Zwischenzertifikat (Intermediate) wird nicht erkannt

  • Hallo,


    ich versuche aktuell auf meinem QNAP 453 Pro mit 4.1.4 Firmware ein öffentliches SSL Zertifikat von Comodo für meine Domain einzuspielen.


    Das Zertifikat ist auch richtig eingespielt und wird auch erkannt. Siehe auch https://ssl-trust.com/SSL-Zertifikate/check. Die Überprüfung bringt mir allerdings auch den Fehler, dass das übergeordnete Zertifikat nicht erkannt wurde. Dies hat den normalen Fehler, dass in verschiedenen Browsern immer noch die Sicherheitabfrage kommt.


    Das Zwischenzertifikat wird auch in die uca.pem reingeschrieben und sieht meines Wissens auch korrekt aus.



    In verschiedenen Google Treffern habe ich gelesen, das ich auch einer conf Datei etwas ändern muss. z.B.: die #SSLCertificateChainFile (das # entfernen)
    Das alles funktioniert aber auch nicht.


    Eventuell hat einer einen Tip, was ich hier noch falsch mache.


    Vielen Dank

    Einmal editiert, zuletzt von dr_mike () aus folgendem Grund: Code Block hinzugefügt, siehe Forenregeln!

  • Hallo nadstefan,


    Hast du schon eine Lösung für das Problem gefunden?


    Habe das selbe Problem unter der Firmware 4.2


    Wo genau liegt das uca.pem Zertifikat in der Firmware 4.1.4?


    Gruss

  • Hallo Hudi,


    leider habe ich noch keine Lösung dafür gefunden... (obwohl ich mich echt schon lang damit beschäftigt habe)


    Die uca.pem liegt im Verzeichnis etc/config/stunnel/

  • Herzlichen Dank für deine Mitteilung.


    Habe das ganze schon mit dem Zertifikat von QNAP versucht, das wo man nur mit der Firmware 4.2 Kaufen kann.
    (Hier gibt es auch keinen Erfolg zu bezeichnen. Es sollte sich nach mir um einen Firmware Fehler Handel oder ich bin einfach zu dämlich das Zertifikat richtig zu installieren :-/ )

  • Hallo nadstefan,


    Das Problem kommt laut meiner SSL Zertifizierungsstelle vom QNAP Server.
    Laut Zertifizierungsstelle ist der Grund für das Problem die Aktive und Veraltete "RC4 cipher Algorithmus"


    Mal schauen die ich das Deaktiviert bekomme.


    Gruss

  • Hi Hudi,


    danke für die Rückmeldung ;)


    Ich habe am Freitag nochmal einen Remote Termin mit meinem Zertifikat Anbieter, er wird sich das anschauen. Mal schauen was ich noch rausbekomme.
    Aber ich werd das auf jeden Fall erwähnen.


    Ich melde mich dann auch noch mal hier.


    Was mich wundert, das angeblich "ALLE" das zum laufen bekommen haben.


    Gruss Stefan

  • Teste deine seite doch noch hier: https://cryptoreport.websecuri…ecker/views/certCheck.jsp


    Mein Server hat:
    RC4: Enabled
    "This server uses the RC4 cipher algorithm which is not secure. Disable the RC4 cipher suite and update the server software to support the Advanced Encryption Standard (AES) cipher algorithm. Contact your web server vendor for assistance."


    Habe schon ein Ticket bei QNAP deponiert, hoffe was es hierfür eine schnell Lösung gibt.


    In der Aktuellsten Beta 4.2 wurde noch nichts behoben.

  • Hi Hudi ;)


    ich will ja nicht quengeln ;)


    Ich habe noch eine andere Domain, die auf einem Server 2003 ( :shock: ) läuft. Da ist das gleiche/selbe Problem. RC4 ist enabled aber trotzdem wird das Zwischenzertifikat erkannt. Diese Domain läuft einwandfrei.


    Auf der QNAP wird das RC4 auf der Testseite aber auch dementsprechend mit Fehler dargestellt. Was mir aufgefallen ist, dass bei der QNAP das positive SSL Zertifikat an erster Stelle kommt und bei meinem alten Server erst das CA Zertifikat und dann das positive SSL.


    Ich befürchte fast, das QNAP etwas grundlegendes falsch macht.


    Wenn du magst kannst du mir mal eine PN schreiben, dann zeig ich Dir das. Vielleicht magst du mir auch dann das Ticket mal nennen.


    Gruss Stefan

  • Hallo nadstefan,


    Wir haben schon ex mal Tickets erstellt. Jedoch ohne Erfolg.


    QNAP kann ich Mittlerweile niemandem mehr Empfehlen.


    SSL Funktioniert nicht, die SQL erhält endlich in der Beta Firmware ein Update und wurde auch noch gleich durch was Kostengünstigeres ersetzt.
    (Die Beanstandung für endlich ein SQL Update ging über ein ganzes Jahr) somit rechne ich nicht mit einer schnellen Lösung des SSL Problems


    Wir werden so rasch wie möglich sämtliche KMU QNAP Server ersetzen.


    --- ModEdit ---


    Das habe ich noch gefunden jedoch noch nicht probiert.


    Versuch es doch ansonsten hiermit noch
    https://desmondoshiwambo.wordp…-the-web-admin-qts-4-4-1/

    2 Mal editiert, zuletzt von hudi30 ()

  • LÖSUNG


    Hallo nadstefan,


    Die Lösung ist ganz einfach und eigentlich sehr simpel.


    Wir haben ein SSL Zertifikat für den Server gekauft.
    Dieses wird hier „/etc/stunnel“ eingetragen.


    Betroffene Daten:
    stunnel.pem
    uca.pem


    (Somit ist der Server selber gut und kostengünstig geschützt mit einer myqnapcloud.com Domain)


    Wir haben anschliessend den Virtuellen Host aktiviert.


    hier haben wir 2 unterschiedliche Webseiten eingetragen


    http://www.domain1.com http 80
    http://www.domain2.com http 80
    http://www.domain2.com https 443


    anschliessend haben wir folgende Daten „/etc/stunnel“ eingespielt.


    Betroffene Daten:
    www_domain2_com.ca-bundle (Zwischenzertifikat)
    www_domain2_com.crt (Zertifikat)
    www_domain2_com.key (Zertifikaten Schlüssel)


    anschliessend haben wir hier „/usr/local/apache/conf/extra“ folgendes bearbeitet.


    Betroffene Daten:
    httpd-ssl-vhosts-user.conf


    Eintrag ergänzen:
    SSLCertificateFile "/etc/stunnel/www_domain2_com.crt"
    SSLCertificateKeyFile "/etc/stunnel/www_domain2_com.key"
    SSLCertificateChainFile "/etc/stunnel/www_domain2_com.ca-bundle"


    Anschliessend nur noch den Virtuellen Host deaktivieren und wieder Aktivieren. :thumb:

  • Das SSL Zertifikat wird in beide Dateien eingetragen? (uca.pem und Stunnel.pem)
    Bei mir ist in der uca.pem das Zwischenzertifikat und in der Stunnel.pem der Private Key und mein Server Zertifikat.


    Die anderen Schritte sind soweit klar.


    Mit meinem Anbieter kam ich nicht weiter, er versuchte mir dann in der Verzweiflung klar zu machen, dass das Zertifikat richtig eingespielt ist. Die Tests von diversen Seiten hat er ignoriert.

  • QNAP Gekauftes SSL Zertifikat wird so eingetragen


    stunnel.pem (Key und Zertifikat hier Eintragen)
    -----BEGIN PRIVATE KEY-----
    -----END PRIVATE KEY-----


    -----BEGIN CERTIFICATE-----
    -----END CERTIFICATE-----


    uca.pem (Das CA Bundle vom Zertifikathersteller hier Eintragen)
    -----BEGIN CERTIFICATE-----
    -----END CERTIFICATE-----


    -----BEGIN CERTIFICATE-----
    -----END CERTIFICATE-----


    -----BEGIN CERTIFICATE-----
    -----END CERTIFICATE-----


    Wenn du alles Gespeichert hast starte das NAS am besten neu statt "Anschliessend nur noch den Virtuellen Host deaktivieren und wieder Aktivieren."

  • So hab mich jetzt noch mal damit rumgespielt und bin zu einem Ergebnis gekommen. Es geht nicht! :D


    Deine Lösung funktioniert bei mir leider nicht. Sobald der Virtuell Host neu gestartet wird, wird die Datei "httpd-vhosts-user.conf" wieder überschrieben.
    Ich glaub ich bin damit durch und auch ziemlich gefrustet.


    Danke trotzdem Hudi

  • Hallo nadstefan,


    Genau wie du bemerkt hast wir beim Neustart des Virtuell Host die Datei "httpd-vhosts-user.conf" immer und immer wieder überschrieben.


    Wenn du den Virtuell Host eingestellt hast und anschliessend die Datei "httpd-vhosts-user.conf" bearbeitest hast darfst du auf keinen Fall irgendetwas mehr am Virtuell Host ändern (kein Deaktivieren oder Aktivieren / keine Ergänzungen eintragen ansonsten überschreibt es dir die Datei "httpd-vhosts-user.conf" immer und immer wieder)


    Du darfst nach dem Eintrag der Datei nur noch den Kompletten Server Herunterfahren oder Neustarten. Bei diesem Vorgang bleibt die Änderung in der Datei "httpd-vhosts-user.conf" erhalten!


    Sollte immer noch nicht klappen kann ich mir das ansonsten mit Teamviewer anschauen.


    Lg hudi30

    Einmal editiert, zuletzt von dr_mike () aus folgendem Grund: Unnötiges Volltext-/Direktzitat entfernt! - siehe Forenregeln!

  • Habe im Moment auch noch das gleiche Problem:

    Zitat von QNAP

    [Security] Intermediate Certificate validation failed

    Zitat von SSL-Checker

    "Contact the certificate supplier to download and install the missing certificate"
    "This server is vulnerable to a BEAST attack"

    Zitat von SSL-Trust

    Das übergeordnete Zertifikat ist leider nicht bekannt.


    Wo liegt jetzt der Fehler? Eine uca.pem Datei existiert bei mir gar nicht ????


    Unter Systemsteuerung > Sicherheit > Zertifikat & Privater Schlüssel benötige ich drei Abschnitte:
    -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    EDIT: LÖSUNG für "This server is vulnerable to a BEAST attack."


    - Abschnitt 1 (Zertifikat) (vom Aussteller (Comodo))
    >>> domain_tld.crt


    - Abschnitt 2 (Privaterschlüssel) (z.B. mit CSR-Generator erzeugt)
    >>> Private KEY


    - Abschnitt 3 - Zwischenzertifikat 'intermediate' (vom Aussteller (Comodo))
    >>> domain_tld.ca
    -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

    8 Mal editiert, zuletzt von Hubert00 ()

  • Hallo Hubert,


    ich habe mit diesem Problem abgeschlossen (Zwischenzertifikat)... Habe es nicht hinbekommen.
    Aber ich habe auch ""This server is vulnerable to a BEAST attack."bei meinem Test. Ich vermute es liegt am Zertifikat.

  • Ich verstehe es nicht. Es sind doch nur drei Abschnitte die man füllen muss. Wieso klappt es über Android nicht??? Es ist nirgends die Rede vom Root-Zertifikat, das muss doch auch irgendwo rein ?!?!


    So wie dieses Forum soll es funktionieren, da kommt weder auf dem Desktop noch auf dem mobilen Gerät eine Hinweismeldung. Kann doch nicht so schwer sein ;(




    Bleibt immer noch das Problem, dass bei Android der Fehler angezeigt wird... das ist doch ein QNAP-Bug ?!

    Hier wäre noch son MacGyver-Trick:
    Echtes SSL Zertifikat nutzen. Apache SSL Einstellungen werden überschrieben

    2 Mal editiert, zuletzt von Hubert00 ()

  • Ich habe mal ein Ticket eröffnet... irgendwas muss da faul sein:
    Es muss doch möglich sein, ein vertrauenswürdiges SSL Zertifikat zu implementieren, OHNE in den tiefen Wurzeln der Systemstruktur eingreifen zu müssen ?(


    SSLCHAIN.JPG

    Einmal editiert, zuletzt von Hubert00 ()

  • Wenn du dafür eine Lösung findest bist du mein persönlicher Held!


    Von wem hast du das Zertifikat? PSW Group?



    P.S.: Ich glaube das die Zertifikate zusammengebastelt werden müssen, aber es kann keiner sagen wie!