SSL Zertifkat für www bei SwissSign erstellt - wie importiere ich die *.p12 datei ?

[Veraut]

Hallo,

habe mir bei SwissSign ein SSL Zertifikat erstellt, welches ich gerne auf die Synology DS415+ (DSM 6.0.1-7393 Update2) importieren würde.

Von SwissSign habe ich eine Date mit Endung *.p12 erhalten --> www.domain.eu.p12

Wie muss ich diese nun auf die Syno importieren ?
Hat jemand hierzu vielleicht eine Anleitung ?

Unter Zertifkate hinzufügen komme ich zu folgendem Fenster:



wenn ich hier diese Datei auswähle, kommt eine Fehlermeldung:



Herzlichen Dank für die Hilfe vorab
Lieber Gruss
Patrick

 

[Frogman]

Die Datei mit der Endung *.p12 ist eine Archivdatei gemäß PKCS #12, in der sowohl private key als auch Serverzertifikat plus eventuell einem Intermediate enthalten sind.
Du kannst bspw mit Openssl diese extrahieren. Versuch mal auf der Konsole der DS in einem Verzeichnis, in dem Deine www.domain.eu.p12 liegt, folgendes:

openssl pkcs12 -in  www.domain.eu.p12 -out  www.domain.eu.crt.pem -clcerts -nokeys

Damit solltest Du dann in dem Verzeichnis das Serverzertifikat im PEM-Format haben.
Danach ein

openssl pkcs12 -in www.domain.eu.p12 -out www.domain.eu.key.pem -nocerts -nodes

was Dir dazu den private key im PEM-Format liefert.

Keine Ahnung, ob da auch ein Intermediate dazugehört - da musst Du mal den Dienstleister fragen...

 

[Veraut]

Hallo,

habe leider mit der Konsole der Syno absolut keine Erfahrung und auch kein Wissen

wenn ich dich richtig verstehe, kann ich die Datei *.p12 mit openssl öffnen und erhalte dann die Schlüssel. Korrekt ?

Privater Schlüssel
Zertifikat
Zwischenzertifikat

in der grafischen Oberfläche muß cih diese dann in eine Textdatei kopieren und dann als File angeben ? welches Dateiformat muss der File dann haben ?

LG
Patrick

 

[Fusion]

Per openssl extrahierst du die einzelnen Bestandteile. In der p12 sind die alle zusammen in eine Datei geschrieben.
Ob das Zwischenzertifikat auch im p12 beinhaltet ist, können wir dir aus der Ferne nicht sagen.
Die Extrakte ala crt.pem und key.pem kannst du direkt in die Maske von Synology laden. .pem Dateien sind im ASCII Format, also reiner Text. Das spuckt openssl aber schon so passend aus.
p12 ist normal auch ASCII, wenn du das mal spaßeshalber in einem Text-Editor öffnest.

Randnotizen
https://marc.waeckerlin.org/computer/blog/install_swisssign_ssl_server_certificate_in_apache

 

[Fusion]

Weitere Links von SwissSign

FAQ
https://www.swisssign.com/faq?___store=en

Intermediate Downloads
https://swisssign.net/cgi-bin/authority/download

INteressant wäre auch, wie du dein Zertifikat erstellt hast, welches Produkt
https://www.swisssign.com/faq?___store=de&___from_store=en#faq-question-14

 

[Veraut]

okay, danke. schaut etwas komplizierter aus muß ich mir doch mehr Zeit nehmen
Hatte die Hoffnung die Daten direkt von SwiiSign verwenden zu können

 

[Veraut]

habe domain only zertifiziert

 

[Veraut]

sodala hab es mit openssl hinbekommen...war doch nicht sooo schwer
habs erfolgreich in der SYNO als Zertifkat angelegt und diese hats auch angenommen



wenn ich nun jedoch verbinde, erhalte ich im IE oben die Fehlermeldung Zertifikatsfehler

 

[Frogman]

Wenn Du lokal per LAN-IP aufrufst, ist das normal. Ruf mal von extern (bspw. Handy per Mobilfunk) mit Domainamen auf.

 

[Veraut]

Hallo,

nein, ist leider vom Handy (nicht lokal) auch nicht anders

ich habe die www.veraut.eu und diese leitet auf eine IP 80.66.xx.xx um. Die SYNO wird dann durch diese IP angesprochen.
Kann es sein, daß ich auf der SYNO irgendwo diese www.veraut.eu angeben muss ? (also dass die syno über den weburl und nicht die ip antwortet?)
Zertifiziert ist nämlich die weburl www.veraut.eu

LG
Patrick

 

[Veraut]

habe nun einen dns server eingerichtet auf der SYNO .

leider auch nicht erfolgreicher

 

[Frogman]

Wie hast Du denn beim Hoster der Domain die Verknüpfung zur (wechselnden) IP Deines Anschlusses hergestellt? DDNS im CNAME-Record?

 

[Veraut]

habe eine statische IP.
der hoster routet die www.veraut.eu an die statische IP 80.66.XX.XX weiter

auf der SYNO habe ich eingestellt, dass automatisch von http auf https umgeschalten werden soll.

SSL Zertifkat ist von SwissSign und habe das Zertifikat in der SYNO importiert.


auf der SYNO habe ich nun auch nen DNS Server eingerichtet (siehe etwas weiter oben)....aber auch das brachte keinen Erfolg

 

[Fusion]

Den Nameserver brauchst du eigentlich nicht, deine Einstellungen dazu habe ich jetzt nicht durchgegangen auf Sinnhaftigkeit. Und wenn der von außen erreichbar ist sollte man sich eh erst mit dem Thema auseinandersetzen zwecks Sicherheit.

zertifikat www.vertraut.eu ist ja auch für Standard zugewiesen. Wo landest du denn jetzt via http(s)://www.vertraut.eu ? Und was steht in der Browser-Adresszeile, etc?
Was hast du an Reverse Proxy, vHost oder Anwendungsportal benutzerdefinierte Domains für Einstellungen?
Was steht unter Externer Zugriff Erweitert?
Welche Portweiterleitungen hast du aktiv?

 

[Fusion]

Port 53 und den DNS server würde ich mal offline nehmen, außer du willst wirklich die DNS Verwaltung selbst und nicht bei deinem Provider machen. (wir sollten nur ein Problem nach dem anderen angehen und aktuell verkompliziert das alles nur)

Dass du die Zertifikatsfehlermeldung bekommst ist klar, wenn du die IP in der Adresse stehen hast. Das Zertifikat lautet ja auf den Namen www.vertraut.eu und nicht auf die IP.

Können wir mal deine Einstellungen bei deinem Hoster durchsehen? Wie hast du www.vertraut.eu auf die IP gesetzt? Ist das einfach nur ein A-Record?
Weil www.vertraut.eu landet woanders, als eine direkt Anfrage auf deine statische IP.

Bei Externer Zugriff ging es mir um den Reiter "Erweitert" und nicht DDNS.

Nachtrag: Und deine statische IP würde ich mindestens mal teilweise anonymisieren, wenn du sie nicht selbst ändern kannst, sonst hast du bald mehr Besuch als dir lieb ist.

 

[Veraut]

also die domäne www.veraut.eu ist bei world4you gekauft.
weiterleitung zur IP auch durch world4you.



sobald ich im Browser www.veraut.eu eingebe, komme ich zu dieser statischen IP, hinter welcher sich auch die SYNO verbirgt
nein www.veraut.eu (nicht vertraut) landet bei der statischen IP

ja zertifikat ist von swisssign und auf die domäne www.veraut.eu ausgestellt.

im reiter erweitert habe ich nichts eingetragen....

 

[Fusion]

ok, das ist schon das erste Problem. Du willst keine (normale http) Weiterleitung sondern einen A-Record / IP Eintrag haben.
https://faq.world4you.com/index.php?action=artikel&cat=2&id=47&artlang=de

 

[Veraut]

hab den DNS Eintrag A-record nun auf die IP 80.66.XX.XX geändert.

 

[Fusion]

ok, jetzt muss sich noch irgendwer für die URL www.veraut.eu auf der DS zuständig fühlen. z.B. unter Externer Zugriff > Erweitert eintragen.
Wenn sich nicht der system webserver drum kümmern soll müßte z.B. ein vHost in der Webstation darauf eingerichtet werden.
Oder eine Anwendung im Anwendungsportal.
Ist halt die Frage, wo du mit www.veraut.eu auf der DS landen willst.

 

[Veraut]

ich möchte mit www.veraut.eu am Webserver landen (web).

sollte dann so korrekt sein, oder ?