[Howto] Eigenes Zertifikat mit "qnap-letsencrypt"

  • Das wäre mir aber sehr neu! Denn das Zertifikat enthält den Public Key (öffentlicher Schlüssel) der zur Verschlüsselung benötigt wird.


    https://forum.ubuntuusers.de/t…http-ohne-ssl-zertifikat/


    oder auch hier zum Nachlesen


    https://www.marcobeierer.de/wi…sl-tls-und-https-erklaert


    Somit ohne Zertifikat keine Verschlüsselung, denn irgendwie muss der Schlüsselaustausch stattfinden und bei SSL/TLS geschieht dies über das Zertifikat.
    Was auch der Grund ist, dass jedes SSL (HTTPS) fähige Gerät (wie z.B. ein NAS, eine FritzBox) ein selbst generiertes Zertifikat beinhaltet.

    Einmal editiert, zuletzt von libertyx82 ()

  • Hallo Leute,


    versuche gerade alles einzurichten. Allerdings scheine ich Probleme mit der Portfreigabe zu haben....


    Habe eine Fritzbox in der wird der Port 80 eigentlich auch an mein QNAP weitergeleitet. Allerdings bekomme ich beim clonen folgende Fehlermeldung.

    Code
    1. [/opt] # git clone https://github.com/Yannik/qnap-letsencrypt.git
    2. Cloning into 'qnap-letsencrypt'...
    3. fatal: unable to access 'https://github.com/Yannik/qnap-letsencrypt.git/': SSL certificate problem, verify that the CA cert is OK. Details:
    4. error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

    Hat jemand eine Idee was ich nicht beachtet habe?


    Danke und Grüße
    tigertim08

  • Das hat nichts mit deiner Portweiterleitung zu tun. Die Fehlermeldung besagt, dass er das Zertifikat von 'https://github.com/Yannik/qnap-letsencrypt.git/' nicht verifizieren kann. Daher läd das Script vorher die CACerts runter. Hast du dabei bereits eine Fehlermeldung?

  • Hallo tigertim08

    Shell-Script: Siehe Anleitung
    1. wget --no-check-certificate https://curl.haxx.se/ca/cacert.pemgit config --system http.sslVerify truegit config --system http.sslCAinfo `pwd`/cacert.pemgit clone https://github.com/Yannik/qnap-letsencrypt.git


    soeben getestet! Alles OK!




    vG Kasimodo

  • Bei mir gibts leider Probleme mit git clone - und dadurch scheinbar leider auch mit dem python Webserver:
    Bei git clone kommt
    fatal: Unable to find remote helper for 'http'
    Und das obwohl ich bei curl --version bei protocols sehr wohl "http https" sehe. Und das bei jeder installierten Version von curl.


    Wenn ich die repositories mit wget --no-check-certificate lade, dann komme ich bis zum renew_certificate:

  • Anleitung vollständig gelesen und ausgeführt?


    opkg install git-http

  • Gelesen ja und sogar einmal ausgeführt - nur ist da nichts passiert. Diesmal hats geklappt und damit das git Problem behoben, danke.


    Das Python Problem blieb aber bestehen:

  • Sieht so aus als ob der Webserver schon mal gestartet und dann nicht beendet wurde.
    Wenn du nicht weist wie du dies raus bekommst, dann mal qnapNas neu starten und dann weitermachen.

  • sicher? weil das hatte ich auch, direkt nach dem ersten Pythonfehler, als ichs nochmal versucht habe. Da hieß es aber, dass Port 80 blockiert wäre. Dann hab ich den noch laufenden Python-Webserver abgeschossen und nochmal probiert - dann kam ich eben wieder bis zu diesem Fehler.

  • Ich habe noch mal versucht deine Fehlermeldungen bei mir nachzustellen.


    Ganz kann ich die Fehlermeldungen nicht reproduzieren.


    Ähnliche bekomme ich wenn wie oben geschrieben der webserver schon läuft. hast du ja schon überprüft.
    Ähnlich auch wenn im Router die weiterleitung vom Port 80 nicht eingerichtet ist.

  • scheint mir eigtl nichts damit zu tun zu haben, da steht doch am Ende "SSL: CERTIFICATE_VERIFY_FAILED"? die Frage nur welches?

  • siehe Anleitung:


    ...
    wget --no-check-certificate https://curl.haxx.se/ca/cacert.pem
    ...
    mv cacert.pem qnap-letsencrypt
    ...

  • ist das richtig mit putty verbunden


    und das komplette script mit einmal in putty eingefüht??? weil es ja nicht einzelnd aufgeteilt ist ? man muss doch nur die 2 dns adressen ändern oder ???



    ps ich nutze myqnapcloud.com wäre ein anderer dns anbieter besser? wenn ja welcher und ist dieser auch kostenlos ?



    irgendwie versteh ich es nicht


    außerdem was hat es mit diesem public key auf sich wo würde ich diesen her bekommen? zb braucht man diesen ja bei letsencrypt für 4.3



    glaube bei mir funzt das nicht wenn ich mich mit sicherer verbindung einloggen will sagt google keine sichere webseite







    ich warte wohl lieber das 4.3 offiziell wird muss ich denn nun irgend etwas löschen ??

