DSM 6.x und darunter Synology Zertifikat in Firefox einspielen?

[Johnny1982]

Hallo zusammen,

wie kann ich das Synology Standard Zertifikat in meinen Firefox einspielen?
Exportiert habe ich es aber ich bekomme es nicht eingespielt.

Es geht mir nur um die lokale Verbindung mittels https auf die Weboberfläche (ohne Ausnahme hinzuzufügen), nicht um externen Zugriff.

Wie mache ich das?

Vielen Dank!

 

[Flessi]

Du brauchst das Zertifikat doch nur bei Aufruf der Seite als sicher akzeptieren! Dann kennt FireFox das Zertifikat als sicher und fragt nicht wieder nach.

 

[Johnny1982]

Diese Option habe ich leider nicht, ich kann nur eine Ausnahme hinzufügen.

 

[Flessi]

Mit "Ausnahme hinzufügen" sagst du doch, dass das Zertifikat sicher ist. FireFox kann das ja vorher nicht überprüfen, da es kein öffentliches Zertifikat ist.
Für die (sichere) Funktion spielt es keine Rolle, ob es ein "Synology Standard Zertifikat" ist oder von Let's Encrypt!
Wenn du aber ein Zertifikat in FireFox importieren möchtest, was ich aus oben genannten Gründen nie für nötig gehalten habe und deshalb nie probiert habe, lässt sch das doch auch machen:
FireFox -> Datenschutz und Sicherheit -> Zertifikate -> Zertifikate anzeigen -> (unten) importieren.

 

[Johnny1982]

Ja genau aber ich kann das Standard Synology nach dem Export eben nicht importieren.
Er macht es einfach nicht.

Ich verstehe nicht warum?

Es muss doch möglich sein das Standard Synology Zert zu exportieren und im FF einzuspielen?

 

[Flessi]

Bei mir ist das Syno-Zert ein ZIP-Archiv mit 4 *.pem-Modulen. Vielleicht wird für FireFox nur eins davon benötigt. Wie gesagt, das habe ich noch nicht machen müssen und steige hier aus.

 

[Johnny1982]

Also ich habe 2 Stück:

privkey.pem
cert.pem

Keines läßt sich importieren.

Beim cert.pem sagt er:

Dieses persönliche Zertifikat kann nicht installiert werden, weil Sie den benötigten privaten Schlüssel nicht besitzen, der bei der Anfrage für das Zertifikat erstellt wurde.

beim privkey.pem passiert gar nichts.

 

[Flessi]

Bei meinem Syno-Zert finde ich deüber hinaus noch syno-ca-cert.pem und syno-ca-privkey.pem.

 

[the other]

Moinsen,
AFAIK kann Firefox nur PKCS12 Zertifikate importieren, keine PEM.
Du kannst aber unter Linux auf der Kommandezeile dein cert.pem mit deinem privkey.pem zu einem PKCS12 umbasteln:
openssl pkcs12 -inkey RSA-privkey.pem -in RSA-cert.pem -certfile RSA-chain.pem -export -out certificate.pfx

Das sollte auch gehen. Die Dateinamen musst du natürlich anpassen...also RSA- weglassen.

 

[Johnny1982]

Das hab ich mit folgendem Befehl gemacht:

openssl pkcs12 -inkey privkey.pem -in cert.pem -export -out certificate.pfx

Das entstandene Zertifikat konnte ich nun unter FF unter "Ihre Zertifikate" einspielen.

Beim Aufruf bekomme ich allerdings den gleichen Fehler.

 

[the other]

Moinsen,
Dein 2. Screenshot beinhaltet die einfachste Lösung
Klick in der Anzeige unten rechts auf erweitert und füge dann eine Ausnahme hinzu.
Fertig.

 

[Johnny1982]

Hi,

ja, das ist mir bewusst.

Ich möchte jedoch keine Ausnahme sondern die Akzeptanz des Zertifikats.

Weißt du denn woran es liegt ?

 

[the other]

Moinsen,
Auf Anhieb nicht nein.
Ich bin den Weg auch anders gegangen.
Durch importieren des ca (die Stelle die das client Zertifikat ausstellt) Zertifikaten in Firefox hat es bei mir geklappt. Ich hab allerdings hier auch ein eigenes Zertifikat mit eigener ca vorher erstellt, da ich es nur intern nutze.

 

[Flessi]

Das Synology Standard Zertifikat ist kein öffentlich überprüfbares Zertifikat - es wird immer zu dieser Sicherheitswarnung kommen! s.o,

 

[the other]

Moinsen,
Hast du es unter dem tab "server" versucht zu importieren?

 

[Flessi]

Sobald man das Synology Standard Zertifikat als Ausnahme akzeptiert wird es doch automatisch in "Server" importiert.
Warum diese Umstände?

 

[the other]

Moinsen,
weil das Schloss nicht grün wird...

 

[Johnny1982]

Ich möchte verstehen warum

 

[the other]

Moinsen,
Um zu prüfen, ob ein Zertifikat gültig ist, sind im Zertifikat Angaben zu der zertifierungsstelle enthalten. Diese stelle garantiert quasi die Echtheit. Dein Browser sieht nun aber dass diese Stelle z.b. synology-irgendwas ist, hat diese nicht in der eigenen Liste vertrauenswürdigen stellen (ca) und sagt, Nö, dem ding vertraue ich nicht, weil ich auch sonst niemanden kenne, der dem ding vertraut.
Also musst du firefox die jeweilige ca erst vorstellen mit einem weiteren Zertifikat der ca selber.

Mal ganz ganz simpel versucht zu erklären...

 

[ottosykora]

zudem weiss ich nicht auf was dieser Zertifikat lautet, aber mit der IP hat das kaum was zu tun?

Das entstandene Zertifikat konnte ich nun unter FF unter "Ihre Zertifikate" einspielen.

da müsste so was dann auch unter Server Zertifikaten sein, unter Ihre Zertifikate kommt normalerweise etwas anderes, das ist zum Bsp einen persönlichen Schlüssel hat
Dies hat aber nichts mit einem Server zu tun.

Wenn du den Zertifikat akzeptierst, dann wird es auch unter der gegenwärtigen IP als Server Zertifikat angenommen auch ohne CA.

Sonst müsstest du einen Fake Zertifikat mit einer Fake CA bauen, aber wozu?