Zertifikat via SSH erstellen

Status
Für weitere Antworten geschlossen.

Keek

Benutzer
Mitglied seit
10. Apr 2012
Beiträge
40
Punkte für Reaktionen
0
Punkte
0
Kann mir jemand helfen, sodass ich das mit den Zertifikaten wieder hinbekomme.
Irgendwie habe ich da scheinbar etwas verhunzt :/
 

Keek

Benutzer
Mitglied seit
10. Apr 2012
Beiträge
40
Punkte für Reaktionen
0
Punkte
0
Hey, vielen Dank für deine Antwort.
Wie ich in meinem Post davor beschrieben habe, ist dabei ein Fehler aufgetreten.
Ich bin allerdings folgender Anleitung gefolgt, weil ich mit der aus dem Wiki nicht so recht klar gekommen bin.
http://iphoneinaktion.de/2011/08/sy...enerieren-fur-sicheren-zugriff-von-unterwegs/

Hallo,

ich habe auch Probleme das Zertifikat in einen Ordner meiner Wahl zu kopieren.

NAS> cp ca.crt /volume1/home
cp: can't stat 'ca.crt': No such file or directory


oder

NAS> cp /usr/local/ssl/ssl.crt/ca.crt /volume1/home
cp: can't stat '/usr/local/ssl/ssl.crt/ca.crt': Not a directory


Kann mir jemand helfen? Wenn ich nun dir eingebe, sehe ich auch keine Datei die sich ca.crt nennt.

edit: Seltsam, nun wo ich
cp /usr/syno/etc/ssl/ssl.crt/ca.crt /volume1/home

eingegeben habe hat es funktioniert, obwohl ich ich eigentlich die Dateien wo anders gespeichert habe...
Naja so ganz Blick ich durch dieses Terminal nicht durch.

edit2:
Nun, scheinbar habe ich das alte Synology Zertifikat heruntergeladen. Das Zertifikat welches ich selbst erstellt habe finde ich irgendwie nicht. :/
 

joku

Benutzer
Mitglied seit
06. Mrz 2011
Beiträge
6.664
Punkte für Reaktionen
2
Punkte
164
Wie ich in meinem Post davor beschrieben habe, ist dabei ein Fehler aufgetreten.
Ich hab das schon gelesen. Wenn Du es so wie in den Link beschrieben gemacht hast ..
NAS> cp /usr/local/ssl/ssl.crt/ca.crt /volume1/home
cp: can't stat '/usr/local/ssl/ssl.crt/ca.crt': Not a directory
hast Du mkdir /usr/local/ssl vergessen ?

Gruß Jo
 

Keek

Benutzer
Mitglied seit
10. Apr 2012
Beiträge
40
Punkte für Reaktionen
0
Punkte
0
Nein. Das habe ich nicht vergessen. Ich führe die Anleitung noch einmal durch. Mal schauen ob es dann vielleicht klappt.
 

Keek

Benutzer
Mitglied seit
10. Apr 2012
Beiträge
40
Punkte für Reaktionen
0
Punkte
0
Nein. Das habe ich nicht vergessen. Ich führe die Anleitung noch einmal durch. Mal schauen ob es dann vielleicht klappt.

Und ich bleibe bei folgender Stelle hängen:

NAS> mv ca.crt /usr/syno/etc/ssl/ssl.crt
mv: can't rename 'ca.crt': No such file or directory

Es scheint also die Datei ca.crt oder das o.g. Verzeichnis nicht zu geben...

Ich habe auch einmal einen Buchstaben zu wenig kopiert, deswegen scheint da nun noch ein falsches Verzeichnis angelegt geworden zu sein.
Weiß auch nicht wie ich das weg bekommen kann.
Bildschirmfoto 2012-05-05 um 11.11.08.png
 
Zuletzt bearbeitet:

joku

Benutzer
Mitglied seit
06. Mrz 2011
Beiträge
6.664
Punkte für Reaktionen
2
Punkte
164
NAS> mv ca.crt /usr/syno/etc/ssl/ssl.crt
mv: can't rename 'ca.crt': No such file or directory
wo befindest du Dich hier ?
pwd
ls /usr/syno/etc/

mv ca.crt funktioniert nur wenn Du in den Verzeichniss bis.

Gruß Jo
 

Keek

Benutzer
Mitglied seit
10. Apr 2012
Beiträge
40
Punkte für Reaktionen
0
Punkte
0
Hey,

sorry habe es früher nicht geschafft.
Ich müsste mich im Hauptverzeichnis befinden.

