StartSSL fehler

[an124]

Hallo Forum,
ich bin nach dieser Anleitung http://missilehugger.com/819/ vorgegangen...
Nachdem ich nun alle drei datein in die DS importiert habe kommt nur Ungültiges Zertifikat.

Den Key habe ih auf StartSSL regeneriert, war das der Fehler?


gruß Rainer

 

[Fusion]

Was meinst du mit "regeneriert"?

Kannst du etwas mehr zur Fehlermeldung schreiben, Screenshots, ...

Stimmen z.B. die Hostnamen überein?

 

[Mike0185]

Hast du ein genaueres Fehlerbild?

Den Key sollte eigentlich deine DS erzeugen.

 

[an124]

aus startssl habe ich meinen key erzeugt, das ist vielleicht das richtige wort, wie gesagt ich bin nach obiger Anleitung vorgegangen.

@Mike mhh also irgendwie den Key von der DS bekommen und diesen dann "irgendwie" Startssl beibringen?

 

[Mike0185]

Grobes vorgehen:

- bei startssl die Domain validieren (Validations Wizard)
- verification-code bestätigen

- certificate wizard ersten schritt abbrechen (Skip)
- auf der ds über den zertifikat-manger ein CSR erzeugen
- daten im CSR richtig hinterlegen, wie bei startssl
- den CSR-Code bei Startssl im Wizard (Submit Certificate Request (CSR)) einfügen und übermitteln
- Validierte Domain auswählen (z.B. xyz.de)
- Subdomain hinzufügen (z.B. www.xyz.de)
- Zertifikat erstellen lassen
- Zertifikat als ssl.crt speichern

- im DSM-Zertifikat-Manger Zertifikat importieren
- privatekey (vom exportierten Schlüssel)
- Zertifikat (ssl.crt)
- Zwischenzertifikat von StartSLL (sub.class1.server.ca.pem)

übernehmen, fertig.

 

[Fusion]

ok, Zertifikat auf StartSSL erzeugt ist schon mal in Ordnung.

Auf welchen Domain-Namen hast du das gemacht?
Ist deine Diskstation unter diesem Namen erreichbar?

Zur Info:
Du kannst auf der DS ein Zertifikat erzeugen. Das läßt sich aber nur verwenden, wenn man eine Ausnahme im Browser anlegt beim ersten Besuch. Das Zertifikat ist nämlich von keiner öffentlichen CA für gut befunden. Abgesehen davon läßt sich damit allerdings trotzdem verschlüsselt kommunizieren.
Wenn du ein Zertifikat haben willst, das ohne Ausnahme akzeptiert wird (wobei nicht alle Browser die StartSSL-CA direkt unterstützen, aber vielleicht hat sich das auch geändert) bleibt nur der Weg über StartSSL oder ändere Anbieter. Das Zertifikat muß auf denselben Namen ausgestellt sein unter dem die DS erreichbar ist.
Ein Zertifikat welches z.B. den Zugriff via https://subdomain.mydomain.de gewährt wird nicht sauber funktionieren, wenn du die DS im lokalen Netz via https://IP oder https://diskstation ansprichst.

 

[an124]

also aus dem Internet spreche ich mein nas so an
https://sub.domain.de:5001
im lan 192.168.2....

danke für die grobe anleitung , bin gerade am probieren

 

[Mike0185]

Wie Fusion schon geschrieben hat, ist ein Zertifikat nur gültig wenn du auch der Eigentümer einer TLD (TopLevelDomain) bist, die auch auf dich registriert ist. Eine Subdomain eines DDNS-Anbieters wird nicht funktionieren da du nicht der Eigentümer der übergeordneten Domain bist.

 

[an124]

mist nun sagt startssl das meine subdomain schon vergeben ist:
A certificate with domain xyz.bla.de already exists at Class 1 level.
Please try it again and choose a different (sub) domain, upgrade your validation status to a higher level or request revocation of the existing certificate at the Tool Box.

revoke kostet geld????

domain gehört auch mir..

 

[Mike0185]

zurückrufen kostet geld, glaube 24,95 $

Schreib mal dem Support auf Englisch, die sind recht fix und schnell, vielleicht nehmen sie's dir auch so raus. Oder du schreibst sie sollen dein Account löschen. Dann kannst dich auch nochmal neu registrieren ;-)


EDIT: Sorry... Natürlich hab ich au ein Class 1 Zert, das ist ja free...

 

[an124]

ok kurzerhand neue subdomain angelegt.
nun heißt es warten:

Additional Check Required!

Warning You successfully finished the process for your certificate. However your certificate request has been marked for approval by our personnel. Please wait for a mail notification from us within the next 3 hours (the most). We might contact you for further questions or issue the certificate within that time. Thank you for your understanding!

 

[Mike0185]

Dann wart mal ab - drücke dir die daumen. bei mir gings ohne das.

Das Zwischenzertifikat findet du im übrigen hier: http://www.startssl.com/certs/

 

[an124]

so fertig nun von extern probieren

 

[Mike0185]

und?

 

[an124]

toll aus dem lan:

Fehler: Gesicherte Verbindung fehlgeschlagen







Ein Fehler ist während einer Verbindung mit 192.168.2.107:5001 aufgetreten.

Der OCSP-Server hat keinen Status für das Zertifikat.

(Fehlercode: sec_error_ocsp_unknown_cert)






Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren. Alternativ können Sie auch die Funktion im Hilfe-Menü verwenden, um diese Website als fehlerhaft zu melden.

und http hab ich nicht aktiviert im lan ;/ wie komm ich da wieder ran?

edit: über handy komm ich drauf, hab http mal aktviert

 

[Mike0185]

äh was?!

dass das zertifikat als nicht gültig anerkannt wird, wenn es auf eine domain ausgestellt ist aber du es über die interne IP aufrufst ist klar. Aus dem LAN macht es auch eigentlich kein bzw. sehr wenig Sinn die Verbindung zu verschlüsseln.

du solltest die adresse auch so aufrufen wie das zertifikat ausgestellt ist.

 

[an124]

so aus LAN via http gehts
via https kommt obrige fehlermeldung
werd es später dann von extern mit richtigen PC probieren... via handy sah es schonmal gut aus

 

[an124]

äh was?!

dass das zertifikat als nicht gültig anerkannt wird, wenn es auf eine domain ausgestellt ist aber du es über die interne IP aufrufst ist klar. Aus dem LAN macht es auch eigentlich kein bzw. sehr wenig Sinn die Verbindung zu verschlüsseln.

du solltest die adresse auch so aufrufen wie das zertifikat ausgestellt ist.

naja man konnte es ja mal probieren

aber danke für die anleitung ))))
Tasse Kaffee rüberreiche



edit: siehe anhang

 

[Mike0185]

hehe... danke!

falls dein router kein loopback unterstützt kann es sein dass du von intern nicht auf deine externe adresse zugreifen kannst. das wäre dann ein router-thema wenn du aber per handy schon das grüne schloss siehst, ist ja alles gut gegangen!

 

[an124]

so bin nun auf arbeit, ;( sobald ich von einem pc aus drauf zugreife:
Ein Fehler ist während einer Verbindung mit xxxxx.xxxx.de:5001 aufgetreten.

Der OCSP-Server hat keinen Status für das Zertifikat.

(Fehlercode: sec_error_ocsp_unknown_cert)

edit:

muss am proxy der firma liegen..
von einem anderen normalo DSL anschluss komm ich sofort auf meine DS drauf ;(

grrrrr