[NAS Typ:] TS-219
[Firmware:] 3.1.0 Build 0529T
[Getestet:] ja
[Sonstige Modifikationen:] keine
Mich hat beim Zugriff auf das NAS über https immer gestört, dass ich diese Warnmeldungen vom Browser bekomme. Daher hier eine Anleitung zum kostenlosen Erstellen eines eigenen SSL-Zertifikats über den privaten Bereich.
Für ein eigenes SSL-Zertifikat wird für die Generierung OpenSSL benötigt, das für Windows z.B. unter
http://www.slproweb.com/products/Win32OpenSSL.html
zum Download bereit steht.
Zur Installation verweise ich auf die dortige Doku.
Erstellen des Zertifikats
1. Befehlsfenster öffnen und in das OpenSSL-Verzeichnis wechseln (cd \openssl). Dananch in das bin-Verzeichnis wechseln (cd bin).
2. Jetzt wird der geheime private Schlüssel mit 1024bit Länge (Kann auch angepasst werden) erstellt:
3. Im nächsten Schritt wird das NAS-Server-SSL-Zertifikat (Öffentlicher Schlüssel / Public Key) erstellt:
Basierend auf dem privaten Schlüssel wird die Datei server.crt im X.509-Format erzeugt. Die Gültigkeit ist auf 365 Tage eingestellt und kann angepasst werden.
Während der Erstellung werden Information zum Zertifikat abgefragt:
Country Name (2 letter code) [AU]: DE
State or Province Name (full name) [Some-State]: Hessen
Locality Name (eg, city) []: Frankfurt
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Familie Meier
Organizational Unit Name (eg, section) []: .
Common Name (eg, YOUR name) []: nas.fam-meier.de
HIER MUSS DER KOMPLETTE DNS-NAME DES NAS EINGETRAGEN WERDEN.
Wenn immer möglich, sollte auch hier mit einem FQD-Namen (Full qualified domain) gearbeitet werden. Schaut auf dem DHCP-Server (z.B. Router oder NAS) nach, ob dort ein Domainname im Format DOMAIN.ENDUNG hinterlegt ist. Wenn nicht, dann denkt euch einen aus, den ihr INTERN verwenden wollt. Wenn also die Rechner zu Hause über die Domain fam-meier.de erreicht werden, wird beim Common Name nas.fam-meier.de eingetragen. Das NAS MUSS über diesen Namen im Browser erreicht werden können (http://nas.fam-meier.de sollte also funktionieren).
Dies ist deswegen so wichtig, weil das Zertifikat später im Browser hinterlegt wird, damit nicht jedesmal die Fehlermeldung mit "Nicht vertrauenswürdiger Site" angezeigt wird.
Email Address []: admin@fam-meier.de
4. Jetzt sind im aktuellen Verzeichnis die Dateien private.key und server.crt angelegt worden.
5. Melde dich jetzt mit dem Browser in der NAS-Administration an und öffnen die Seite "Systemadministration -> Sicherheit" und klicke dann den Reiter "Wichtiges SSL-Sicherheitszertifikat" an. (Firmware 3.x)
6. Öffne mit dem Notepad-Editor die erstellte Datei server.crt und kopieren mit copy und paste den kompletten Inhalt (mit den Zeilen -----BEGIN CERTIFICATE und -----END CERTIFICATE) im Browser in das Feld "Certificate".
7. Öffne mit dem Notepad-Editor die erstellte Datei private.key und kopieren mit copy und paste den kompletten Inhalt (mit den Zeilen -----BEGIN RSA PRIVATE KEY und -----END RSA PRIVATE KEY) im Browser in das Feld "Private Key".
8. Klicke "UPLOAD". Auch bei einer Fehlermeldung klappt der Upload!
9. Jetzt kann das fertige Zertifikat, das in den Browser eingespielt wird, heruntergeladen werden. Dazu auf "Download Certificate" klicken.
10. Die runtergeladene Datei hat den Namen backup.cert.tgz und kann mit jedem ZIP-Programm geöffnet werden. Innerhalb der ZIP-Datei ist eine weitere Datei backup.cert.tar. Diese kann z.B. mit dem Programm 7-ZIP geöffnet werden (http://www.7-zip.org). Die im tar vorhandende Datei backup.crt wird jetzt in ein Verzeichnis deiner Wahl gespeichert.
11. Das NAS lässt sich jetzt schon über https://nas.fam-meier.de erreichen, aber es werden natürlich vom Browser noch Warnungen angezeigt. Diese gilt es jetzt abzustellen.
Importieren des Zertifikats in Windows
1. Da ihr das Zertifikat selbst erstellt habt, seid ihr selber der Inhaber des Stammzertifikats. Dieses Stammzertifikat muss jetzt noch dem Browser bergebracht werden. Öffne in Windows die Zertifikatsverwaltung (certmgr.msc). In dem geöffneten Programmfenster wähle "Vertrauenswürdige Stammzertifizierungsstellen" aus und mache dann Rechtsklick -> Alle Aufgaben -> Importieren. Es öffnet sich der Zertifikatimport-Assistent.
Da der Browser alle SSL-Zertifikate gegenüber einer Stammzertifizierungsstelle überpüft und unser Zertifikat natürlich nicht von einer solchen geprüft wurde (Kostet ja auch richtig Geld), ist dieser Schritt erforderlich. Dieser Schritt ist natürlich nur im privaten Bereich und ggf. mit Freunden möglich, denen man dann die Datei backup.crt zumailen muss. Beim Einspielen sollte man absolut sicher sein, dass die Datei von einer vertrauenswürdigen Person stammt!
Beim öffentlichen Einsatz ist der Ablauf ähnlich. Siehe z.B. http://www.rapidssl.com/ssl-ce…csr/apache_apache_ssl.htm
2. Klicke auf "Weiter" und wähle im nächsten Schritt die Datei "backup.crt" aus. Auch dieses Format wird direkt unterstützt, auch wenn M$ das hier nicht so klar ausdrückt...
3. Als nächstes schlägt der Assistent als Zertifikatspeicher "Vertrauenswürdige Stammzertifizierungsstellen" vor, was korrekt ist, denn wir wollen ja für unsere lokale Domäne fam-meier.de ein Zertifikat einspielen. Nach der Zusammenfassung im nächsten Schritt klicken wir auf "Fertig stellen" und die Meldung "Importvorgang war erfolgreich" solte angezeigt werden.
4. In der Zertifikatsverwaltung kann das eingespielte Zertifikat jetzt unter "Vertrauenswürdige Stammzertifizierungsstellen" und "Zertifikate" betrachtet werden.
4. Ein Aufruf des NAS über https://nas.fam-meier.de sollte jetzt keine Fehlermeldung mehr anzeigen. Im Browser kann jetzt mit durch Anklicken des Schloß-Symbols das Zertifikat geprüft werden.
Das Einspielen des Zertifikats muss natürlich einmalig auf jedem Rechner durchgeführt werden, aber dafür nervt dann die Warnung auch nicht mehr und kostenlos ist es auch.