[Howto] Eigenes SSL-Zertifikat erstellen

  • [NAS Typ:] TS-219
    [Firmware:] 3.1.0 Build 0529T
    [Getestet:] ja
    [Sonstige Modifikationen:] keine


    Mich hat beim Zugriff auf das NAS über https immer gestört, dass ich diese Warnmeldungen vom Browser bekomme. Daher hier eine Anleitung zum kostenlosen Erstellen eines eigenen SSL-Zertifikats über den privaten Bereich.


    Für ein eigenes SSL-Zertifikat wird für die Generierung OpenSSL benötigt, das für Windows z.B. unter


    http://www.slproweb.com/products/Win32OpenSSL.html


    zum Download bereit steht.


    Zur Installation verweise ich auf die dortige Doku.


    Erstellen des Zertifikats


    1. Befehlsfenster öffnen und in das OpenSSL-Verzeichnis wechseln (cd \openssl). Dananch in das bin-Verzeichnis wechseln (cd bin).


    2. Jetzt wird der geheime private Schlüssel mit 1024bit Länge (Kann auch angepasst werden) erstellt:


    Code
    openssl genrsa -out private.key 1024


    3. Im nächsten Schritt wird das NAS-Server-SSL-Zertifikat (Öffentlicher Schlüssel / Public Key) erstellt:


    Code
    openssl req -new -key private.key -out server.crt -x509 -days 365


    Basierend auf dem privaten Schlüssel wird die Datei server.crt im X.509-Format erzeugt. Die Gültigkeit ist auf 365 Tage eingestellt und kann angepasst werden.


    Während der Erstellung werden Information zum Zertifikat abgefragt:


      Country Name (2 letter code) [AU]: DE


      State or Province Name (full name) [Some-State]: Hessen


      Locality Name (eg, city) []: Frankfurt


      Organization Name (eg, company) [Internet Widgits Pty Ltd]: Familie Meier


      Organizational Unit Name (eg, section) []: .


      Common Name (eg, YOUR name) []: nas.fam-meier.de


    HIER MUSS DER KOMPLETTE DNS-NAME DES NAS EINGETRAGEN WERDEN.


    Wenn immer möglich, sollte auch hier mit einem FQD-Namen (Full qualified domain) gearbeitet werden. Schaut auf dem DHCP-Server (z.B. Router oder NAS) nach, ob dort ein Domainname im Format DOMAIN.ENDUNG hinterlegt ist. Wenn nicht, dann denkt euch einen aus, den ihr INTERN verwenden wollt. Wenn also die Rechner zu Hause über die Domain fam-meier.de erreicht werden, wird beim Common Name nas.fam-meier.de eingetragen. Das NAS MUSS über diesen Namen im Browser erreicht werden können (http://nas.fam-meier.de sollte also funktionieren).


    Dies ist deswegen so wichtig, weil das Zertifikat später im Browser hinterlegt wird, damit nicht jedesmal die Fehlermeldung mit "Nicht vertrauenswürdiger Site" angezeigt wird.



    4. Jetzt sind im aktuellen Verzeichnis die Dateien private.key und server.crt angelegt worden.


    5. Melde dich jetzt mit dem Browser in der NAS-Administration an und öffnen die Seite "Systemadministration -> Sicherheit" und klicke dann den Reiter "Wichtiges SSL-Sicherheitszertifikat" an. (Firmware 3.x)


    6. Öffne mit dem Notepad-Editor die erstellte Datei server.crt und kopieren mit copy und paste den kompletten Inhalt (mit den Zeilen -----BEGIN CERTIFICATE und -----END CERTIFICATE) im Browser in das Feld "Certificate".


    7. Öffne mit dem Notepad-Editor die erstellte Datei private.key und kopieren mit copy und paste den kompletten Inhalt (mit den Zeilen -----BEGIN RSA PRIVATE KEY und -----END RSA PRIVATE KEY) im Browser in das Feld "Private Key".


    8. Klicke "UPLOAD". Auch bei einer Fehlermeldung klappt der Upload!


    9. Jetzt kann das fertige Zertifikat, das in den Browser eingespielt wird, heruntergeladen werden. Dazu auf "Download Certificate" klicken.


    10. Die runtergeladene Datei hat den Namen backup.cert.tgz und kann mit jedem ZIP-Programm geöffnet werden. Innerhalb der ZIP-Datei ist eine weitere Datei backup.cert.tar. Diese kann z.B. mit dem Programm 7-ZIP geöffnet werden (http://www.7-zip.org). Die im tar vorhandende Datei backup.crt wird jetzt in ein Verzeichnis deiner Wahl gespeichert.


    11. Das NAS lässt sich jetzt schon über https://nas.fam-meier.de erreichen, aber es werden natürlich vom Browser noch Warnungen angezeigt. Diese gilt es jetzt abzustellen.


    Importieren des Zertifikats in Windows


    1. Da ihr das Zertifikat selbst erstellt habt, seid ihr selber der Inhaber des Stammzertifikats. Dieses Stammzertifikat muss jetzt noch dem Browser bergebracht werden. Öffne in Windows die Zertifikatsverwaltung (certmgr.msc). In dem geöffneten Programmfenster wähle "Vertrauenswürdige Stammzertifizierungsstellen" aus und mache dann Rechtsklick -> Alle Aufgaben -> Importieren. Es öffnet sich der Zertifikatimport-Assistent.


    Da der Browser alle SSL-Zertifikate gegenüber einer Stammzertifizierungsstelle überpüft und unser Zertifikat natürlich nicht von einer solchen geprüft wurde (Kostet ja auch richtig Geld), ist dieser Schritt erforderlich. Dieser Schritt ist natürlich nur im privaten Bereich und ggf. mit Freunden möglich, denen man dann die Datei backup.crt zumailen muss. Beim Einspielen sollte man absolut sicher sein, dass die Datei von einer vertrauenswürdigen Person stammt!


    Beim öffentlichen Einsatz ist der Ablauf ähnlich. Siehe z.B. http://www.rapidssl.com/ssl-ce…csr/apache_apache_ssl.htm


    2. Klicke auf "Weiter" und wähle im nächsten Schritt die Datei "backup.crt" aus. Auch dieses Format wird direkt unterstützt, auch wenn M$ das hier nicht so klar ausdrückt...


    3. Als nächstes schlägt der Assistent als Zertifikatspeicher "Vertrauenswürdige Stammzertifizierungsstellen" vor, was korrekt ist, denn wir wollen ja für unsere lokale Domäne fam-meier.de ein Zertifikat einspielen. Nach der Zusammenfassung im nächsten Schritt klicken wir auf "Fertig stellen" und die Meldung "Importvorgang war erfolgreich" solte angezeigt werden.


    4. In der Zertifikatsverwaltung kann das eingespielte Zertifikat jetzt unter "Vertrauenswürdige Stammzertifizierungsstellen" und "Zertifikate" betrachtet werden.


    4. Ein Aufruf des NAS über https://nas.fam-meier.de sollte jetzt keine Fehlermeldung mehr anzeigen. Im Browser kann jetzt mit durch Anklicken des Schloß-Symbols das Zertifikat geprüft werden.


    Das Einspielen des Zertifikats muss natürlich einmalig auf jedem Rechner durchgeführt werden, aber dafür nervt dann die Warnung auch nicht mehr und kostenlos ist es auch.

  • SUPER ANLEITUNG! Hat perfekt funktioniert!
    Was ist nun, wenn ich von einem beliebigen PC aus auf meinen QNAP zugreife? Ist diese Verbindung dann auch SSL zertifiziert?
    Oder müsste ich dann dem QNAP ein gekauftes SSL installieren, so dass die Leitung immer verschlüsselt ist?


    Danke
    MacSunday

  • Zitat von "Macsunday"

    ...
    Was ist nun, wenn ich von einem beliebigen PC aus auf meinen QNAP zugreife? Ist diese Verbindung dann auch SSL zertifiziert?
    Oder müsste ich dann dem QNAP ein gekauftes SSL installieren, so dass die Leitung immer verschlüsselt ist?


    Du bekommst einen Hinweis, dass dem Zertifikat nicht vertraut werden kann. Entweder brichst Du dann die Verbindung ab, oder akzeptierst das Zertifikat. Danach ist die Verbindung SSL-Verschlüsselt.


    Es gibt inzwischen zertifizierte, kostenlose SSL-Zertifikate. Hier hilft eine Suche mit der Suchmaschine Deiner Wahl.


    Jan

  • Als Alternative gibt es auch unter Windows die Möglichkeit mit einem Freewareprogramm ein Zertifikat auf dem eigenen Rechner selbst zu erstellen. Werbung ist zwar hier bestimmt verboten, aber google mal nach "abylon SELFCERT". Vom Prinziep her entspricht das den Erklärungen, wie es auch online funktioniert. Wenn man in die Verlegenheit kommt mal kein Internet zu haben, aber trotzdem schnell ein neues Zertifikat erstellen möchte (z.B. im Intranet), dann ist das vielleicht hier ganz hilfreich.
    Gruß,
    catweazle

  • Hallo,


    habe mir die Zertifikate erstellt und auf das Qnap geladen, jetzt komme ich nicht mehr auf die Anmeldeseite der Qnap.


    Kann mir jemand einen Tipp geben was ich jetzt machen kann um mich wieder an der Box anzumelden.


    Bräuchte dringen Hilfe, vielen Dank.


    Qnap 239 Pro - FW 3.4

  • Ja, bin noch an meine Files übers Netzwerk gekommen um die zu sichern, dann hatte ich versucht die Box zu resetten, leider ohne Erfolg. Also ich habe jetzt komplett neu eingerichtet.

  • Ich habe jetzt das selbe Probelm das ich nicht mehr auf die NAS über die WEboberfläche komme. Wie soll ich jetzt die NAS neu einrichten???

  • ich konnte noch über das Netzwerk auf meine Daten zugreifen. Diese habe ich dann auf einer anderen HDD gesichert und dann habe ich die Qnap zurück gesetzt mit der Qfind Software, aber Achtung auf der Qnap hast dann keineDaten mehr

  • Ich hatte eh keine Daten mehr drauf. Daher hab ich einfach die beiden Platte rausgemacht das NAS gestartet und dann kam ich wieder auf die Weboberfläche um die erstkonfig machen zu können. Hab dann die Platten wären der NAS noch an was wieder rein gemacht und ich konnte mit der erstkonfig loslegen.
    Ist es eigentlich normal das über SSL alles langsam ist? Also nicht nur die Weboberfläche sondern auch FTP?

  • Zitat von "DFens"


    Qnap 239 Pro - FW 3.4


    Ich will ja nichts schreiben, aber das HowTo ist für Firmware 3.1


    Also beschwert euch nicht, wenn was nicht funktioniert.


    Und bei den Problembeschreibungen die ich hier lese bezweifle ich ganz ehrlich, dass das was mit dem SSL-Cert zu tun hat.


    Da empfehle ich dann doch einfach mal einen neuen Thread ausserhalb des HowTo-Bereichs aufzumachen. Da wird euch geholfen...


    Jan

  • Sorry wie bist du denn drauf? Wo bitte hat sich im Thread jemand beschwert?


    Klar war deine Anleitung für 3.1 und die ist auch gut geschrieben, hatte ja soweit auch alles unter FW3.4 funktioniert, nur eben kam man nicht mehr auf die Weboberfläche, was auch meiner Meinung nach nicht an den Schritten in der Anleitung liegen kann.


    Verstehe aber nicht warum du dich hier angegriffen fühlst, schließlich wurde nur geschrieben dass es nicht funktioniert hat und ob jemand eine Idee hat.

  • Ich bin eigentlich gut drauf und fühlte mich auch nicht angegriffen, ABER


    Bist Du der Meinung, dass Dir in diesem Thread mit dem Titel "HowTo:Eigenes SSL..." bei Deinem Problem "ich komme nicht mehr auf die Weboberfläche..." geholfen wird ? Ich denke eher nicht.


    Mach bitte einen neuen Thread auf oder such mal nach deinem Problem im Forum.


    Jan

  • Sorry, aber ich finde genau hier gehört die Hilfe rein! Du hast eine Anleitung verfasst, die beim Firefox zu Problemen führt. Entweder weise darauf hin, oder versuche zu helfen. Aber einfach schreiben, dass es nicht dein Problem ist, halte ich für nicht sehr fair!!! Ich habe seit ich deiner Anleitung gefolgt bin das gleiche Problem. Ursache scheint ein Bug im Firefox zu sein. Evtl. ein Konflikt zwischen dem alten Zertifikat und dem neuen... :?: Eine schnelle Lösung sieht folgendermaßen aus.


    Für Win 7 User:
    Unter "C:\Users\EIGENER NAME\AppData\Roaming\Mozilla\Firefox\Profiles\xxxxxx.default"
    die Zertifikate-DB vom Firefox umbenennen. Die Datei heißt cert8.db. Nennt sie einfach cert8.db_old.
    Das Umbenennen ist nur möglich, wenn der Firefox nicht läuft. Beim Starten des FF wird nun eine neue cert8.db angelegt.
    Ihr kommt nun wieder auf die Web GUI eures QNAP.
    Nun müsst ihr allerdings jedes Mal die Ausnahmeregel hinzufügen, damit ihr auf die Web GUI kommt. FF speichert komischerweise das Zertifikat nicht von alleine.
    Um das zu vermeiden, ladet ihr das Zertifikat herunter und geht im FF auf Einstellungen -> Erweitert -> und dort auf Verschlüsselung.
    Dort wählt ihr Zertifikate anzeigen. Im folgenden Dialog könnt ihr das zuvor heruntergeladene Zertifikat Importieren. Zum Schluss das gerade importierte Zertifikat markieren und auf
    "Vertrauen bearbeiten" klicken. Was da anzuklicken ist sollte klar sein. ;) Nun kommt ihr ohne weitere Belästigung durch den FF auf euer NAS. Das gilt allerdings nur für die Adresse, die im Zertifikat angegeben ist. Wollt ihr über die IP auf euer NAS, müsst ihr immernoch jedes Mal die Ausnahmeregel hinzufügen. Wie das zu vermeiden ist, hab ich noch nicht rausgefunden.


    Für Linux-User funktioniert das natürlich fast genau so. Das FF-Profil liegt natürlich nur wo anders, aber ich gehe davon aus, das Linuxer das Profil alleine finden. ;)


    Übrigens habe ich das neue Zertifikat nur benötigt, damit WebDAV unter Win 7 vernünftig funktioniert. Entspricht die CA nämlich nicht der URL, kann man sicheres WebDAV bei Win7 nicht einrichten.

  • Ok, so ganz hat meine obige Beschreibung das Problem nicht gelöst. Ich kam auf meiner Linux-Büchse trotzdem nicht aufs NAS.
    Was nun endgültig geholfen hat, war die gesamte Chronik vom FF zu löschen. Also wirklich alles. Dann hab ich noch alle Serverzertifikate gelöscht, die zum NAS gehören. Nun konnte ich das neue Zertifikat problemlos hinzufügen. Für die IP wie auch den DNS-Namen.

  • Hallo zusammen,


    ich bin neu hier und habe gleich mal ne Frage bzw. ein Problem mit der Erstellung des SSL Zertifikats. Folgende Situation:
    - TS-419P+
    - SSL Zertifikat wie in der Anleitung beschrieben erstellt und hochgeladen


    Nun habe ich folgendes gemacht:
    Das Zerti habe ich so erstellt wie in der Anleitung beschrieben. Da ich einen Dyndns Account habe, habe ich auch den Common name wie folgt hinterlegt:


    ABCD.XYZ.dyndns.org


    Nun habe ich das Zerti auf den NAS hochgeladen und anschließend über den Button "Zertifikat herunterladen" das Zerti auf meinen Rechner gespeichert. Der Name war auch anders als in der Anleitung beschrieben und heißt SSLcertificate.crt. Dann habe ich noch unter ALLGEMEINE EINSTELLUNGEN --> SYSTEMADMINISTRATION den Schalter "Nur eine sichere Verbindung herstellen" angeklickt. Den Port 443 bei "Sicheren Anschluss aktivieren" habe ich am Router noch nicht weitergeleitet. Muss ich das explizit tun?


    Problem: Ich kann nun die Admin-Seite des Qnap über (https://ABCD.XYZ.dyndns.org) nicht mehr öffnen. Auch ein Zerti-Fehler beim nicht importierten Zerti erhalte ich noch nicht einmal. Lokal klappt das. Also mit https://<IP>:8080. Ich habe das Zerti dann auch importiert. Nur von der Ferne also über meinen dyndns klappts nicht.


    Frage: Habe ich was nicht beachtet? Was hab ich falsch gemacht?


    Wäre supernett wenn Ihr mir helfen könntet. Vielen Dank und viele Grüße

  • Der Thread hier ist zwar schon etwas älter, aber auch ich hatte soeben das Problem,
    dass ich nach Generierung und hochladen der Zertifikatdaten nicht mehr per Browser auf mein QNAP gekommen bin.


    Um das zu vermeiden, sollte man unbedingt die Texte aus "server.crt" und "private.key" komplett in die Felder der Weboberfläche eintragen
    (also inklusive der Zeilen "-----BEGIN CERTIFICATE-----" / "-----END CERTIFICATE-----"
    bzw. "-----BEGIN RSA PRIVATE KEY-----" / "-----END RSA PRIVATE KEY-----")


    Wenn das Problem bereits besteht, man aber noch per Kommandozeile auf das Gerät kommt,
    kann man wieder auf die ursprünglichen Dateien zurückschalten.
    Die liegen unter "/etc/config/stunnel".
    Dort gibt es
    "backup.cert", "backup.cert.temp",
    "backup.key", "backup.key.temp",
    "stunnel.pem", "stunnel.pem.temp"
    Bei mir waren "backup.cert.temp" und "backup.key.temp" sowie (komischerweise) "stunnel.pem" die Originaldaten und die anderen die neuen (kaputten) Daten.
    Um sicherzugehen, einfach in die Dateien reinschauen und sehen, welche die "BEGIN/END"-Zeilen enthalten, und welche nicht; z.B.

    Code
    cat backup.cert


    Ich habe diese wieder auf die anderen kopiert

    Code
    cp -p backup.cert.temp backup.certcp -p backup.key.temp backup.keycp -p stunnel.pem stunnel.pem.temp


    Dann noch den stunnel-Service neu starten und alles ist wieder gut ;)

    Code
    /etc/init.d/stunnel.sh restart


    Ich hoffe, das hilft jemand...


    Gruß,
    Matthias

  • Hey, Also wie ich gelesen habe erstellt ihr alle SSL Zertifikate aber wie ist das eigentlich? Die müssen doch jedes mal manuell hinzugefügt werden zum Client was bei Online SSL Zertifikaten nicht passiert. Sehe ich das Richtig?