StartSSL.com Zertifikat erstellen

[bl3d2death]

Hallo... Ich versuche mir gerade ein SSL Zertifikat zu erstellen. Leider geht iwas immer schief.

Ich habe anscheinend (mit Hilfe des Tools von dort) einen privaten Key erstellt, den ich auch Online auf der Webseite entschlüsseln konnte. Nur das mit dem Zwischenzertifikat scheint nicht zu klappen. Habe zwar von IDomix das Video gesehen, nur damals sah die Seite anders aus und die Erstellung ging auch ganz anders.

Kann mir da jemand anhand der aktuellen Webseite vllt zur Hand gehen bzw. das ein wenig erläutern?

 

[waldek]

Hi,

wenn Du zufällig schon DSM6 RC installiert hast, dann erstell doch ein Zertifikat mit Let's encrypt. Ist um einiges einfacher und Du teilst "niemanden" deinen Schlüssel mit.

 

[bl3d2death]

ne hab ich nicht.

kann man das einfach installieren ohne das die einstellungen verworfen werden?

edit: probiers einfach mal ^^

 

[Frogman]

Ich habe anscheinend (mit Hilfe des Tools von dort) einen privaten Key erstellt, den ich auch Online auf der Webseite entschlüsseln konnte. ...

Wie an anderer Stelle auch schon geschrieben (leider wird das in diversen Anleitungen und auch iDomix-Videos vorgeschlagen) - den Schlüssel inkl. privaten Teil auf der Webseite erstellen zu lassen bzw. decrypten zu lassen, macht das Zertifikat praktisch wertlos.
Merke: das Schlüsselpaar gemäß Anleitung immer lokal auf DS oder idealerweise einem separaten, nicht vernetzten Rechner erzeugen und ausschließlich den CSR an die CA (hier also StartSSL) geben!

 

[bl3d2death]

mhhh.... habs nun über lets encrypt gemacht. scheint auch im browser ohne fehler nun zu laufen. nur geht jetzt webdav nicht mehr ...

und vllt noch eine frage. zum einrichten des zertifikates musste man den port 80 freigeben. kann man den danach wieder ohne bedenken schließen? oder ist das sicher den offen zu lassen??

edit: ok... die webdav zugriffsrechte wurde durch das update entfernt. geht nun wieder

 

[Frogman]

Du kannst http ja auch zwangsweise auf https umleiten lassen - da kannst Du den ruhig offen lassen. Wenn nur Du die DS-Dienste nutzt, kannst Du ihn auch schließen, aber wenn Dritte bspw. auf Deine Photo Station zugreifen sollen und Du sie mit dem Domainnamen versorgst, geben erfahrungsgemäß die Leute meist eine Adresse http://domain... ein. Ist der Port 80 dann zu, bekommen sie nur eine Fehlermeldung.

 

[goetz]

Hallo,
wenn Du den Port nicht brauchst dann mache ihn wieder dicht.

Gruß Götz

 

[bl3d2death]

wenn ich aber für das zertifikat port 80 brauche, dann kann ich den ja nicht einmal umleiten, oder? dann muss ich den 80er zur kommunikation zwischen lets encrypt und der ds ja offen lassen

 

[frankyst72]

braucht man den nicht alle 3 Monate zur Erneuerung des Zertifikates? (muss man das jetzt eigentlich per Hand machen, oder macht das die DS selbst)

 

[bl3d2death]

das wäre meine frage.... wenn es von alleine gehen sollte, muss man das ja offen lassen. wobei ich keine einstellung gesehen habe zur eigenen aktualisierung

 

[Frogman]

Man kann den Challenge Prozess von Let's Encrypt auch über Port 443 laufen lassen.

 

[bl3d2death]

ist es denn sinnvoll diesen port offen zu lassen?

 

[Frogman]

Wenn Du ihn brauchst (siehe meinen Post oben), ja - sonst nicht.

 

[sector]

Ich hab nun auch eine fRage hierzu.

Man kann das CSR direkt auf seiner Maschine erstellen.
Spielt es eine Rolle ob ich das auf meinem Mac mach oder direkt auf der DS?
Ich folge eigentlich dem Certificates Wizards komplett durch, am schluss bekomm ich auch ein Packl an CRT files.
Aber welche muss ich nun in die DSM einfügen?

 

[Fusion]

@sector - welche Dateien bekommst du denn genau?

Wo du ein CSR erstellst ist zweitrangig.

In der Syno importierst du normal das server zertifikat selbst, den privaten Schlüssel und das Intermediate der CA. Damit kann ein Browser dann später die Kette CA - CA-intermediate - server Zertifikat prüfen.

 

[sector]

Ich bekomm eine Zip, mit 4 sachen, ein Apache, IIS NGNIX (oä) und other.
In jedem dieser Ordner sind mal mehr mal weniger CRT Files drinnen.

Da auf der DS216+ ein Apache läuft bei mir habe ich das versucht.
Ist also nach deiner Erklärung das Zwischenzertifikat das von StartSSL (CA) das richtige?

 

[Fusion]

Ach ja, StartSSL hat ja auch diese zip archive umgestellt (fand ich früher einfacher)

Den privaten Schlüssel solltest du ja selber schon haben, weil du den bei Erstellung via CSR ja nicht aus der Hand gibst.
Das server crt ist normal ja nach der Domain benannt auf die das Zertifikat ausgestellt ist
Das Intermediate ist glaube in dem zip als root_bundle bezeichnet.

 

[sector]

Was ist denn der Private schlüssel? der *.key? welchen man über das openssl selbst erzeugt?
Das csr kanns ja nicht sein, oder?

Die DS verweigert mir sowohl bei dem .key als auch dem .csr die Annahme unter dem "Privaten Schlüssel"

 

[Fusion]

Ja, sollte eine key Datei sein. csr ist der Signing Request den man der CA zum signieren übergibt.
Eventuell hat er ein falsches Format, oder ist verschlüsselt.
Nach welcher Anleitung bist du vorgegangen?

 

[sector]

Ich war so frei und habe mich an das von startSSL gehalten beim "Certificate Wizard"
Please submit your Certificate Signing Request (CSR):

Generated by Myself (.cer PEM format certificate)
You can use StartComTool.exe to generate the CSR.
or use the openssl command: openssl req -newkey rsa:2048 -keyout yourname.key -out yourname.csr

Das "yourname.key" habe ich dann versucht als Privaten Schlüssel zunehmen