Jetzt gehen wir mit dem Befehl “dir” zurück ins root-Verzeichnis. Von dort aus verschieben wir unsere erstellen Dateien und Zertifikate in das Zertifikatsverzeichnis. Nacheinander geben wir folgende Befehle ein: “mv ca.crt /usr/syno/etc/ssl/ssl.crt” Return, ”mv server.crt /usr/syno/etc/ssl/ssl.crt” Return, ”mv ca.csr /usr/syno/etc/ssl/ssl.csr” Return, ”mv server.csr /usr/syno/etc/ssl/ssl.csr” Return, ”mv ca.key /usr/syno/etc/ssl/ssl.key” Return, ”mv server.key /usr/syno/etc/ssl/ssl.key” Return.*
*http://iphoneinaktion.de/2011/08/sy...enerieren-fur-sicheren-zugriff-von-unterwegs/

Ich habe nun versucht in das Verzeichnis zu kommen. Mit folgendem Befehl:
cd /usr/syno/etc/ssl bzw cd /usr/syno/etc. Da ich nicht genau weiß in welches Verzeichnis ich muss.

Habe dann mv ca.crt /usr/syno/etc/ssl/ssl.crt eingegeben.
Bekomme dann wieder folgende Meldung:
mv: can't rename 'ca.crt': No such file or directory

edit: Ich habe soeben selber den Fehler gefunden. Ins Hauptverzeichnis geht man nicht mit dir, sondern mit cd.
Grrr.. :/
 
Zuletzt bearbeitet:

Keek

Benutzer
Mitglied seit
10. Apr 2012
Beiträge
40
Punkte für Reaktionen
0
Punkte
0
Hallo, kein Problem, wie sieht es aus ?
Alles so wie Du es brauchst oder klemmt es noch wo ?
Gruß Jo

Siehe meine edits... Habs nun geschafft. Ich habe aufjeden Fall den falschen Ordner "ba" (anstatt "bak") erstellt.
Wie kann ich den löschen?

Unter "cd /usr/syno/etc/ssl"
Habe ich unter anderem folgende Verzeichnisse:
drwxr-xr-x 2 root root 4096 May 5 11:05 ba
drwxr-xr-x 5 root root 4096 May 5 11:05 bak
drwxr-xr-x 5 root root 4096 May 5 11:05 bak?


Gehört das "bak?" Verzeichnis dort hin?
 

joku

Benutzer
Mitglied seit
06. Mrz 2011
Beiträge
6.664
Punkte für Reaktionen
2
Punkte
164
Wie kann ich den löschen?
rm -rf verzeichniss
option f löscht ohne nachfrage
option r löscht alles rekursiv
Vorsicht !!!!!
Habe ich unter anderem folgende Verzeichnisse:
drwxr-xr-x 2 root root 4096 May 5 11:05 ba
drwxr-xr-x 5 root root 4096 May 5 11:05 bak
drwxr-xr-x 5 root root 4096 May 5 11:05 bak?

Gehört das "bak?" Verzeichnis dort hin?
Ich denke mal nicht :)
cd /usr/syno/etc/ssl/
rm -rf ba

Gruß Jo
 

Keek

Benutzer
Mitglied seit
10. Apr 2012
Beiträge
40
Punkte für Reaktionen
0
Punkte
0
Okay Danke. Das bak? Verzeichnis konnte ich nicht löschen - ist aber glaube ich auch nicht so schlimm ;-)
 

joku

Benutzer
Mitglied seit
06. Mrz 2011
Beiträge
6.664
Punkte für Reaktionen
2
Punkte
164
Okay Danke. Das bak? Verzeichnis konnte ich nicht löschen
Das Fragezeichen ist vielleicht ein Sonderzeichen,
in dem Verzeichniss mal ls bak eintippen und dann TAB drücken.
Gruß Jo
 

samuelt2

Benutzer
Mitglied seit
09. Jan 2012
Beiträge
90
Punkte für Reaktionen
3
Punkte
8
Hallo Keek

Hast Du das mit dem Zertifikat jetzt hinbekommen? Also funktioniert alles ohne Warnung im IE, Firefox etc.?

Cheers
Trent
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Ohne Warnung im Browser kann es nur gehen wenn du 1. eine vertrauenswürdige CA-Stelle für die Signierung verwendest und wenn 2. der Name (CommonName) im Zertifikat mit dem Namen deines Hosts übereinstimmt. Es gibt einige Anbieter, die die Signierung gratis machen z.B. ca-cert oder startssl, wobei bei ersterem das Root Zertifikat afaik nicht als vertrauenswürdige CA-Stelle in den Browsern hinterlegt ist. Wenn man das Cert von extern signieren lässt, kann man auch auf die Erstellung eines ca.key verzichten. Den braucht man nur wenn man selber signieren will und das gibt mit Garantie eine Meldung in den Browsern. Wenn man der Anleitung im Wiki folgt, kann man also das "Kapitel" "Erstellung eines Stammzertifikates" weglassen und bei "Erstellung eines Serverzertifikats" ebenfalls den Punkt 3. weglassen. Aber nur wenn man es wirklich extern signieren lässt!
 

samuelt2

Benutzer
Mitglied seit
09. Jan 2012
Beiträge
90
Punkte für Reaktionen
3
Punkte
8
Besten Dank für Deine Hilfe!
Vorneweg: Wenn ich jetzt schon etwas gewurstelt habe gem. Anleitung, kommen sich dann irgendwelche Dateien in die Quere?
Dann: startssl habe ich schon einmal ausprobiert. Die Site ist aber ziemlich verwirrend, z. B. funktioniert der SignUp nicht einmal, wenn man zu langsam ist: https://auth.startssl.com/ (Meldung: Ein Fehler ist während einer Verbindung mit auth.startssl.com aufgetreten. Die SSL-Gegenstelle konnte keinen akzeptablen Satz an Sicherheitsparametern aushandeln. (Fehlercode: ssl_error_handshake_failure_alert)).

Fürs Verständnis: Wie muss ich mir die Signierung durch startssl vorstellen? Sende ich denen ein File und die setzen den Key ein?
Sorry, wie Du siehst bin ich blutiger Anfänger, daher danke für Deine Geduld.

Cheers
Trent
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
also das Erstellen eines Certs ist immer der gleiche Weg:
1. du erstellst bei dir lokal ein key File. Dieses ist geheim und darf niemals nach aussen gegeben werden
2. aus diesem Key leitest du einen CSR (Certificate Signing Request) ab
3. wenn man den CSR mit einem ca.key signiert ensteht daraus das CRT File

Das crt ist der öffentliche Schlüssel und der key der private. Die CA-authority wird also deinen csr nehmen mit ihrem CA-private-Key signieren und dir dann ein CRT zurückschicken. Dieses CRT kopierst du dann an die richtige Stelle
Oftmals verlangen Anwendungen die key resp crt Files in einem einzigen File (sogenannte pem Files). Die kann man relativ einfach erstellen. Man muss einfach die Reihenfolge im File beachten:
1. private Key des Servers
2. crt des Servers
3. crt das zum Key gehört welcher server.csr signiert hat
4. root Cert der CA-Authority. Also das Cert, das zum Key gehört, der das Cert unter 3. signiert hat

Also z.B.
Code:
cat server.key >> server.pem
cat server.crt >> server.pem
cat CA-intemediate.crt >> server.pem
cat CA-root.crt >> server.pem
wichtig wäre noch, dass nur der User root dieses File (server.pem) lesen darf, da sich darin der geheime private Key (server.key) befindet. Wobei nicht immer 3. angewendet werden muss. Je nach Anbieter wurde dein crt auch direkt mit dem root Key deiner CA-Auth signiert. Gerade wenn man selber signiert mit eigenem ca.key hat man eigentlich nie ein Intermediate Crt
 

samuelt2

Benutzer
Mitglied seit
09. Jan 2012
Beiträge
90
Punkte für Reaktionen
3
Punkte
8
Ok, jetzt klärt sich so langsam einiges. Mir ist aber längst noch nicht alles klar :D
Aber mit Deiner Anleitung werd ichs nochmals versuchen, vielen Dank!
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
wenn du das ein paar Mal gemacht hast (Zertifikate muss man ja immer wiedermal erneuern), dann wird plötzlich vieles klarer :)
Btw: bei ca-cert gibt es zwar einen Fehler im Browser weil dem CA-Crt ned vertraut wird, das Erstellen eines crt ist jedoch bei ca-cert imho einfacher als bei startssl. Zudem noch ganz wichtig: egal bei wem du das Cert machtst du musst auf deiner Domain Mails empfangen können. Wenn du also einen dyndns Domainnamen hast (oder auch no-ip oder wie sie alle heissen), dann wirst du kein Cert erstellen können bei diesen Anbietern. Denn die schicken zur Verifizierung eine Mail an die Hauptdomain und nur wenn du den Link dort klickst wird dein Account aktiviert. Das Problem ist, dass die dyndns Anbieter diese Mails verweigern, denn die Hauptdomain gehört nicht dir z.B. du hast xxx.dyndns.org und willst ein Cert dafür. Dann geht eine Mail an DEIN_USER@dyndns.org und die verweigert dyndns mit Garantie.
Lange Rede kurzer Sinn: auf Subdomains kann man nur dann Certs erstellen, wenn einem die Hauptdomain auch gehört und das ist bei dyn DNS Hostnamen afaik nie der Fall
 

samuelt2

Benutzer
Mitglied seit
09. Jan 2012
Beiträge
90
Punkte für Reaktionen
3
Punkte
8
Wenn das so ist... Dann kann ich mir eigentlich die komplette Mühe sparen:) Das heisst, ich muss zuerst eine IP-Adresse bei meinem Provider kaufen. Mal schauen ob sich dieser Aufwand für mich lohnt...
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat