Zertifikat nur lokal

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
Hallo,
Bei nur lokalem Zugriff bzw. unterwegs nur VPN, also kein Quick Connect und keine Portfreigabe, kein DynDnS und keine Domain, kann man da trotzdem ein Zertifikat enrichten damit keine Fehlermeldung mehr im Browser erscheint?
Ich finde das ziemlich nervig, wenn ich lokal im Netzwerk z.B. auf die Synology zugreifen möchte, muß ich jedes mal die Warnmeldungen im Browser wegklicken. VG
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Klaro. Nimmst du openssl, machst deine eigene ca auf, baust dir damit deine igenes Zertifikat, sogar nur für die IP, wenn gewünscht.
Dann die ca dem Browser bekannt geben und Ruhe im Karton.
Lauft heir für alle https erreichbaren Server so. Und weil ebenfalls nur lokal (oder via vpn) absolut okay.
:)
 
  • Like
Reaktionen: Borschem und andronex

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Ps: oder dauerhaft ne Ausnahme im Browser einrichten, aber dann nervt das durchgestrichenes-Schloss-Symbol... :p :ROFLMAO:
 
  • Haha
Reaktionen: RichardB

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
wow, danke! klingt perfekt, hast du vielleicht noch einen Tipp wo ich es nachlesen kann wie ich das einrichten soll?
 

RichardB

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2019
Beiträge
3.576
Punkte für Reaktionen
886
Punkte
174
  • Haha
Reaktionen: the other

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
  • Like
Reaktionen: andronex

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
verbraucht so ein zusätzlicher Dienst eigentlich mehr Resourcen und Arbeitsspeicher?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
ich dachte, dass openssl explizit aktiviert/installiert wird, deswegen die Frage nach den zusätzlichen Ressourcen
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Na, dann lies dich auf jeden Fall erstmal gründlich ein!!
Mit deiner Annahme bist du absolut auf dem Holzweg und ich muss schlafen gehen.
Google mal nach openssl, https Zertifikat, ssl Zertifikat... Damit du die Basics dahinter verstehst. Dann gerne konkrete Fragen, falls Unklarheiten bestehen...
 

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
Moinsen,
Na, dann lies dich auf jeden Fall erstmal gründlich ein!!
Mit deiner Annahme bist du absolut auf dem Holzweg und ich muss schlafen gehen.
Google mal nach openssl, https Zertifikat, ssl Zertifikat... Damit du die Basics dahinter verstehst. Dann gerne konkrete Fragen, falls Unklarheiten
Bin noch Synology Neuling, wusste nicht, dass openssl bei Synology schon implementiert ist
 

THDev

Benutzer
Mitglied seit
27. Mrz 2020
Beiträge
354
Punkte für Reaktionen
122
Punkte
93
Huh? Ist doch irelevant. Die Zertifikate kannst du auch auf einem anderen Gerät erzeugen.
 
Zuletzt bearbeitet von einem Moderator:

RichardB

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2019
Beiträge
3.576
Punkte für Reaktionen
886
Punkte
174

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen @andronex,
nochmal kurz zu openssl:
du kannst das auf jeder Linux Maschine nutzen. Auch für Windows ist das möglich
Da du ein Zertifikat für einen Nachweis einer sicheren https Verbindung herstellen willst, gilt es dabei einiges zu bedenken.
Grundsätzlich ist openssl quasi ein Programm, mit welchem du in die Lage versetzt wirst, eigene Zertifikate auszustellen. Diese werden von deiner eigenen CA (Certificate Authority) ausgestellt. Natürlich ist eine einfache eigene CA nicht vergleichbar mit den großen, anerkannten CAs. Daher gilt das dann eben auch nur für den Heimgebrauch!!
Der Ablauf ist immer gleich (kurz und schematisch mal dargestellt):
1. du installierst openssl
Windows:
https://www.windowspro.de/tipp/openssl-windows-installieren-hashes-erstellenbei Linux ist das idR schon dabei, sonst (ubuntu):
https://ubuntuforums.org/showthread.php?t=2110429
2. du erstellst eine eigene CA (da du vermutlich noch keine hast. Dieser Schritt muss nur einmalig ausgeführt werden, denn danach hast du ja deine eigene CA, die du auch laufen lassen kannst.
https://legacy.thomas-leister.de/eine-eigene-openssl-ca-erstellen-und-zertifikate-ausstellen/oder auch die anderen links in meinem Beitrag oben

3. mit der frisch erstellten CA kannst du dann loslegen und eigene Zertifikate erstellen, eben für all die Geräte, die du im Heimnetz via https erreichen willst (zB NAS)
dazu siehe auch die links von meinen posts

4. Das Zertifikat musst du dann auf den Geräten installieren (hier zB NAS). Das kann man über die GUI machen...

5. Wenn alles fertig ist und du dann das erste mal die https-Seite fürs NAS aufrufst, wird die Enttäuschung vermutlich groß sein, denn der Browser meckert immer noch. Warum? Weil der Browser zwar erkennt, dass da ein neues Zertifikat vorhanden ist. Er kennt aber nicht die CA, die dafür verantwortlich ist, denn (klaro), die hast du ja eben erst neu gemacht. Also musst du dem Browser mitteilen: hier, schau, das Ding ist korrekt ausgestellt von der CA andronexseinesuperduperCA (o.ä.). Das geht so:
https://thomas-leister.de/ca-zertifikat-importieren-linux-windows/
Dann sollte gut sein.
Du findest im Netz sicherlich auch andere Anleitungen, als die hier geposteten. Ist am Ende aber im Grundsatz immer derselbe Weg.

Wie gesagt, wenn du das wirklich machen willst, es ist nicht so schwer und beim 2. oder 3. Mal wird es einfacher... ;)
Alternativ kannst du eben (manchen) Browsern sagen "ach, komm, leck mich, das Ding ist okay, hör auf zu nerven".
Zweite Alternative wäre: es gibt durchaus Menschen, die alles über http(ohne s) laufen lassen, da ja NUR IM EIGENEN NETZ darauf zugegriffen wird. Es ist also durchaus okay für viele, dass im eigenen Netzwerk die Verbindungen UNVERSCHLÜSSELT erfolgt. Ob du das so oder so machen willst musst du am Ende eben selber für dich entscheiden.
Und wie immer hier: wenn Fragen oder Probleme auftauchen, dann frag. Dafür ist das Forum ja da...
Okay?
:)
 
  • Like
Reaktionen: andronex

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
Vielen Dank für die tolle Unterstützung, ich denke ich mach es, jetzt will ich es ausprobieren und auch was dazulernen, danke schön, melde mich wenn ich es geschafft habe :)
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Kommt darauf an...
In den anderen links mit Anleitung wird zunächst ein neues Verzeichnis erstellt, in dem sich der Krempel dann finden lässt.
Im normalen Ubuntu wäre das eigentlich dann dein home Verzeichnis.
Geh nochmal auf die Konsole in deiner virtuellen Ubuntu Version und schau, wo du dich da befindest...
Zur allergrößten Not fängst du neu an, erstellst aber auf der Konsole zuerst ein Verzeichnis mit mkdir und nennst das ggf ssl...
 

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
Hallo,
habe es nun geschafft das Zertifikat zu erstellen, ich musste kein Verzeichniss anlegen, es war schon da, ist wahrscheinlich schon automatisch angelegt worden.
Ich habe jetzt 3 Dateien, wie in der Anleitung beschrieben
  • Private Key des Zertifikats (zertifikat-key.pem)
  • Public Key des Zertifikats (zertifikat-pub.pem)
  • Public Key der CA (ca-root.pem)
(ausserdem in dem Ordner noch 2 weitere: ca-root.srl und ca-key.pem

Bei dem Import werden folgende Dateien verlangt:
privater Schlüssel = zertifikat-key.pem ,denke ich
Zertifikat = zertifikat-pub.pem ?
Zwischenzertifikat = ?


Welche muß ich wo auswählen?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat