Frogman
Benutzer
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
Die ca.pem (öffentlicher Teil des Root-Zertifikats von StartSSL) benötigst Du auch nicht für die Installation von SSL-Zertifikaten in der DS.
Du musst zwei Sachen unterscheiden:
Installation SSL-Zertifikat
zunächst einmal muss in der DS ein SSL-Zertifikat installiert sein, damit der Server entsprechend SSL-verschlüsselte Dienste anbieten kann. Dafür installiert Synology ein generisches Zertifikat - was aber bei Verwendung einer eigenen Domain eben zu Warnungen führt. Daher erzeugen sich viele User ein eigenes SSL-Zertifikat (gültig eben für ihre eigene Domain), welches in der DS installiert werden muss:
Dort lädst Du folgendes hoch:
- Im ersten Feld den privaten Schlüssel des Schlüsselpaares, meist 'server.key' genannt (diese Datei solltest nur Du selbst besitzen, sie wird ganz zu Beginn von Dir erstellt und sollte auch nicht an StartSSL bzw. an eine andere Root-CA geschickt werden).
Der Inhalt dieser Datei beginnt immer mit -----BEGIN RSA PRIVATE KEY----- - Im zweiten Feld das Serverzertifikat, welches von einer Root-CA (also bspw. StartSSL) signiert wurde, meistens 'server.crt' genannt. Es besteht aus dem öffentlichen Gegenstück zum privaten Schlüssel aus Punkt 1, ergänzt um eine Signatur der Root-CA (also bspw. StartSSL), die im wesentlichen aus einem Block besteht, der mit dem privaten Schlüssels des Signier-Zertifikats verschlüsselt wurde. Diese Datei beginnt mit -----BEGIN CERTIFICATE-----
- Im dritten Feld kann man optional ein Intermediate, d.h. also ein Zwischenzertifikat einfügen. Dieses ist der öffentliche Teil eines Schlüsselpaares, mit dessen privatem Teil das Serverzertifikat tatsächlich signiert wurde. Damit kann also die Signatur im Serverzertifikat entschlüsselt werden und man erkennt, ob der Server authentisch ist.
Hintergrund: Man nimmt für die Signierung des Serverzertifikats nicht unbedingt das (sehr lange gültige) Root-Zertifikat, sondern ein weiteres Zertifikat, welches eine kürzere Laufzeit als das Root-Zertifikat besitzt, so dass man es aus Sicherheitsgründen öfters tauschen kann. Es ist selbst mit dem Root-Zertifikat signiert und steht in der Zertifikatskette somit zwischen dem Root-Zertifikat und Deinem Server-Zertifikat. Bei StartSSL ist dieses das sub.class1.....pem
In einigen Fällen wird das Serverzertifikat auch direkt mit dem Root-Zertifikat signiert - dann ist kein Intermediate notwendig.
Davon zu unterscheiden ist nun OpenVPN. Dieses setzt auch auf die SSL-Zertifikate. Damit der OpenVPN-Client konfiguriert werden kann, wird ihm neben einiger Parameter in der Datei *.ovpn auch der öffentliche Teil des Signierzertifikats mitgegeben, also die mitexportierte 'ca.crt' (was bei StartSSL dem Intermediate entspricht), damit dann die Gültigkeit des Serverzertifikats bei VPN-Handshake geprüft werden kann.
Da aber die Kette damit noch nicht vollständig ist (es fehlt ja das Root-Zertifikat als Vertrauensanker), muss man beim VPN-Server der DS die exportierte 'ca.crt' noch mit dem Root-Zertifikat (also dem Inhalt des ca.pem von StartSSL) ergänzen - erst dann läuft die Zertifikatsprüfung durch.
Alternativ - und das hatte ich oben beschrieben - kannst Du auch gleich bei der Installation des SSL-Zertifikats oben im Bild im dritten Feld nicht das Intermediate eingeben, sondern das Intermediate + Root-Zertifikat (was ich dann chain.pem genannt habe) - auf diese Weise exportiert der VPN-Server gleich die Kombination als 'ca.crt'.
Zuletzt bearbeitet:
