SSL Zertifikat mit StartSSL

[rauppe31]

Hallo Zusammen

Ich habe mich jetzt bei StartSSl registriert und habe auch schon die E-Mailadresse von meiner Domain bestätigt.

Jetzt muss ich ein Zertifikat erstellen.

Ich frage mich jetzt aber, welches ich für den Synology DSM nehmen soll:



Vielen Dank für eure Hilfe.

 

[CaptainKrunch]

Das Webserver Cert

 

[rauppe31]

OK. Dann versuche ich es mal mit dem.

Wenn ich nicht mehr weiter komme melde ich mich.

 

[rauppe31]

Hat alles super geklappt.
Dachte nicht, dass das so schnell gehen würde.

 

[voter]

Hast du jetzt auch das Problem, dass dein Browser "meckert", wenn du aufs DSM, welches jetzt ein für eine Domain (Zugriff von extern) ausgestelltes Zertifikat installiert hat, per LAN zugreifst?

 

[rauppe31]

Ja, das ist bei mir auch so. (Natürlich nur, wenn ich über SSL zugreifen will)

Das ist, weil der Hostname (deine interne IP) nicht mit dem vorgegebenen Hostnamen (bei mir naefmarco.ch) übereinstimmt.

 

[ubuntulinux]

Wenn man StartSSL benutzt, muss man noch das Intermediate und ca-Zertifikat einbinden, zb so:

SSLCertificateChainFile /usr/syno/etc/ssl/sub.class2.server.ca.pem
SSLCACertificateFile /usr/syno/etc/ssl/ca.pem

Das in die Apache-Konfigurationsdateien einfügen und die Files an den richtigen Ort kopieren. Benutzt aber beim Free-Startssl die sub.class1.server.ca.pem. Class2 ist für bezahlte Zertifikate.

 

[rauppe31]

Aber bei mir läuft es ja jetzt.
Kannst ja mal probieren, ob eine Fehlermeldung kommt: Link

 

[ubuntulinux]

Läuft soweit, sollte man aber trotzdem einbinden. Kann auch sein dass man das Zertifikat im Cache hat und darum kein Fehler angezeigt wird.

 

[voter]

Ja, das ist bei mir auch so. (Natürlich nur, wenn ich über SSL zugreifen will)

Das ist, weil der Hostname (deine interne IP) nicht mit dem vorgegebenen Hostnamen (bei mir naefmarco.ch) übereinstimmt.

Ja ich weiss und genau das nervt mich etwas. Hatte diesbezüglich auch mal ein eigenes Topic 2-SSL-Zertifikate - https Zugriff über LAN und Internet - StartSSL gestartet, welches mich, trotz engagierter Hilfe der Synology-Forumsgemeinde, nicht wirklich weiter gebracht hat.
Hab es dann aufgegeben, denn anscheinend ist es wirklich nicht möglich 2 verschiedene Zertifikate, eins für LAN und eins fürs den externen Zugriff von aussen, lauffähig zu machen.

Vielleicht weiss hier jemand doch eine "einfache" Möglichkeit dieses Problem zu lösen!?

Wenn man StartSSL benutzt, muss man noch das Intermediate und ca-Zertifikat einbinden, zb so:

SSLCertificateChainFile /usr/syno/etc/ssl/sub.class2.server.ca.pem
SSLCACertificateFile /usr/syno/etc/ssl/ca.pem

Das in die Apache-Konfigurationsdateien einfügen und die Files an den richtigen Ort kopieren. Benutzt aber beim Free-Startssl die sub.class1.server.ca.pem. Class2 ist für bezahlte Zertifikate.

Wärst du so nett und würdest kurz beschreiben, warum man das machen soll/muss? Lieben Dank im Voraus!

 

[rauppe31]

Irgendwie funktioniert das ganze so nicht.
Nach einem Neustart habe ich wieder das alte Zertifikat von Synology drin
Was mache ich falsch???

 

[ubuntulinux]

Das intermediate und ca-Zertifikat sollte man einbinden. Einige Browser haben das Zertifikat zB nicht cached, dann wird es als ungültig angezeigt. Sollte man immer einbinden, das steht auch bei StartSSL so.

 

[rauppe31]

Wenn man StartSSL benutzt, muss man noch das Intermediate und ca-Zertifikat einbinden, zb so:

SSLCertificateChainFile /usr/syno/etc/ssl/sub.class2.server.ca.pem
SSLCACertificateFile /usr/syno/etc/ssl/ca.pem

Das in die Apache-Konfigurationsdateien einfügen und die Files an den richtigen Ort kopieren. Benutzt aber beim Free-Startssl die sub.class1.server.ca.pem. Class2 ist für bezahlte Zertifikate.

Dann probiere ich das einbinden heute mal aus.

Kann es eigentlich sein, das dies ein Bug im DSM 4 ist?

 

[rauppe31]

Habe das jetzt so eingebunden.

Jetzt funktionierts auch nach einem Neustart.
Danke

 

[MattDS]

frage: was hast du als domain angegeben?

 

[ubuntulinux]

Wo?

 

[rauppe31]

Wo soll ich eine Domain angegeben haben? Bei StartSSL?

 

[MattDS]

Ja, wollte mir gestern ein Zertifikat erstellen und für das Webserver Zertifikat wird eine Domain benötigt.
Ich benutze eine dynamische von "mine.nu" leider ist es damit nicht möglich das Zertifikat zu erstellen.

Die Frage ist, hast du eine "richtige" Domain dafür registriert? Oder wie bist du vorgegangen.

Gruß

 

[rauppe31]

Ja, ich habe eine "richtige" Domain registriert.

Ohne funktioniert es glaub nicht.

 

[ubuntulinux]

Geht nicht mit Subdomains, deren Domain nicht dir gehört Nimm dir sonst ne gratis-Domain von dot.tk. Mit denen sollte es gehen.