Suche 'Original/Standard' Zertifikat

[DivingDuck]

Moin,

habe mir beim Versuch ein eigenes Zertifikat zu erstellen ein Eigentor geschossen. Leider kann ich jetzt nicht mehr via https auf die DiskStation zugreifen, da das Zertifikat fehlerhaft ist. Bei mehreren Browsern (Opera, Safari, FireFox, MSIE) kann ich noch nicht mal das fehlerhafte Zertifikat akzeptieren. Und nun der Klassiker, ich habe natürlich keine Sicherheitskopien erstellt. Ich würde gerne noch mal von 'vorn' anfangen.

Kann mir jemand die originalen Dateien zur Verfügung stellen?

MfG,
DD

 

[itari]

Du hast doch noch die Firmware-Datei (falls nicht, lade sie dir herunter). Auf einem PC entpacken (ggf. vorher die Dateiendung umbenennen). Alle Dateien sind im Original dann vorhanden ... und man kann sich gezielt die Dateien heraussuchen, die man braucht fürs Kopieren.

Itari

 

[ubuntulinux]

Soweit ich weiss, werden die Zertifikate immer neu generiert und sind nicht in der Firmware. Es sollte reichen, wenn du die vorhandenen Zertifikate löschst, SSL de -und wieder aktivierst.

 

[DivingDuck]

Moin,

vielen Dank für die Antworten, werde ich mal ausprobieren.

Btw, ich hab die Zertifikate per AdminTool bearbeitet/erstellt. Beim nochmaligen Herumprobieren ist mir aufgefallen, daß es dort folgende Meldung beim Generieren des 'RSA private key for CA' gibt:

Synology> openssl genrsa -rand /var/log/messages:/etc/hosts:/bin/ls -out /usr/syno/etc/ssl/ssl.key/ca.key 1024 2>&1
openssl rsa -text -in /usr/syno/etc/ssl/ssl.key/ca.key

WARNING: can't open config file: /usr/syno/ssl/openssl.cnf
1627255 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
....................................................++++++
.................................++++++
unable to write 'random state'
e is 65537 (0x10001)
Private-Key: (1024 bit) ....

Könnte das der Grund für mein Problem sein? Wenn ja, dann nehme ich an, daß es etwas mit OpenSSL zu tun hat, oder?

MfG,
DD

 

[itari]

Kann ich mir jetzt nicht vorstellen. Aber du kannst ja das Skript mkcert.sh im Verzeichnis /usr/syno/etc/ssl analysieren ... ich habe das ja nur auseinander genommen, damit man es ein wenig genauer verfolgen kann.

Itari

 

[DivingDuck]

Ich schau´s mir mal an, glaube aber kaum, daß ich da großartig etwas erkennen werde. Alles was mit Web-Programmierung und Netzwerkprotokollen / -Zertifikaten zu tun hat, ist für mich mehr oder weniger nur Mittel zum Zweck.

Was würde passieren, wenn ich das das DSM-Update noch einmal aufspielen würde? Wenn ich Dich recht verstanden habe und die entsprechenden Dateien ein Bestandteil davon sind, sollte zumindest dieses Problem ja gelöst sein. Aber was passiert mit all den Einstellungen und verteilten Benutzerfreigaben? Bleiben die bei einem (manuellen) Re-Update auch erhalten?

MfG,
DD

 

[itari]

Das Skript mkcert.sh ist recht gut kommentiert. Und wenn es nicht klappt, dann such dir eine Webseite, wo man sich ein (kostenloes) Zertifikat generieren kann.

Man kann per Reset natürlich alles wieder auf Werkseinstellungen zurücksetzen (und für einiges gibt es ja auch die Konfigurationssicherung). Allerdings muss man auch das ein oder andere nacharbeiten ... Ich hatte mal vor einiger Zeit Tipps für die Inbetriebnahme zusammen gestellt. Hintergedanke war dabei, dass man erstmal alles ausprobiert, bevor man die DS mit Daten füttert, um ein gutes Gefühl dafür zu bekommen, was man in 'kritischen' Zeiten mit der DS machen kann.

Itari

 

[ubuntulinux]

Das Zertifikat ist nicht Teil der Firmware, was auch ein sehr hohes Risiko wäre wenn jeder dasselbe Zertifikat benutzt. Ich würde die Zertifikate löschen, https deaktivieren und wieder aktivieren.

 

[DivingDuck]

Danke Jungs, ich bin wieder 'back to normal' und die Standard Zertifikate von Synology sind wieder aktiviert. Ich habe die Zertifikate, wie von 'ubutnulinux' empfohlen gelöscht, https deaktiviert, die DS neu gestartet und https wieder aktiviert. Jetzt kommt halt wieder das originale Zertifikat zum Einsatz. Aber wenigstens funktioniert es jetzt wieder mit dem Akzeptieren durch die Browser.

@Itari:
die Zertifikate sind in der Firmware tatsächlich nicht mit enthalten. Hab mir die aktuelle FW heruntergeladen und extrahiert. Ist lediglich das mkcert.sh Skript drin.

[EDIT]
Das mit dem Herumspielen an den Einstellungen hatte ich gemacht. Aber damals wußte ich noch nicht, daß ich irgendwann mal einen FileServer aufsetzen würde.

Dein AdminTool ist übrigens ein geniales und mächtiges Tool. Aber, das weißt Du selbst am besten. Danke.
[/EDIT]


MfG,
DD

 

[itari]

die Zertifikate sind in der Firmware tatsächlich nicht mit enthalten

Hab ich eigentlich auch nicht behauptet Deine Frage war: "Kann mir jemand die originalen Dateien zur Verfügung stellen?" und darauf hab ich geantwortet ...

Itari

 

[DivingDuck]

Du hast doch noch die Firmware-Datei (falls nicht, lade sie dir herunter). Auf einem PC entpacken (ggf. vorher die Dateiendung umbenennen). Alle Dateien sind im Original dann vorhanden ... und man kann sich gezielt die Dateien heraussuchen, die man braucht fürs Kopieren.

Itari

könnte man aber so interpretieren. Egal, Ihr habt mir sehr geholfen, und ich bin wieder glücklich.

 

[ensing]

Danke Jungs, ich bin wieder 'back to normal' und die Standard Zertifikate von Synology sind wieder aktiviert. Ich habe die Zertifikate, wie von 'ubutnulinux' empfohlen gelöscht, https deaktiviert, die DS neu gestartet und https wieder aktiviert. Jetzt kommt halt wieder das originale Zertifikat zum Einsatz. Aber wenigstens funktioniert es jetzt wieder mit dem Akzeptieren durch die Browser.

@Itari:
die Zertifikate sind in der Firmware tatsächlich nicht mit enthalten. Hab mir die aktuelle FW heruntergeladen und extrahiert. Ist lediglich das mkcert.sh Skript drin.

[EDIT]
Das mit dem Herumspielen an den Einstellungen hatte ich gemacht. Aber damals wußte ich noch nicht, daß ich irgendwann mal einen FileServer aufsetzen würde.

Dein AdminTool ist übrigens ein geniales und mächtiges Tool. Aber, das weißt Du selbst am besten. Danke.
[/EDIT]


MfG,
DD

Habe das gleiche Proble. Habe mein Originalzertifikat "Zerschossen" und komme mit keinem Standardbrowser mehr auf die Seite. Die obige Beschreibung zur Lösung verstehe ich allerdings nicht. Was muss gemacht werden, um den Originalzustand wieder herzustellen?

Vielen Dank
Olaf

 

[vlado]

zertifikat

habe meine zertifikat auch zerschossen bitte um hilfe

 

[Ulfhednir]

Ich glaube du bist nicht der Einzige

 

[Peter_Lehmann]

Hi DivingDuck,

um das wirklich noch einmal klarzustellen:
Es gibt nicht "das originale Zertifikat".

Das von unseren DS angezeigte Zertifikat ist eines, welches von der DS selbst erzeugt und selbst signiert wurde, und lediglich einen auf "Synology" hinweisenden CN verpasst bekam. Also, um es ganz deutlich zu sagen, die primitivste Form eines Zertifikates, die es gibt. (Was aber keinen negativen Einfluss auf die Verschlüsselung der Verbindung und - gegenüber Clients, welchen dieses Zertifikat manuell als gültig deklariert bekamen - auf die Gültigkeitsprüfung dieser Verbindung hat!)

Schau dir den Hashwert dieses Zertifikates dieses Zertifikates auf dem Client an, notiere diese beiden und lösche dann das Zertifikat (besser gesagt: das Schlüsselpaar, denn auf der DS befindet sich ja auch der private Key). Und dann generierst du wie beschrieben das nächste Zertifikat und vergleichst den Hash.

OK?

MfG Peter

 

[Dany250]

Hallo,

jetzt hat es mich auch erwischt, beim Rumspielen leider Mist gemacht und mir ein eigenes Zertifikat erstellt mit dem ich nur Probleme hab.

Ich hab versucht das Zertifikat wie beschrieben zu löschen, allerdings scheitert es schon hier, wie lösche ich dieses Zertifikat wieder? Ich finde keinen Punkt zum Löschen des Zertifikates.

Wäre jemand so nett und könnte vielleicht eine kleine Anleitung schreiben, was man auf DSM 5.2 tun muss, und vor allem wo man was tun muss, um das selbst erstellte Zertifikat zu löschen? Irgendwo sollte man ja dann auch kurz https deaktivieren, wo liegt denn das noch gleich?

Ich wäre sehr dankbar für eure Hilfe!

Viele Grüße
Dany

 

[Frogman]

Mmh, einfach ein neues in der GUI erstellen - das sollte das alte überschreiben.

 

[Dany250]

Danke für deine Antwort.

Leider weiß ich nicht was du damit meinst. Ich möchte ja nicht einfach ein Neues erstellen, ich möchte das Synologie Zertifikat wieder haben und das kann ich nirgends auswählen.

 

[Frogman]

Schau mal hier hinein, ganz unten der Abschnitt "Zertifikatsregistrierungsanforderung (Certificate Signing Request (CSR)) signieren". Das ist letztlich der gleiche Vorgang, der bei der Installation des DSM stattfindet.

 

[Dany250]

Hab ich eben probiert, aber wie es auf der von dir verlinkten Synology Hilfe Seite schon steht ("Laden Sie die Zertifikatsregistrierungsanforderung hoch...") hab ich ja keine zur Verfügung. Wo bekomm ich die her?