SSL-Zertifikat selbst erstellen...

Status
Für weitere Antworten geschlossen.

NeroRS

Benutzer
Mitglied seit
03. Jun 2012
Beiträge
43
Punkte für Reaktionen
0
Punkte
12
Hallo Synology-User,

hat jemand schonmal die Anleitung aus dem Wiki bezüglich des eigenen Zertifikats ausprobiert?

Ich habe irgendwie probleme damit... Es funktioniert einfach nicht... Bekomme die Fehlermeldung, dass der Seite nicht vertraut wird damit nicht weg.

Gibt es irgendwelche Fehler die man relativ einfach macht, so als Anfänger? Habe mich sehr genau an die Anleitung gehalten... Bin mir aber z.B. beim 2. Punkt bei der Erstellung des Server-Zertifikats nicht sicher... Aber vielleicht habt ihr ja Tipps.

Danke schonmal...
 

oj69

Benutzer
Mitglied seit
16. Mrz 2012
Beiträge
155
Punkte für Reaktionen
0
Punkte
16
Funktioniert problemlos. Wo ist denn Problem ?
 

NeroRS

Benutzer
Mitglied seit
03. Jun 2012
Beiträge
43
Punkte für Reaktionen
0
Punkte
12
Das es überhaupt keine Auswirkungen hat bei mir... Ich mache wohl irgendwas falsch...

Generierung des Key-Zertifikats - wichtig ist hier vor allem der Common Name. Dieser muss mit dem verwendeten DNS-Namen übereinstimmen, also z.B. name.dyndns.org. Auch Wildcards wie *.name.dyndns.org sind hierbei möglich.
Dieser Punkt z.B. verstehe ich nicht ganz... Ist das der Name meiner DiskStation? Weil aus meinem eigenen Netzwerk rufe ich sie ja nciht mit dem DNS Namen auf sondern über die IP! Muss dann hier die IP eintragen?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.772
Punkte für Reaktionen
3.742
Punkte
468
Trag einfach in extfile.cnf alle Kombinationen ein, mit denen die DS in der https-URL angesprochen werden soll. Wenn sie auch über "https://<ip>" ansprechbar sein soll, gehört bei subjectAltName halt auch "IP:<ip>" mit hinein.
Zertifikate sind an den Hostname gebunden, es gibt nur einen primären Namen (Common Name, normalerweise der DDNS-Name), aber es kann mehrere Aliase geben (subjectAltName-Liste).

Gruß Benares
 

oj69

Benutzer
Mitglied seit
16. Mrz 2012
Beiträge
155
Punkte für Reaktionen
0
Punkte
16
Bekomme die Fehlermeldung, dass der Seite nicht vertraut wird damit nicht weg.
Die Fehlermeldung bekommst Du dann weg, wenn Du das von Dir erstelle CA-Zertifikat bei Deinem Browser als Stammzertifikat importierst. Die Browser akzeptieren selbst-generierten Zertifikaten grundsätzlich nicht.

Hoffe, das hilft Dir weiter.

Grüße

Oliver
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.772
Punkte für Reaktionen
3.742
Punkte
468

oj69

Benutzer
Mitglied seit
16. Mrz 2012
Beiträge
155
Punkte für Reaktionen
0
Punkte
16
So isses. Lesen hilft :)
 

NeroRS

Benutzer
Mitglied seit
03. Jun 2012
Beiträge
43
Punkte für Reaktionen
0
Punkte
12
So isses. Lesen hilft :)

Ich hab das alles gelesen und hab das auch alles so gemacht... der Fehler muss woanders liegen... Hab auch die ganzen Aliasnamen und die IP in das entsprechende File eingetragen...

Fehler muss irgendwie woanders liegen... Werds nochmal versuchen, bin aber etwas Ratlos noch...

PS: Muss im extfile.cnf der Port mit dazu über den ich gehe? nein oder?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.772
Punkte für Reaktionen
3.742
Punkte
468

NeroRS

Benutzer
Mitglied seit
03. Jun 2012
Beiträge
43
Punkte für Reaktionen
0
Punkte
12
Also: Hab es hinbekommen ;)

Der Fehler lag darin, dass mein Brwoser beim installieren des Zertifikats dieses automatisch auf nicht vertrauenswürdeig eingestuft hat, ohne mir das mitzuteilen... Eine Fehlermeldung wäre z.B. toll gewesen... :D

Naja... Trotzdem danke für die Tipps... Grüße
 

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
507
Punkte für Reaktionen
15
Punkte
44
hallo ich hab mal ne kurze zwischenfrage:
muss ich selbst generierte zertifikate nach einem firmwareupdate erneut nach /usr/syno/etc/ssl kopieren?
oder werden diese nicht überschrieben?

danke
 

Darkdevil

Benutzer
Mitglied seit
08. Feb 2013
Beiträge
507
Punkte für Reaktionen
1
Punkte
0
Würde mich auch interessieren, hab erst vor ein paar Wochen einen Thread mit 42 Beiträgen eröffnet. Diesen Horror möchte ich mir kein 2. Mal antun :)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
hallo ich hab mal ne kurze zwischenfrage:
muss ich selbst generierte zertifikate nach einem firmwareupdate erneut nach /usr/syno/etc/ssl kopieren?
oder werden diese nicht überschrieben?
Diese werden nicht überschrieben und bleiben aktiv - habe ich gerade beim Update auf die 4.2 nachprüfen können.
 

3x3cut0r

Benutzer
Mitglied seit
21. Mai 2011
Beiträge
507
Punkte für Reaktionen
15
Punkte
44
ab 4.2 kann man ja zertifikate mittels DSM erstellen. überschreiben diese dann meine selbst generierten?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
ab 4.2 kann man ja zertifikate mittels DSM erstellen. überschreiben diese dann meine selbst generierten?
Da der Server immer nur ein Zertifikat ausgeben kann, ist das wohl so - probier's einfach mal aus ;)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat