Zertifikat nicht gültig bei Aufruf

[LordLord]

Tag zusammen,

immer wenn ich über https zuhause oder unterwegs (nutze Chrome und Safari) meine Synology DS211j aufrufe, erhalte ich die Meldung:
Zertifikat unbekannt

Und ich muss das jedes mal bestätigen, das ich diesem vertraue.

Kann man das irgendwie abstellen?
Das nervt echt unheimlich

Danke

 

[Mike0185]

Hallo!

Die Suchfunktion liefert hier echt viele Ergebnisse Aber ganz kurz: Das ist ein Synology-Zertifikat, das standardmäßig dabei ist, natürlich kennt das dein Browser nicht. Die Verschlüsselung funktioniert trotzdem. Du kannst in der Wiki nachlesen, dass man selbst eines erstellen (selbst signieren) kann und dann im Browser importiert oder eben eines von einem Drittanbieter signieren lässt, das dann auch die Browser unterstützen / kennen.


Gruß
Mike

 

[Frogman]

Deine Überschrift ist nicht ganz korrekt - es geht hier nicht darum, dass "das Zertifikat nicht gültig" ist - es wird als nicht vertrauenswürdig eingestuft. Und das bedeutet nur, dass es im System keinen Vertrauensanker gibt, also die Zertifikatskette reicht nicht durchgängig bis zu einem Root-Zertifikat. Das ist bei den standardmäßigen SSL-Zertifikaten im Gerät immer der Fall - um das abzustellen, kann man sich selbst ein SSL-Zertifikat erstellen, welches von einem Inhaber eines anerkannten Root-Zertifikats signiert wird. Suche einfach hier im Forum nach SSL-Zertifikat.

 

[LordLord]

Wenn ich den selber eins erstelle laut dem Wiki würde dann die Fehlermeldung weg sein?

 

[Mike0185]

Wenn du an den betreffenden Computern das Zertifikat manuell importierst (in die Vertrauenswürdige Stammzertifikate), dann ja. Wenn du natürlich mehrere Rechner oder Besucher hast, die das Zertfitikat nicht haben, dann erhalten diese natürlich auch den Hinweis, dass der Identität nicht getraut werden kann.

 

[Frogman]

Naja, es gibt aber auch Anbieter, deren Root-Zertifikat standardmäßig in den Browser-Installationen enthalten ist - wenn Du Dir ein SSL-Zertifikat von denen ausstellen läßt, gibt es keine Abfrage, auch ohne zusätzlichen Import auf dem Rechner

 

[Mike0185]

... die gibt's kostenlos oder von günstig bis (sau)teuer in mehreren Klassen und Sicherheitsstufen...

 

[LordLord]

Hab mich nun ein wenig eingelesen, komm aber noch nicht wirklich klar damit.

Das beste wäre doch von einer Subdomain (hab eine TLD) eine Weiterleitung einzurichten und dann ein Zertifikat austellen zu lassen. Doch wie geht das alles?

 

[Mike0185]

Huhu!

Ich hatte mein erstes SSL-Zertifikat über StartSSL für ein Jahr kostenlos und hatte so gut wie keine Probleme. Allerdings fand ich die Einbindung relativ schwer (vor einem Jahr gab es den Assistenten im DSM noch nicht) und ich glaube es war damals auch Glückssache

Momentan teste ich ein 30-Tage kostenloses Zertifikat von COMODO (PositiveSSL) und habe es auf meine TLD-Domäne ausgestellt (Beinhaltet www.xyz.TLD und xyz.TLD) (PSW-Group). Ein Jahr kostet 15 Euro. Ich habe die Einbindung des Zertifikates über den Assistenten im DSM gemacht. Un es war total einfach und hat beim ersten mal funktioniert.

Zunächst erstellst du eine Zertifizierungsanforderung (CSR) mit dem Assistenten, dieser benötigt die Zertifizierungsstelle. Dort wird dann Anhand deiner Angaben, das WhoIs deiner Domäne geprüft und deine Angaben (sollte also alles übereinstimmen). Deine Domain wird über die Emailadresse validiert (postmaster@deinedomain.tld o.ä.), dann erhälst du, wenn alles passt nach einer gewissen Zeit das Zertifikat, das du mit deinem Privatkey wieder in die Diskstation importierst und das dann ab sofort gültig sein sollte.


So ist grob die Vorgehensweise, ansonsten dürfen natürlich alle ergänzen oder mich an den Pranger stellen ;-)


PS: Ich werde nach der Testzeit entweder für 15 Euro auf ein Jahr verlängern, weil es wirklich total easy war oder ich werde es nochmals mit StartSSL probieren ^^


Hoffe konnte etwas Licht in die Geschichte bringen.

Gruß
Mike

 

[geimist]

Ich habe mir jetzt auch ein Zertifikat via StartSSL ausstellen lassen. Der Ablauf ist wirklich easy. Allerdings musste ich die Zertifikatsregistrierungsanforderungsdatei (Endung *.csr) in einem Texteditor öffnen, und den enthaltenen Text bei StartSSL eingeben.

