Toggle sidebar

Photo Station Zertifikatfehler bei Photo Station 6 über HTTPS

Status
Für weitere Antworten geschlossen.
P

Plasma

Benutzer
Mitglied seit
13. Aug 2007
Beiträge
13
Punkte für Reaktionen
0
Punkte
0
Hallo Zusamnmen,

ich hoffe ich bin mit meiner Anfrage hier richtig:
mit etwas Arbeit habe ich meine Photo Station 6 endlich zum laufen bekommen und die notwendigen Einstellungen im DMS (5.2) vorgenommen, damit diese auch von außen erreichbar ist.
Eine Verbindung möchte ich ausschließlich über HTTPS erlauben und es funktioniert auch soweit, bis auf die Tatsache, dass ich bei jedem Rechner erstmal einen Zertifikatsfehler bekomme.
Das Erstellen eines eigenen Zertifikats (unter DMS/Security/Certificate) hat nichts gebracht, außer, dass nun auch noch die Anmeldung am DSM (über HTTPS) auch noch einen Zertifikatsfehler wirft. :confused:

Meine Fragen:
- Warum bekam ich am Anfang kein Zertifikatsfehler bei einloggen ins DSM (aus dem Heimnetz) aber doch beim einloggen in die Photo Station (über Internet) und nach dem Erstellen eines eigenen Zertifikats auch noch beim einloggen ins DSM (übers Heimnetz)?
-> Weiss jemand, wie ich diese Fehler loswerde, bzw. wie ich an gültige Zertifikate rankomme?
- Habe ich mir nun etwa das "default Zertifikat" des DSM zerschossen? (Wie komme ich wieder an das alte Zertifikat ran?)

Leider kenne ich mich mit dieser Zertifikatsmaterie nicht aus, daher bin ich auf etwas Hilfe angewiesen,
Vielen Dank im Voraus,
Plasma
 
Die Zertifikate sind gültig und nicht kaputt. Auch die Verbindung ist immer verschlüsselt. Es wird (normal) nur über den Namen / URL gemeckert über die du zugreifst, weil diese nicht mit dem Zertifikat übereinstimmt.

Allerdings wirst du immer einen Zertifikatsfehler solange du selbst erstellte Zertifikate benutzt und keine Ausnahmegenehmigung im Browser definierst.
Zertifikate werden immer auf Gültigkeit und Authentizität gegen eine Certificate Authority (CA) geprüft.

Wenn du also keine Fehlermeldung erhalten willst, ohne vorher das entsprechende Zertifikat im benutzten Browser zu installieren oder eine Ausnahmegenemigung zu erstellen, mußt du ein selbst erstelltes Zertifikat per Certificate Signing Request (CSR) bei einer CA unterschreiben lassen oder dir direkt dort ein Class-1 Zertifikat ausstellen lassen. Bei StartSSL z.B: ist dies kostenlos. Andere Anbieter rufen ein paar € im Monat auf.

Das Zertifikat (Common Name) muß dann auf deinen DDNS Namen lauten. Und über die muß dann auch der Zugriff laufen. Wenn du direkt per PublicIP zugreifst wirst du wieder eine Fehlermeldung erhalten.

Wieso jetzt am Anfang kein Fehler angezeigt wurde ist nicht eindeutig. Entweder hast du unbewußt irgendwann mal eine Ausnahmegenehmigung erteilt und gespeichert oder bist eben nur unverschlüsselt auf das DSM gelangt.
 
Hi Fusion,

vielen Dank für die sehr klare Erklärung!
Ich werde mich mal mit StartSSL beschäftigen.

Vielen Dank,
Plasma
 
Fusion schrieb:
... oder dir direkt dort ein Class-1 Zertifikat ausstellen lassen. ....
Zum Vergrößern anklicken....
Hiervon ist eindeutig abzuraten! Wenn der Anbieter selbst das Zertifikat erzeugt (genauer gesagt das Schlüsselpaar, also privater Key plus öffentlichem Serverzertifikat), dann ist Dein Server schon praktisch kompromittiert. Der private Key sollte ausschließlich auf einem Deiner Rechner erzeugt werden und diesen nicht verlassen!
Also immer selbst das Zertifikat mit privatem Schlüssel erzeugen und dazu einen entsprechenden CSR, den man an die gewählte CA gibt - dieser holt sich daraus die Angaben für das Zertifikat und gibt Dir das signierte Serverzertifikat zurück.

Eine gute Anleitung für StartSSL gibt es hier.
 
Danke für die Korrektur @Frogman. Wollte es eigentlich in Klammern erwähnen, aber habs offensichtlich vergessen.

Ist ja inzwischen auch recht komfortabel, das Schlüsselpaar und den CSR von der Diskstation zu bekommen.
 
Hallo
Habe das gleiche Problem, die Android App will gar nicht über SSL gehen wegen dem Zertifikat.
Wie bekomme ich das Schlüsselpaar, läuft das über Telnet?(werde mit Linux nicht warm) und Eingabe dann der Codes:
openssl genrsa -out example.com.key 2048
openssl req -new -key example.com.key -out example.com.csr
Danke
lg

## ach neh, ist das jetzt einfach Zertifikat exportieren und darin mit den 4 files findet sich jetzt alles was zum regisitrieren gebraucht wird? wäre ja zu einfach gewesen....
 
Teils teils.
Je nachdem wo der eigene Startpunkt ist.

Zuerst Neues Zertifikat, CSR, danach dann via StartSSL und das unterschriebene dann via Zertifikat importieren.

Bei Zertifikat export bekommt man wie du gesehen hast wichtige files, aber eben keinen CSR.
Solange das aktive Zertifikat nicht von StartSSL ist, kann man denke ich einfach ein neuen CSR mit denselben Daten erstellen und dann wie oben vorgehen.
Andernfalls kann man für laufende Zertifikate nur ab 2 Wochen vor Ablauf neue unterzeichnen lassen.
 
Hi
ich habe von Synology ein PDF für die Erstellung vom Zertifikat bekommen, werde das mal abarbeiten, aber da brauche ich Zeit dafür...
lg
 
Wer StartSSL-Zertifikate verwendet sollte auch nicht vergessen, dass Intermediate-Zertifikat (heisst in Deutsch in DSM Zwischenzertfifikat) mit zu installieren, ansonsten kann es zu Fehlermeldungen kommen.
Steht auch so im Heise-Artikel, nur dass es in Synology komischerweise Zwischenzertifikat heisst steht da nicht.
 
Liegt doch einfach daran, dass sich der heise-Artikel mit StartSSL und einem allgemeinen Server beschäftigt und nicht explizit mit einer DS. Und die GUI der DS ist nun einmal lokalisiert - in der englischen Version heißt's ja auch 'Intermediate'.
 
Es gibt einfach Begriffe bei denen es besser ist, wenn man sie nicht übersetzen würde, einen root oder ein root-zertifikat würde man ja auch nicht übersetzen.

Aber seis drum, wollte nur den Hinweis geben, das Intermediate Zertifikat nicht zu vergessen.
 
MadMarvin schrieb:
... einen root oder ein root-zertifikat würde man ja auch nicht übersetzen.
Zum Vergrößern anklicken....
Wie kommst Du darauf? Schau mal hier hinein - der Begriff "Wurzelzertifikat" ist gebräuchlich und auch in Normungsunterlagen des BSI in Verwendung. Und Synology ist auch bei weitem nicht der einzige Anbieter, der im Deutschen "Zwischenzertifikate" benennt. Man geht ja irgendwie davon aus, dass die Benutzer (ähm, sorry... User) zweisprachig sind ;)
 
Zuletzt bearbeitet:
Darf ich mich hier mal anschließen, da der Thread aktuell ist und fast mein Problem beschreibt?

Ich habe bei Selfhost.de einen Account um Anfragen von Außen auf meine Diskstation umzuleiten. Diese Angaben hab ich auf meiner FritzBox hinterlegt.
Bisher war ich mit einem selbst ausgestellten Zertifikat von der Synology DSM ganz gut ausgekommen. Da ich jetzt aber öfter z.B. Sammlungen von Bildern mit anderen teilen möchte, musste ich das Zertifikatsproblem nochmal angehen.

Also hab ich auf einer Domain die ich besitze eine Subdomain erstellt und diese per CNAME nach Selfhost.de umgeleitet. Dann ging ich daran und habe bei StartSSL ein Zertifikat für diese Subdomain erstellt. Das Zertifikat (also den privaten, selbst erstellten Schlüssel, das zugehörige, selbst erstellte Zertifikat sowie die Konfigurationsdatei von StartSSL) habe ich in der DSM unter Sicherheit/Zertifikat importiert.

Sollte doch alles passen soweit, oder? Es wird dort ein gültiges Fremdzertifikat ausgewiesen.

Trotzdem bekomme ich weiterhin eine Fehlermeldung, wenn ich z.B. über sub.domain.de/photo auf meine Photostation zugreifen will. Der Browser zeigt ein Zertifikat von Selfhost.de an und moniert dieses.

Tue mich da momentan schwer und kriege diese Sachen nur mit Mühe nach Anleitung hin. Könnt ihr mir weiterhelfen?
Danke!

PS: Dass die FritzBox weiterhin unter DynDns zu "Selfhost" schaut, ist richtig so? Oder soll ich die nun auf meine eigene Subdomain verweisen?
 
Also wenn du es so gemacht hast wie ich es verstehe hast du die Umleitung verkehrt herum gemacht. Deshalb wo hast du das Cname eingetragen?
 
Da dürftest Du Recht haben (Denkfehler bzw. Verständnisproblem).
Aber wie kann ich bei Selfhost.de einen CNAME anlegen? Ich versuche es über eine neue Subdomain, wähle dort CNAME aus, aber dort heißt es dann immer, es sei kein CNAME für Subdomains möglich.
Außerdem ist mir nicht klar, was ich bei Content/Ziel (Host) eintragen muss.
 
Also wenn du bei deiner Domain die selfhostadresse als cname eingetragen hast, dann sollte das stimmen. Hast du bei selfhost das kostenlose Paket kann es sein dass einiges nicht geht. Ich habe meine Domain komplett bei selfhost deshalb habe ich keinerlei beschränkungen. Wenn du bei deiner Domain einen Dyndns dienst hast frage ich mich warum du selfhost verwendest, solltest du das machen weil dein Anbieter keinen Dyndns Dienst anbietet (1und1) dann ist die Frage wohin dein Eintrag im Router zeigen soll hinfellig (zu der Adresse die du über den Dyndns zugang aktuallisierst also selfhost) Was mich wunder ist dass du sagst im zertifikat stünde selfhost.de auf welche Domain hast du es ausgestellt?
 
Also dann entnehme ich Deinen Antworten:
  • CNAME Eintrag bei meiner eigenen Domain ist korrekt und soll bleiben
  • DynDNS Eintrag im Router verweist korrekt auf Selfhost

Zu Deinen Fragen:
  • Mein Selfhost Account ist der kostenlose
  • Aber wenn ich es jetzt richtig verstanden habe, brauche ich gar keinen CNAME Verweis bei Selfhost?
  • Das Zertifikat bei StartSSL habe ich auf meine eigene Domain und auf die neu angelegte Subdomain dort (für meine Diskstation) angelegt

Sorry mir fällt es recht schwer bei den ganzen Umleitungen/Verweisen etc. noch durchzublicken. Freue mich über Tipps.
 
lese dir mal den thread durch, denn dort ist es so wie deine Konstellation vielleicht findest du da den Fehler.
http://www.synology-forum.de/showthread.html?69444-Serverzertifikat
Ich habe wie gesagt meine Hauptdomain bei selfhost (damit ich auch über den Mailrelay mails versenden kann) und somit keinen Cname eintrag für eine Umleitung mit zertifikat. Ich habe mein startssl zertifikat auf www.meinedomain.de ausgestellt (www ist streng genommen auch eine subdomain) und damit funktioniert dann auch http://meinedomain.de. Noch als hinweis solltest du deine domain bei der Webstation als virtual host eintragen, dann kannst du darüber die Photostation nicht mehr aufrufen. Also wenn deine Webseite auf der DS unter www.meinedomain.de erreichbar ist, dann geht www.meinedomain.de/photo nicht.
 
Meine Website ist eine Subdomain meiner Domain, das sollte kein Problem geben.

Komisch ist: In der DSM wird ausdrücklich das gültige Fremdzertifikat von StartCom ausgewiesen.
Trotzdem bekomme ich auf "https://sub.meinedomain.de" noch das selbst ausgestellte Zertifikat von selfhost.de geliefert. Wo kommt das her und wie kriege ich es weg??
Bei "sub.meinedomain.de:444" dagegen (Photo Station) bekomme ich das neue Zertifikat von StartCom geliefert, das die Synology DSM für gültig erklärt, aber es wird vom Browser (Safari) für ungültig gehalten!
Versuche ich es über "https://sub.meinedomain.de/photo", bekomme ich wiederum das alte Zertifikat von Selfhost.de.

Blickt da jemand noch durch?

DiskStation-Zert.jpg
 
Zuletzt bearbeitet:
Hast du mal die Einstellungen in Safari geprüft und dort mal die ganzen gespeicherten Zertifikate gelöscht die für selfhost und domain dort eingetragen sind?
Jedenfalls fällt mir sonst nix ein, wo das selfhost Zertifikat noch herkommen soll, wenn die syno schon auf StartSSL läuft und außer Syno und Browser nichts anderes in der Kette hängt.

Ansonsten kannst du auch einem von uns mal eine PM mit der richtigen URL schicken, dann können wir das mal von unserer Seite aufrufen.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten