StartSSL Zertifikat erstellen, ich kapiers nicht :-/

Status
Für weitere Antworten geschlossen.

iLion

Benutzer
Mitglied seit
07. Okt 2008
Beiträge
355
Punkte für Reaktionen
4
Punkte
18
Was mir heute noch aufgefallen ist: es reicht nicht das Zertifikat einfach nur einzulesen, die verschiedenen Pakete müsse u.U. auch noch neu gestartet werden. Alternativ die ganze DS. Mein StartSSL Zertifikat war heute abgelaufen und ich habe mir ein neues erstellt und importiert. Dennoch meckerte z.B. mein eMail Programm weiterhin ein ungültiges Zertifikat an. Ebenso der Cloud Station Client. Erst nachdem ich die Pakete manuell gestoppt und wieder gestartet hatte, waren die Verbindungen ok. Letzten Endes habe ich die ganze DS noch einmal neu gestartet, um die anderen Pakete nicht auch noch alle starten und stoppen zu müssen.
 

bvrulez

Benutzer
Mitglied seit
19. Feb 2014
Beiträge
292
Punkte für Reaktionen
0
Punkte
0
Hallo iLion,

kannst Du mir erklären, wie genau Du Dein Zertifikat von der Syno mit StartSSL kombiniert hast?

Ich steige beim Zertifizieren überhaupt noch nicht durch. Ich habe eine Domain bei Strato, weil ich über die Syno meinen eigenen Mailserver laufen lasse. Mails werden von der Syno versendet, an den Remote-Mailserver von Strato. Mails kommen im Strato Postfach an und werden auf den Syno-Server weitergeleitet. Der verteilt dann per IMAP auf meine Clients. Versendet ein Client, dann sendet er zur Syno.

Ich habe ein Zertifikat erstellt mit meinedomain.de. Jetzt bekomme ich oft den Fehler, dass Hostname nicht zum Host passen würde. Daraufhin habe ich versucht www.meinedomain.de auch extra noch anzugeben bei der Erstellung des Zertifikats, um mit www und ohne www abzudecken. Das ging aber nicht, weil das root und das serverzertifikat nicht gleich sein können.

Wie auch immer. Ich würde gern dieses selbst erstellte Zertifikat für meine domain von StartSSL unterschreiben lassen, damit es weniger Probleme gibt (Browser, CalDAV, CardDAV, etc.)

Ich danke Dir!
Ben
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Du kannst Dir doch einfach auf der DS ein Zertifikat auf die Subdomain 'www.meinedomain.de' erzeugen inkl. einem CSR dafür. Damit holst Du Dir bei StartSSL ein kostenloses Class1-Zertifikat - was den Vorteil besitzt, dass neben der Subdomain 'www.meinedomain.de' automatisch auch immer der Domainname 'meinedomain.de' mit im Zertifikat enthalten ist.
 

bvrulez

Benutzer
Mitglied seit
19. Feb 2014
Beiträge
292
Punkte für Reaktionen
0
Punkte
0
Hey Frogman, danke für die Antwort! Schonmal ne gute Info mit den Subdomains. Aber wie genau mache ich das? Ich hab mich bei StartSSL registriert und so eine Art Zwischenzertifikat in den Firefox geladen. Und nun? Muss ich jetzt im Certificates Wizard ein neues Zertifikat anfordern, oder mein in der Syno generiertes Paar aus Zertifikat und Kennwort benutzen? Und wenn zweitens, was poste ich dann in das Feld, was anschließend abgefragt wird?

EDIT: Ich hab's glaube jetzt. Man exportiert eine Zertifikatsanfrage von der Syno, die besteht aus zwei Dateien. Man wählt SSL/Web, skipt den Schritt wie beschrieben und kopiert manuell den Text des Zertifikaterequests server.csr vom Rechner in die Box im Browser. Dann klickt man sich durch bis man zum Schluss wieder manuell ein ssl.crt erstellt und die beiden zusätzlichen Dateien runterläd. Diese drei muss man in die Syno importieren. Dabei ist der private Schlüssel wohl der eigene server.key, das Zertifikat ist ssl.crt und das Zwischenzertifikat heißt sub.class1.server.ca.pem.

Wobei meine Syno jetzt schon minutenlang rechnet und sich nichts tut... Scheinbar hat das auch Auswirkungen auf die bestehende PPTP-Verbindung, die ist jetzt abgebrochen und bisher noch nicht wieder herstellbar. Weiß nicht, ob ich die Zertifikate vertauscht habe, aber anders lies sich nichts importieren.
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Ich hab mich bei StartSSL registriert und so eine Art Zwischenzertifikat in den Firefox geladen. .
Da geht's nur darum, dass Dein Account bei StartSSL über ein Zertifikat im Browser verknüpft wird - nur damit kannst Du Dich auf den Account einloggen.
EDIT: Ich hab's glaube jetzt. Man exportiert eine Zertifikatsanfrage von der Syno, die besteht aus zwei Dateien. Man wählt SSL/Web, skipt den Schritt wie beschrieben und kopiert manuell den Text des Zertifikaterequests server.csr vom Rechner in die Box im Browser. Dann klickt man sich durch bis man zum Schluss wieder manuell ein ssl.crt erstellt und die beiden zusätzlichen Dateien runterläd. Diese drei muss man in die Syno importieren. Dabei ist der private Schlüssel wohl der eigene server.key, das Zertifikat ist ssl.crt und das Zwischenzertifikat heißt sub.class1.server.ca.pem..
Yep, das hättest Du weiter vorne auch so nachlesen können - schön, wenn Du es auch selbst erarbeitet hast ;)
 

bvrulez

Benutzer
Mitglied seit
19. Feb 2014
Beiträge
292
Punkte für Reaktionen
0
Punkte
0
Ja, danke! :) Läuft jetzt mit "Fremdzertifikat StartCom Class 1 Primary Intermediate Server CA". Wenn ich mich per Tunnel einwähle und dann über 10.0.0.0 zugreife gibts natürlich wieder erst ne Meldung. :) Aber auf allen Clients sollte es jetzt ja problemlos möglich sein CardDAV etc. zu benutzen. Werde ich auf dem Nexus gleich nochmal testen. Danke jedenfalls für den Hinweis, manchmal braucht man ja nur einen kleinen Tipp, dass man sicher ist, dass es so laufen kann.
 

haukilein

Benutzer
Mitglied seit
11. Jul 2015
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

bei mir klappt es mit dem Zertifikat von StartSSL.com nicht. Letztlich scheitert es trotz tagelanger Durchsicht der Beiträge sowie des Netzes daran, dass ich als IT-Laie nicht weiß, was das Richtige zu tun ist. Vielleicht könnt ihr es mir sagen.

Meine Ausgangsbasis:
• Habe eine Domain „www.mydomain.de“ bei meinem Provider (1&1) mit Hosting-Paket, Subdomains inklusive,
• Externer Zugriff auf die DS via ddns-Adresse läuft. Sie hat keine eigene IP, bekommt im Netzwerk aber immer ein feste vom Router (FritzBox 7360SL) zugewiesen. Gebe ich https://myname.ddns.net:5001/ ein, so wird zwar gesagt, dass ein Problem mit dem Sicherheitszertifikat der Website besteht, aber durch weiter klicken komme ich auf meine DS Anmeldeoberfläche,
• Nun habe ich eine Subdomain erstellt, die lautet „nas.mydomain.de“, über die dann die DS erreichbar sein soll. Ich habe dazu in einer „index.html“ eine Frame-Weiterleitung auf die o. a. ddns-Adresse hinterlegt, so dass nun auch „nas.mydomain.de“ bereits in der Browserzeile stehen bleibt,
• Bei StartSSL.com habe ich mir nach der Anleitung des auch hier oft zitierten Videos auf Youtube ein kostenloses SSL-Zertifikat erstellt und es in der DS hinterlegt, inklusive Zwischenzertifikat. Es gilt für www.mydomain.de sowie auch für http://nas.mydomain.de.

Wenn ich mit Stand heute im Browser http://nas.mydomain.de eingebe, so kommt die Fehlermeldung, dass die Seite nicht angezeigt werden kann. Zertifikat sei nicht vertrauenswürdig etc.

Nun weiß ich aber nicht was weiter noch zu tun ist? Muss ich jetzt in der Tat die hier so oft zitierte Anleitung aus dem WIKI durchführen? Dabei ist mir nicht ganz wohl, da ich keine Erfahrung damit habe und schon nicht einmal weiß, wie die Kommandozeile der DS zu erreichen ist.

Es wäre toll, klasse, erste Sahne, wenn mir jemand von Euch sagen kann, wie ich ans Ziel komme!!

Danke vorab.
haukilein


PS: Bin Neuling hier und hoffe nun nicht gleich gegen irgendwelche Regeln im Forum verstoßen zu haben. Falls ja bitte sagen.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
• Nun habe ich eine Subdomain erstellt, die lautet „nas.mydomain.de“, über die dann die DS erreichbar sein soll. Ich habe dazu in einer „index.html“ eine Frame-Weiterleitung auf die o. a. ddns-Adresse hinterlegt, so dass nun auch „nas.mydomain.de“ bereits in der Browserzeile stehen bleibt,
Hier solltest Du nicht mit so etwas wie Frame-Weiterleitung arbeiten. Das einfachste Vorgehen ist üblicherweise, dass Du die DDNS-Adresse als CNAME-Record in den DNS-Einstellungen der Subdomain einträgst, mit der Du auf die DS zugreifen willst, also bspw. für nas.mydomain.de. Das sorgt dafür, dass für die IP-Auflösung bei Eingabe von nas.mydomain.de unter der DDNS-Adresse nachgeschaut wird, so dass Du damit automatisch bei Dir landest. Dabei bleibt nas.mydomain.de in der Adresszeile stehen.
• Bei StartSSL.com habe ich mir nach der Anleitung des auch hier oft zitierten Videos auf Youtube ein kostenloses SSL-Zertifikat erstellt und es in der DS hinterlegt, inklusive Zwischenzertifikat. Es gilt für www.mydomain.de sowie auch für http://nas.mydomain.de.
Hier wird vermutlich etwas nicht stimmen. Die kostenlosen Class1-Zertifikate von StartCom werden auf eine Subdomain ausgestellt. "www.mydomain.de" ist formal gesehen bereits eine Subdomain, denn Du bist Besitzer der Domain "mydomain.de". Dabei ist die Besonderheit, dass bei StartCom das erzeugte Zertifikat nicht nur auf die beantragte Subdomain (also bspw. "www.mydomain.de") ausgestellt wird, sondern ebenfalls die dazugehörige Domain beinhaltet, d.h. auch "mydomain.de". Für beide käme also keine Warnmeldung. "nas.mydomain.de" ist dann eine weitere Subdomain, die dann aber nicht mehr im kostenlosen Class1-Zertifikat enthalten ist.
 
Zuletzt bearbeitet:

haukilein

Benutzer
Mitglied seit
11. Jul 2015
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hallo Frogman,

danke für die prompte Antwort. Nun habe ich das Gefühl, mir hilft jemand;-). Danke vielmals!


1 - Ich habe den CNAME Eintrag unter der Subdomain direkt vornehmen können und das geändert. Dabei habe ich festgestellt, dass man dort keine Sonderzeichen oder Ports eintragen kann, sondern nur die reine DDNS in der Form "myname.ddns.net".

Fragen:
1 A - Dabei habe ich festgestellt, dass wenn ich die reine DDNS in der Form "myname.ddns.net" im Browser eingebe, ich gar nicht zu meiner DS gelange. Dies klappt nur, wenn ich https://myname.ddns.net:5001/ eingebe. Demzufolge würde ja dann auch die CNAME Eintragung und damit verbundene IP-Auflösung oben nichts bringen, oder? Wo liegt hier der Fehler? Als Zusatzinfo kann ich sagen, dass ich den Port 5001 in der FritzBox eigens für https-Verbindungen freigegeben habe.
1 B - Muss http bzw. https mit angegeben werden? Müssen Ports angegeben werden?

Im Übrigen lande ich per http://nas.mydomain.de auf einer Seite mit Erdkugel, blauem Hintergrund und dem Schriftzug "Web Station wurde aktiviert. Unter DSM Hilfe im Abschnitt „Webdienste“ finden Sie weitere Informationen, um das Einrichten Ihrer Website fertigzustellen." -> Ich weiß nicht was dies zu bedeuten hat, gehe aber davon aus, das es in unserem Zusammenhang keine Bedeutung hat.


2 - Ok, interessant und wieder was gelernt.

Fragen:
2 A - Wie kann ich raus finden, für welche (Sub-)Domains das bestehende Zertifikat gilt? Hierzu finde ich leider nirgends eine Angabe.
2 B - Vermutlich funktioniert das Zertifikat aus den von dir erläuterten Zusammenhängen nicht. Wie muss ich "von Vorn" beginnen , um ans Ziel zu kommen?
2 C - Mal angenommen alles würde funktionieren, müsste das Zertifikat auf allen Clienten importiert werden? Das ist so eine Frage, deren Antwort ich nirgends eindeutig heraus lese.


Danke vielmals für weiteren Input.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Das hat so seine Richtigkeit. CNAME ist für die reine Domain. Ports sind da außen vor und müssen immer angegeben werden solange es sich nicht um Standard-Ports handelt, also 80 für http und 443 für https.
Nur MIT https und 5001 ist dem Browser klar, dass er verschlüsseltes http auf Port 5001 anfragen soll.
Zu 1B, das heißt nur, dass die Web Station aktiviert ist und du Port 80 nach außen geöffnet hast und über die Adresse erreichbar ist. Da du noch keinen Inhalt unter /web abgelegt hast kommt halt diese Platzhalter-Seite.

Wenn (ausgehend von Firefox, andere Browser ähnlich) du auf das Schloss vor deiner URL https://nas.mydomain.de bzw. ein durchgestrichenes Schloss oder ähnlich bei Zertifikatsproblemen/miss-match (wie in deinem Fall) bekommst du einen Dialog zu sehen, der irgendwo unten rechts Mehr Information / More Information sehen. Dort weiter, dann hast du ein Fenster wo View Certificate / Zertifikat anzeigen stehen sollte. Wieder weiter sollte unter Allgemein/General der "Common Name (NC) angezeigt werden in der Form sub.domain.tld (das ist das was du suchst)
Wenn du ein Zertifkat hast, das auf sub.domain.tld lauted und diese Subdomain per CNAME auf deine DDNS weist, also von außen auch unter sub.domain.tld erreichbar ist, mußt du nur das Zertifikat und das Intermediate von StartSSL in der Syno importieren. Auf den Clients mußt du gar nichts machen, solange diese auch die StartSSL-Root_CA unterstützen. Das ist ja Sinn der Übung. Verschlüsselung ohne Fehlermeldung oder eingriffe auf den Clients.
Andernfalls könntest du dir das ganze sparen und das auf der Syno selbst generierte Cert mit Ausnahme-Regelung in allen Clients akzeptieren. Dann hast du auch verschlüsselte Verbindungen, aber halt mit den durchgestrichenen Schlössern etc.
 

haukilein

Benutzer
Mitglied seit
11. Jul 2015
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Ok, danke Fusion und weiter geht es...

-> Das Zertifikat lautet in der Tat auf "nas.mydomain.de", ist also völlig richtig und gültig. Habe ich mir nun mehrfach angeschaut, um Rechtschreibfehler zu vermeiden...
-> Den CNAME Eintrag habe ich nachgeschaut, der passt auf "myname.ddns.net"
-> Rufe ich die SYNO von extern nun auf mit "http://nas.mydomain.de" so erscheint: "Diese Website ist nicht verfügbar"

Woran liegt es dann? In den Synology Apps klappt der Zugriff via "myname.ddns.net" doch schließlich auch. Verstehe ich nicht!

Weiterhin frage ich mich übrigens, warum es ein Problem gibt, wenn ich aus dem eigenen Netzwerk (Laptop) die Adresse "http://nas.mydomain.de" aufrufe. Ich kriege dann die Meldung "Der Inhalt wurde blockiert, da er nicht mit einem gültigen Sicherheitszertifikat signiert wurde." Das passt doch nicht zusammen?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
-> Das Zertifikat lautet in der Tat auf "nas.mydomain.de", ist also völlig richtig und gültig. Habe ich mir nun mehrfach angeschaut, um Rechtschreibfehler zu vermeiden...
Gut, dann beinhaltet es auch zusätzlich noch "mydomain.de" - aber nicht "www.mydomain.de".

-> Rufe ich die SYNO von extern nun auf mit "http://nas.mydomain.de" so erscheint: "Diese Website ist nicht verfügbar"
Du schreibst einen Post vorher aber etwas anderes:
Im Übrigen lande ich per http://nas.mydomain.de auf einer Seite mit Erdkugel, blauem Hintergrund und dem Schriftzug "Web Station wurde aktiviert. .

Und abschließend:
Weiterhin frage ich mich übrigens, warum es ein Problem gibt, wenn ich aus dem eigenen Netzwerk (Laptop) die Adresse "http://nas.mydomain.de" aufrufe. Ich kriege dann die Meldung "Der Inhalt wurde blockiert, da er nicht mit einem gültigen Sicherheitszertifikat signiert wurde." Das passt doch nicht zusammen?
Das ist ein unverschlüsselter Aufruf - der benötigt keinerlei Zertifikat. Hast Du im DMS zwangsweise auf https umgeleitet?
 

haukilein

Benutzer
Mitglied seit
11. Jul 2015
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Stimmt, das widerspricht sich! Sorry, ich bleibe bei einem Rechner nun.
Ich habe es nun nochmal ausprobiert, nebst neu Starten -> Ja, ich lande auf dem blauen Planeten. Hätte ich auch gleich drauf kommen können, dass ich nun ja bereits indirekt auf der DS schon bin, gel?
So zu der zweiten Frage -> Ja, ich habe im DSM zwangsweise auf https umgeleitet. Sollte ich das entfernen?
 

haukilein

Benutzer
Mitglied seit
11. Jul 2015
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
...habe nun x Mal alles geprüft und es will nicht klappen!!

- Ja, in der DSM ist eingestellt, dass zwangsweise auf https umgeleitet wird.
- In der Fritzbox sind Ports 5000 und 5001 zu DS geöffnet. Die DDNS-Daten für Dynamic DNS sind korrekt hinterlegt, auch in der DS.
- Wenn ich die Subdomain ("nas.mydomain.de") von extern eingebe komme ich nur zu der Platzhalter-Site mit dem blauen Planten, aber nicht auf die Anmeldeoberfläche.

Hat jemand vielleicht einen Vorschlag, was ich nun noch probieren kann?

Danke haukilein
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
......- Wenn ich die Subdomain ("nas.mydomain.de") von extern eingebe komme ich nur zu der Platzhalter-Site mit dem blauen Planten, aber nicht auf die Anmeldeoberfläche. Hat jemand vielleicht einen Vorschlag, was ich nun noch probieren kann?
Wie in diversen Stellen und auch im Handbuch beschrieben, ist für die Anmeldung am DSM immer der Port mit anzugeben, in diesem Fall also http://nas.mydomain.de:5000 bzw. https://nas.mydomain.de:5001.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat