Zertifikat Download unterbinden

[Crash1601]

Guten Abend,

wenn man bei der DS-207 (Firmware uptodate) die Verschlüsselung für HTTPS und FTP eingeschaltet hat, wird einem beim aufrufen des FTP oder der HTTPS Seite das Zertifikat automatisch als Download angeboten.

Wie kann man genau das unterbinden?

Hintergrund:
Durch das unterbinden sollte das ganze sicherer werden, weil man das Zertifikat gesondert auf dem Client installieren muss. Durch das herunterladen, kann ja einfach jeder auf den Server =) (sobald das pw bei z.b. ftp geknackt ist...ich meine das muss erst passen, bevor man das ding laden darf )

Ich hoffe das ganze ist einfach nur ein eintrag in irgendeiner config.

DANKE!

Gruß
Crash

 

[peppi]

web Interface über client Zertifikat absichern

Hallo,

hier eine Lösungsmöglichkeit für dein Problem:

Root-CA und Server Zertifikat nach der Anleitung im wiki erstellen.

Generierung_eines_eigenen_SSL-Zertifikats

In dieser Anleitung wird beschrieben, wie man das Web-Interface über ein Client-Zertifikat absichert.
Damit wird der Zugriff auf das Web-Interface nur mit Browsern möglich, die
dieses Client-Zertifikat installiert haben. Wer das ohne Zertifikat versucht, erhält lediglich ein "Die Seite kann nicht angezeigt werden".

Client Zertifikat erstellen (siehe Server Zertifikat erstellen)

openssl genrsa -out client.key 2048

openssl req -new -key client.key -out client.csr

openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 02 -out client.crt

Der Schalter -set_serial muss fortlaufend weitergezählt werden, wenn du bereits ein Server Zertifikat erstellt hast musst du hier:
-set_serial 02 wählen.

openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx -name "Mein Client-Zertifikat"

Passwort eingeben und bestätigen.

Clientzertifikat importieren (z.B in Firefox)
Die client.pfx in Firefox unter Ihre Zertifikate importieren.
Die Root-CA (ca.crt) unter Zertifizierungsstellen importieren.

Zum Schluss müssen wir den apache noch konfigurieren.

ins Verzeichnis /usr/syno/apache/conf/extra/ wechseln
und dort die Datei httpd-ssl.conf-sys editieren

Suche dort die Zeilen:
SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key

und darunter diese Zeilen einfügen.

SSLCACertificateFile /usr/syno/etc/ssl/ssl.crt/ca.crt
SSLVerifyClient require

den Apache Neustarten

killall httpd

/usr/syno/etc/rc.d/S97apache-user.sh start
/usr/syno/etc/rc.d/S97apache-sys.sh start

Danach kannst du ja mal testen ob dein Client Zertifikat angenommen wird.
Im Internet Explorer sollte ein Fehler kommen, da wir dort kein Client Zertifikat hinterlegt haben.

Hoffe ich könnte dir Helfen....

Bei Fragen steh ich dir gerne zur Seite.

 

[Crash1601]

hi, danke für deine antwort

ich werde das mal testen wenn ich daheim bin... ich hoffe das bekomme ich hin, denn ich bin nicht so der linuxer

gruß
crash

 

[Crash1601]

hi,

also das ganze hat nach einigen anlaufschwierigkeiten funktioniert (kenne mich nicht aus mit linux) aber immerhin habe ich es in 2std geschafft^^

funzt soweit...der browser bekommt kein zertifikat

allerdings gibts noch zwei probleme

1. wie bekomme ich das zertifikat auf mein windowssystem? (sftp funzt nicht mit vollen rechten; ich würde es ja auf ein smb share kopieren, aber wie ohne smbmount?)
2. das selbst erstellte zertifikat wird von filezilla heruntergeladen (FTPeS), wie kann das sein? muss ich das SSLVerify require auch noch in ein evtl. ftpconf file schreiben?

schonmal danke für deine antwort!

 

[peppi]

1. wie bekomme ich das zertifikat auf mein windowssystem?

Das Client Zertifikat und die Root-CA hast du in Firefox eingebunden???
Wenn du nun den Internet Explorer benutzen möchtest, kannst du dort die Zertifikate auch hinterlegen.
Ins System kannst du Sie mit Hillfe einer MMC einbinden:
Start >Ausführen>mmc eingeben
Datei>Snap in hinzufügen /entfernen
hinzufügem drücken > den Punkt Zertifikate auswählen> hinzufügen
Das Snap-in dem Computerkonto hinzufügen > Fertigstellen und alles mit ok verlassen.
Dann sollte das so wie auf dem Bild ausehen.
Hier kannst du nun das Client Zertifikat und das Zertifizierungsstellen Zertifikat importieren.

2. per ftp......

ob man das in vsftp auch konfigurieren kann mit einem zusätzlichen Clientzertifikat , weis ich leider auch nicht.
Ich werde mal nachschauen ob ich etwas dazu finde.

mfg

 

[Crash1601]

hi,

wie ich die zertifikate einbinde ist mir bekannt

ich meine...die zertifikate liegen im moment auf meiner synology ds207 /usr/syno/.../ssl

nun brauche ich ja erstmal die dateien die dort liegen (pfx und crt) auf meinem windows system (um sie z.b. in den firefox zu importieren). wie bekomme ich die dateien von der linux welt auf meine windows welt =) kopieren mit scp über ssh funktioniert nicht, weil die berechtigungen über ssh nicht richtig funzen. gibt es auf der ds207 eine möglichkeit dieses zertifikat auf ein smb share zu schieben? (mittels putty sitzung; dort habe ich root rechte)

wegen dem FTP... ich hoffe das kann man genauso wie bei http blockieren (den download des zertifikats)

danke für deine mühe!

gruß
crash

 

[peppi]

Die Zertifikate die du dir erstellt hast wie z.B.
das ca.crt, client.crt liegen bei dir unter /usr/syno/etc/ssl/....???
na dann kannst du sie dir doch ganz einfach in den Ordner der auf der DS207 freigegeben ist kopieren und sie dann mit windows abholen.

ein Beispiel:;
cp /usr/syno/etc/ssl/ssl.crt/ca.crt /volume1/freigabename

dann liegt das ca.crt in /volume1/freigabename
das gleiche machst du mit dem client.crt.
Danach kannst du sie in der Freigabe unter windows auf deinen Rechner kopieren.

mfg

 

[Crash1601]

hey,

danke für die antwort.

ja okay ich wusste nicht dass das so einfach geht bzw. wie man auf die shares zugreift =) (in linux)

ich werde das sofort testen, wenn ich daheim bin...

wegen dem ftp zertifikat download, hast du da schon eine idee, welche config da modifiziert werden muss?

danke!

EDIT: Das kopieren funktioniert wunderbar

 

[jahlives]

ja okay ich wusste nicht dass das so einfach geht bzw. wie man auf die shares zugreift =) (in linux)

Serverseitig greifst du gar nicht auf eine Freigabe zu, sondern auf ein lokales Verzeichnis

 

[Crash1601]

ja, aber wie man darauf zugreift, wusste ich nicht bzw. das man local auf die shares (die habe ich ja angelegt) zugreifen kann...

 

[Crash1601]

2. per ftp......

ob man das in vsftp auch konfigurieren kann mit einem zusätzlichen Clientzertifikat , weis ich leider auch nicht.
Ich werde mal nachschauen ob ich etwas dazu finde.

mfg

Was meinst du damit? Mein FTP nutzt das gleiche (selbst erstellte) Zertifikat wie die HTTP Site. D.h. FTP und HTTP greifen auf den selben Pfad zu.

 

[Crash1601]

Zur Info... Ich konnte keine Config finden in der der FTP konfiguriert wird...
scheint nich so einfach zu sein....

 

[pip8834]

Hi.

Ich habe alle Zertifikate erfolgreich (nach Anleitung) erstellt. Danach habe ich die config editiert, um das Client-Zertifikat zu erzwingen.

Nun ist aber folgendes Problem aufgetaucht:
Wenn ich direkt übers LAN auf die DS zugreife klappt alles wunderbar. Wenn ich aber von aussen über dyndns zugreife, habe ich immer Zugriff, egal ob ich ein Zertifikat habe oder nicht.

Wo liegt hier das Problem? Ideen?

 

[itari]

Wenn ich aber von aussen über dyndns zugreife, habe ich immer Zugriff, egal ob ich ein Zertifikat habe oder nicht.

Benutzt du da auch https ???

Itari

 

[pip8834]

Jep. Hab noch etwas vergessen (ist vermutlich wichtig ). DynDNS leitet zur Filestation weiter. Wenn ich lokal auf die Filestation zugreife habe ich dasselbe Problem. Es funktioniert nur beim Zugriff auf die admin-Page. Muss ich für die Filestation eine andere Config editieren, damit ein Client-Zertifikat verlangt wird?

 

[Trolli]

Nein, Du musst nichts editieren. File Station über Port 7001 nutzen, nicht über 7000. Sonst ist eh nix verschlüsselt...

 

[pip8834]

Ich benutze Port 7001. Die Verbindung ist verschlüsselt. Aber ich möchte den Zugriff auf Clients beschränken, die ein Zertifikat besitzen.

 

[Trolli]

...dann muss das auch funktionieren, wenn Du bei der Konfiguration wie in Beitrag #2 vorgegangen bist.

Schau dir doch nochmal Deine httpd-ssl.conf-sys an, ob die Änderung auch richtig drin ist. Den Webserver hast Du schon neu gestartet, oder?

 

[pip8834]

Scheint in der config alles richtig zu sein. Aber wie gesagt, es funktioniert nur mit Port 5001, also der Management-Page. Der Zugriff auf die Filestation (Port 7001) erzwingt kein Client-Zertifikat.

Übrigens funktioniert auch die automatische Weiterleitung von HTTP auf HTTPS nur mit Port 5000. Die Filestation kann ich immer noch unverschlüsselt auf Port 7000 ansprechen. Könnte das irgendwie zusammenhängen?

 

[Trolli]

Ja. Ich hab gerade nachgeschaut:

Es gibt noch eine httpd-ssl-filestation.conf-sys in /usr/syno/etc. Leg da ebenfalls mal diese Konfiguration an.