung nichts im Wege zu stehen.
http://stackoverflow.com/questions/642284/apache-with-ssl-how-to-convert-cer-to-crt-certificates


Woher bekomme ich das key-file? Oder brauch ich das nur auf dem server?

Weiter kann ich wohl ein offiziellen Antrag stellen um mit ein eingetragenes Zertifikat zu holen.
https://klein-gedruckt.de/2015/05/private-ca-erstellen/
Da ist dann wohl ein key file dabei.
Letsencrypt bietet so etwas wohl kostenlos an.

Oder macht für mich als dummer Anwender eine GUI wie xca mehr Sinn?

 

[FischimGlas]

Leider kann ich meinen oberen Beitrag nicht mehr editieren. Allerdings habe ich für Euch die Lösung, die ich mir selbst auch als Schema niedergeschrieben hab, parat und will sie Euch mitteilen. Sie ist eine Symbiose aus mehreren Foren minus die Lösungswege und die Diskussionen darüber. Ist getestet und validiert!

# Download the *.cer,crt,pem,whatever and leave the file as it is!


#Copy to the default folder for CA Root Certs of DSM 5.x
cp example.cer /usr/share/ca-certificates/mozilla/example.cer


#Linking to the system folder
ln -s /usr/share/ca-certificates/mozilla/example.cer /etc/ssl/certs/example.pem


#Create hashed link
cd /etc/ssl/certs
ln -s cacert-root.pem `openssl x509 -hash -noout -in example.pem`.0


#Testing
openssl verify -CApath /etc/ssl/certs example.pem
Sollte beim #Testing herauskommen, dass der Aussteller nicht validiert werden konnte (Fehler: "error 20 in line 0, cannot validate the issuer" oder so ähnlich) wird das Zertifikat trotzdem verwendet. Also die Verbindung steht. Nur ist die Verbindung trotz der Verwendung der Verschlüsselung nicht sicher gegen das Abhören (man-in-the-middle-attack). Dagegen hilft nur das Einspielen von "Ausstellern" wie sie z.B. letsencrypt.org ausstellt. Manche solcher Aussteller lassen sich das bezahlen. Manche auch nicht.


Ich bin für Fragen offen allerdings muss ich zugeben, dass ich stellenweise noch recht am Anfang stehe, was Linuxing betrifft.