Bei mir gab es am Anfang ein Problem: Die Verifizierungsemails von StartSSL wurden nicht zu mir zugestellt und das Script auf StartSSL ist dann immer eingefroren. Zu diesem Zeitpunkt lief meine Domain über "Domainssaubillig.de". Der Support von StartSSL war sofort zur Stelle, konnte mir aber leider auch nicht weiterhelfen. Ich bin jetzt mit meiner Domain eh zu Selfhost umgezogen. Hier gab es auch keine Probleme mit der eMailzustellung von StartSSL.

Das Zertifikat von StartSSL bekam ich wieder als "Fließtext". Das ganze in eine Textdatei gespeichert und mit der Endung *.crt versehen und mit dem DSM-Zertifikatsassistenten installiert.

Jetzt werden neue Besucher nicht mehr mit der Sicherheitswarnung beunruhigt

Man sollte noch wissen, dass das Ganze nicht mit einer DynDNS Subdomainadresse funktioniert (meinname.dyndns.org). Man braucht schon einen eigenen Domainnamen.

 

[Mike0185]

Ich habe mich nun auch nochmal mit StartSSL ins Rennen gewagt und der erste Versuch hat (fast) geklappt. Der Zertifikatassistent hat ganze Arbeit geleistet und v.a. erspart. Es ging genau so einfach wie mein Testzertifikat über PSW. Nun habe ich wieder ein Jahr ein kostenloses Zertifikat - natürlich auch recht!

Zu meinem "fast": Bei mir gab es von StartSSL eine Stunde später noch die Info dass es wohl nicht ganz mit meinem Zertifikat hingehauen hat. Ich musste dann noch ein Zertifikat von StartSSL herunterladen und es als Zwischenzertifikat mit importieren. Danach funktionierten auch die Aufrufe ohne Fehlermeldungen über das Handy und Tablet.

Gruß Michael

 

[Sílthrim]

Ich habe mir neulich auch ein Zertifikat für meine Domain ausstellen lassen und kann StartSSL nur empfehlen!
Der Support ist echt top und alles funktioniert, wie es soll.

Schritt für Schritt Anleitung, wie man sein eigenes Zertifikat über StartSSL bekommt, findet man massig im Internet (www.gidf.de)

 

[rauppe31]

Das Problem bei StartSSL war bei mir, dass Firefox dir nicht als vertrauenswürdig einstuft.
Hab mir dann bei http://globessl.com ein Zertifikat für 8$ pro Jahr geholt.
Funktioniert einwandfrei.

 

[ubuntulinux]

Das Problem ist, dass das Intermediate Zertifikat sowie CA-Zertifikat nicht eingebunden werden kann über den DSM. Das sind aber nur 2 Zeilen, um welche man die Apache Config erweitern muss. Dann funktionieren auch StartSSLs Wobei ich auch lieber GlobeSSL einsetze, obwohl ich für dasselbe 8$ zahle. Dies, da mal der OCSP Server von StartSSL tagelang Opfer einer DDOS war und somit alle Seiten mit StartSSL Certs sehr lahm bzw nicht zu erreichen waren.

 

[geimist]

Das Problem ist, dass das Intermediate Zertifikat sowie CA-Zertifikat nicht eingebunden werden kann über den DSM. Das sind aber nur 2 Zeilen, um welche man die Apache Config erweitern muss…

Könntest du das mal bitte etwas erläutern?

Vielen Dank

 

[geimist]

… Ich musste dann noch ein Zertifikat von StartSSL herunterladen und es als Zwischenzertifikat mit importieren.

Ich musste inzwischen auch feststellen, dass teilweise noch Fehlermeldungen aufgrund des fehlenden Zwischenzertifikats / intermediate Zert. vorkommen.

Ich wusste erst nicht so richtig, wie ich das machen sollte - ist aber einfacher als vermutet:
- dieses Zwischenzertifikat von StartSSL herunterladen: sub.class1.server.ca.pem
- im DSM beim Import des erstellten Zertifikats und des privaten Schlüssels im dritten Feld das Zwischenzertifikat auswählen (ich wusste gar nicht mehr, dass auch das mit Assistenten abgedeckt ist )

Jetzt funktioniert das auch ganz brav mit Firefox und Thunderbird (DS als E-Mailserver via SSL)

 

[Mike0185]

Super! Alles richtig. Ich bekam von startssl folgende mail:

This mail is intended for the person who owns a digital certificate issued by the StartCom Certification Authority (http://www.startssl.com/).

It seems, that the installation of your server certificate with serial number XXXXX for www.XXXXX.li is not complete! You should add the intermediate CA certificate to your installation. This is important, because most browsers will issue an error if this is not properly done. Please consult the installation instructions at http://www.startssl.com/?app=20 on how to do that. The missing CA certificate sub.class1.server.ca.pem can be obtained from http://www.startssl.com/certs/

--
Best Regards

StartCom Ltd.
The StartSSL™ Team