Zertifikat als vertrauenswürdig deklarieren

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.232
Punkte für Reaktionen
62
Punkte
68
Guten Morgen!

ich habe eine Syno, welche nur im internen Netz genutzt.
Dennoch möchte ich gerne den Zugriff via HTTPS realisieren.

Ich habe ein selbst signiertes Zertifiakt mit openssl erstellt.
Dennoch (was logisch ist), wird beim ersten Aufruf wird die Warnung angezeigt "Nicht sicher" und man kann mit "Trotzdem öffnen" weitermachen.

Gibt es eine Möglichkeit, dass ich das Zertifikat im Browser hinterlegen kann, sodass dieser NICHT meckert und die Seite einfach öffnet?
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.886
Punkte für Reaktionen
1.509
Punkte
274
Für was hast Du denn ein Zertifikat erstellt? Für eine IP geht das nicht.
Zudem würde mich interessieren, welchen Vorteil Du Dir von der Sache erwartest...
 

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.232
Punkte für Reaktionen
62
Punkte
68
für eine domain, welche lokal aufgelöst wird.
Vorteil: HTTPS = verschlüsselte Verbindung, interessant für verschlüsselte Datenübertragung?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Die Möglichkeiten habe ich dir aber schon damals geschrieben. Für deine Domain kannst du den Alias-Mode nutzen, weil dein Anbieter nicht nativ von acme.sh unterstützt wird. Danach nur noch die Umleitung in deinen Pi-Hole oder in der Host-Datei. Letzte hast du doch verwendet. Das habe ich aber in deinen anderen Thread schon geschrieben. Es wunder mich nur, warum du es nicht umgesetzt hast.

https://www.synology-forum.de/threads/le-zertifikat-erneuern-pruefen-ob-notwendig.125404/

Für einen normalen USer ist es fast unmöglich ein vertrauenswürdiges Zertifikat auf eine IP auszustellen. Außerdem ist das Aufrufen der Anwendungen mit Subdomain einfacher. Notfalls organisiere dir eine weitere Domain nur Netzintern. Die kostet bei Netcup in der Osteraktion gerade einmal 1,60 € im Jahr dauerhaft!
 
Zuletzt bearbeitet:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.517
Punkte für Reaktionen
3.578
Punkte
468
Ich hab mir vor Jahren auch mal ein selbst signiertes Zertifikat für solche Zwecke erstellt. Im Wiki ist das vorgehen hier ja beschrieben. Der Artikel ist aber sehr alt. Einige Dinge würde man heute etwas anders machen, beispielsweise längere Schlüssel verwenden. Auch das Kapitel "Austausch der Dateien" geht heute einfacher. Man muss die Files nur auf einen Share kopieren und kann dann das Zertifikat über die DSM-Oberfläche importieren und die ca.crt auch auf den Clients als "Vertrauenswürdige Stammzertifizierungsstellen\Zertifikate" importieren (s. certmgr.msc)
 
  • Like
Reaktionen: Ghost108

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.517
Punkte für Reaktionen
3.578
Punkte
468
Ja, ist leider so, aber man hat dann wenigstens für 10 Jahre Ruhe. Es sei denn, es kommen neue Geräte hinzu, dann muss man halt extfile.cnf erweitern.
Das schöne ist halt, man kann alles möglich als AltNames aufnehmen, sogar IPs.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Von IPs bin ich weg. Und eine Domain oder DynDNS kostet nicht viel. Der Rest geht über Favoriten. Für mich eindeutig komfortabler als mit dem Zertifikat importieren. Das ganze geht auch automatisch und ohne Ports.
 

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.232
Punkte für Reaktionen
62
Punkte
68
@EDvonSchleck
Ich frage hier für eine andere Synology an, wo eben auch kein pihole im Einsatz ist.

Das Zertifikat könnte ich auf den Clients auch via GPO importieren lassen, damit der Browser nicht meckert.
Aber eben das gelingt mir aktuell auf dem manuellen Wege noch nicht. Wenn ich das Cert der Syno exportiere und im MS Edge importiere, meckert der Browser dennoch. Was könnte ich hier falsch machen?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.119
Punkte
214
Dann brauchst du nur eine Vorwärtszone im Synology-DNS-Server einzurichten. Dafür braucht die Synology auch kein Docker. Alternativ die Umschreibung in der Host-Datei. Ich würde den Weg über einen Namen/Domain nehmen.

Was steht im Edge unter Zertifikat? Hast du das Zertifikat der Anwendung zugeordnet? Ohne Screens oder Logs werden wir nicht weiter helfen können. Alles andere sind nur Vermutungen bzw. häufige Fehler.
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.886
Punkte für Reaktionen
1.509
Punkte
274
Verstehe immer noch nicht, warum man in seinem eigenen Netz verschlüsselte Verbindungen benötigt...
 
  • Like
Reaktionen: ottosykora

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.232
Punkte für Reaktionen
62
Punkte
68
weil bestimmte System im Netz eine HTTPS Verbindung erwarten - sonst machen die nichts
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.761
Punkte für Reaktionen
1.115
Punkte
288
. Wenn ich das Cert der Syno exportiere und im MS Edge importiere, meckert der Browser dennoch. Was könnte ich hier falsch machen?
also ich muss dazu immer auch noch den den Cert der Certification Authority importieren. Erst dann kann Windows einen Bezug zu etwas finden
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.517
Punkte für Reaktionen
3.578
Punkte
468
Hast du mal geprüft, ob das im Browser angezeigte Zertifikat überhaupt deines ist (Rechtsklick aufs Schloss) und für den in der URL verwendeten Namen gilt? Alternativ kannst du es dort auch exportieren.

@Thonav, braucht man nicht. Aber man lernt viel dabei, wenn man sich mal damit beschäftigt ;) Außerdem ist es doch schön, wenn man intern wie extern auch https verwenden kann.
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.886
Punkte für Reaktionen
1.509
Punkte
274
Wenn diese "bestimmten" Systeme eine https Verbindung erwarten, so liegt der Grund ggf. darin, dass diese Dienste eigentlich auch von extern verfügbar sein sollten, oder?

@Benares : Im Ausgangsthread wird nur von interner Nutzung geschrieben. Daher meine Rückfrage - auch nach Details zu den "bestimmten Systemen".
 

Ghost108

Benutzer
Mitglied seit
27. Jun 2015
Beiträge
1.232
Punkte für Reaktionen
62
Punkte
68
Beispiel. Ich habe ein internes Firmennetzwerk, wo web Anwendungen laufen, wo sich User anmelden können.
Die Übertragung der Zugangsdaten würde unverschlüsselt laufen, wenn nicht HTTPS
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat