SSL Zertifikat für FQDN und IP Adresse

[Sogg]

Tach Allerseits

Kurze Vorgeschichte:
Ich nutze die Synology quasi als Unternehmenszertifizierungsstelle. Das heisst, ich hab ne CA gemacht und dann ne Server.cer für die Synology wie im Wiki beschrieben. Dann kam mir die Glorreiche Idee das ganze weiter zu führen. Jetzt hab ich schon einige SSL Zertifikate für andere Dienste auf anderen Maschinen mit einem Zertifikat unter dem CA ausgestattet und das alles funktioniert soweit wirklich wunderbar. Macht richtig Freude.

Nun zum Problem / Frage:
Jetzt hat ja ein Server eine IP und einen Domainnamen. Kennt jemand eine Möglichkeit die beiden zu kombinieren? Also sowas wie ein Multi-Domain Zertifikat? Z.B: mit Semikolon, Koma, etc.? Ich hab zwar schon einiges durchprobiert. Bin aber leider ohne Erfolg geblieben bis jetzt und glaub langsam auch dass es mit den Bordmitteln garnicht geht.

Gruss Sogg

 

[jahlives]

Afaik werden in einem Zert keine IPs gespeichert. Über den Hostnamen wird ja eine IP eindeutig festgelegt.
Entweder du legst dir pro Host eine Zertifikat an oder du erstellst ein Zert mit Wildcards, das für alle Hosts einer Domain gelten kann

 

[Sogg]

Danke für die Antwort. Aber das Problem ist, dass es nicht immer möglich ist über den Hostnamen darauf zuzugreifen. Und wenn ich über die IP gehe möchte ich trotzdem keine Fehlermeldung erhalten. Ein zweiter Zertifikat ist nicht möglich für ein und denselben Server.

Gruss Sogg

 

[jahlives]

Danke für die Antwort. Aber das Problem ist, dass es nicht immer möglich ist über den Hostnamen darauf zuzugreifen. Und wenn ich über die IP gehe möchte ich trotzdem keine Fehlermeldung erhalten. Ein zweiter Zertifikat ist nicht möglich für ein und denselben Server.

Gruss Sogg

Mit einem DynDNS Hostnamen sollte es immer möglich sein via Hostname auf den Server zuzugreifen. Du kannst mal probieren ob du beim Erstellen des Cert unter CN (Common Name) eine IP angeben kannst

 

[Sogg]

Ja man kann eine IP eingeben. Aber ich möchte sowohl eine IP als auch ein FQDN eingeben. Und betr. DynDNS: Wie gesagt, es geht mir hier nicht um das Synology sondern allgemein um diverse verschiedene Systeme und Server.
Und wenn ich z.B. über die VPN verbunden bin gehen die FQDN nicht mehr. Dafür brauch ich dann eben die IP. Aber auch für andere Fälle.

 

[jahlives]

Alle Infos die ich so auf die Schnelle zu diesem Thema gefunden habe sagen klar, dass ein Zertifikat auf einen FQDN ausgestellt wird.
z.B.

https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=AR1115
Is a certificate tied to an IP address, domain name or a specific machine?
A certificate is tied to the exact host(www) and domain name(domain.com) that it was requested for and not an IP address. Although the certificate is not tied to the IP address a unique IP address must be assigned to the domain as SSL is IP based and does not resolve to name based virtual hosts.

 

[Sogg]

naja, bei einem professionellen zertifikatsanbieter wie thawte macht das ja auch sinn. alles andere wäre nicht mehr glaubwürdig.

 

[jahlives]

naja, bei einem professionellen zertifikatsanbieter wie thawte macht das ja auch sinn. alles andere wäre nicht mehr glaubwürdig.

Probiers doch einfach mal dir ein Zertifikat mit CN IP Adresse zu erstellen und schau dann was die Clients dazu meinen.

 

[CoRe]

Hi,
ich würde das Thema gern nochmal reaktivieren

Habe genau die gleiche Problematik bei meiner DS.

Über den FQDN komme ich ohne Meldung drauf.
Wenn ich über IP zugreifen möchte, gibts die Zertifikatsfehlermeldung.

Habe mir über openssl ein neues Zertifikat für die IP erstellt und es anschließend über den DSM importiert.

Nach einem Neustart der DS geht dann wieder nur die IP und beim Aufruf über den FQDN gibts den Fehler..

Muss doch möglich sein mehrere Zertifikate parallel von der CA ausstellen zu lassen und die dann zu nutzen.

Die Zertifikate an sich sind ja gültig, da sie von der CA ausgestellt wurden.
Aber irgendwie erkennt die CA das nicht an da nur die server.crt, server.csa und server.key geladen wird. Und die wird so wie es aussieht nach Import eines neuen Zertifikats überschrieben.

Wäre für jede Hilfe dankbar.

Gruß
Sandro

 

[Sogg]

hi sandro
der trick ist, die server.config anzupassen. folge dieser anleitung:
http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats
aber beim 3. punkt "vi server.config mit folgendem Inhalt" ersetzt du die zeilen

commonName = "6. Common Name (DynDNS) "
commonName_max = 64
commonName_default = name.dyndns.org

durch

0.commonName = "6. Common Name (FQDN) "
0.commonName_max = 64
1.commonName = "7. Common Name (IP)
1.commonName_max = 64
2.commonName = "8. Common Name
2.commonName_max = 64
3.commonName = "9. Common Name
3.commonName_max = 64

dann funktionierts. du hast jetzt in diesem fall die möglichkeit vier fqdn und / oder ip adressen zu vergeben. kannst natürlich auch nur zwei vergeben. dann lass den rest einfach frei bei der abfrage.

gruss sogg

 

[CoRe]

Hi Sogg,
danke erstmal für deine Hilfe.

Habe es nach deinen Anweisungen umgesetzt und habe trotzdem das Problem, dass die Domain nicht anerkannt wird.
Im Zertifikat stehen nun IP und FQDN drin aber die Log von Apache wirft den Fehler

[Thu Mar 31 12:02:00 2011] [warn] RSA server certificate CommonName (CN) `devcon-nas' does NOT match server name!?

Die DS hat aber bei Eingabe von hostname -f die Bezeichnung "DevCon-NAS".

Woran kann das liegen?

Gruß
Sandro

 

[Sogg]

moin sandro

sorry, da kann ich dir leider nicht weiter helfen. ich habe es jetzt schon x-mal bei verschiedenen geräten gemacht und immer ohne probleme. also gehe ich davon aus dass du irgendwo einen fehler gemacht hast, oder aber dass du bereits irgendwelche änderungen an deiner ds gemacht hast die sich jetzt nicht mit dem cert verträgt. keine ahnung. trotzdem viel glück weiterhin.

gruss sogg