    4 Mal editiert, zuletzt von elbarto0 ()

  • ps ich nutze myqnapcloud.com wäre ein anderer dns anbieter besser? wenn ja welcher und ist dieser auch kostenlos ?

    Das ist egal, bzw hat da jeder seine eigene Philosophie. Der Eine benutzt den myqnapcloud-Dienst für DDNS, weil man ja keinen Drittanbieter braucht, wenn man den Dienst schon im Hause hat, der Nächste hat eine Fritzbox und benutzt myfritz, weil er sich denkt, für die Fritzbox ist die Aktualisierung am einfachsten, weil ja der Router selber weiß, wann getrennt wurde und nicht wie alle anderen Dienste den Router in festen Intervallen fragen muß, ob sich die IP geändert hat und der Dritte nutzt grundsätzlich einen Drittanbieter, um aus Sicherheitsgründen alles schön getrennt zu haben.
    Man kann die auch parallel verwenden. Also wenn das NAS immer schön die myqnapcloud-Adresse aktualisiert, kann die fritzbox trotzdem auch parallel die myfritz-Adresse aktualisieren und man kommt über beide Adressen von Ausserhalb auf seinen Anschluß. Mit einem dritten Updater im Netzwerk, könnte man auch noch einen anderen Dienst nutzen und alle drei verwenden. Das behindert sich nicht, weil das ja so ähnlich ist, als holt man sich drei Domains bei irgendeinem Hoster macht bei allen eine Weiterleitung auf dieselbe Seite.
    Wenn jetzt nicht gerade eine Eilmeldung von irgendeiner riesigen Sicherheitslücke bei einem Anbieter kommt, spricht nichts dagegen den zu nehmen, den man gerne will.

  • ok verstehe also könnte ich auch noch einen weiteren kostenlosen ddns eintragen nur das es zur zeit nicht mehr viele gibt oder diese 30 tage zwang da ist.


    aber egal


    wichtiger wäre mir das ssl ich gebe das shell script im kompletten ein ist das richtig? bei Domain steht auch Verifizierungs TesT erfolgreich oder so was


    aber trotzdem habe ich kein ssl.



    habe jetzt alles zeile für zeile eingegeben und bestätigt manchs lief durch anderes sah so aus als würde nichts passieren vor allem hier


    Code
    1. # !! Achtung Schreibfehler in der Anleitung auf "https://github.com/Yannik/qnap-letsencrypt"#--------------------------------------------------------------------------------------------cp ../openssl.cnf openssl-csr-config.cnf


    ist das denn nun richtig oder lautet es eigentlich


    Code
    1. # !! Achtung Schreibfehler in der Anleitung auf "https://github.com/Yannik/qnap-letsencrypt"
    2. #--------------------------------------------------------------------------------------------
    3. cd ../openssl.cnf openssl-csr-config.cnf


    hat denn keiner die richtige funktionierende anleitung also das fertige script ??

    Einmal editiert, zuletzt von elbarto0 ()

  • Entschuldigung, aber was willst du mehr als Alles schon vorgekaut und Schritt für Schritt aufgeschrieben und ausformuliert?
    Die Anleitung, so wie sie ist funzt. Lesen und ein klein wenig mitdenken und verstehen muss doch wohl drin sein.


    vG kasimodo

  • irgendwo ist was was ich nicht beachte oder nicht verstehe also


    ich habe das gemacht
    Installiere die APP Python 2.7 auf deinem Qnap NAS


    GIT wird auch gebraucht - gibt es wohl nicht als APP für alle Geräte.


    Darum die Entware-ng APP (nicht nur "darum", kann ja noch viel mehr) installieren:


    github.com/Entware-ng/Entware-ng/wiki/Install-on-QNAP-NAS


    Download:
    pkg.entware.net/binaries/other/Entware-ng_0.97.qpkg



    Dann mit z.B Putty auf die Konsole verbinden und weiter geht es!




    so und kommt das script also putty auf script in eine text datei kopier und die url



    Code
    1. printf "subjectAltName=DNS:meinenasur.myqnapcloud.com" >> openssl-csr-config.cnf


    gesamte script copieren und in putty cmd fenster einfügen enter drücken fertig ???


    aber irgendwie wird kein ssl angeboten muss ich noch irgendwas in der qnap nas einstellen `?

  • gesamte script copieren und in putty cmd fenster einfügen enter drücken fertig ???


    NEIN, das ist kein Script !!!!!


    Es sind einzelne Befehlszeilen für die putty konsole und dazwischen auch Erklärung, Kommentare und Hinweise !!


    Also nicht als Ganzes kopieren und ausführen!!!!!

  • ich probiere es noch einmal hab es schon einzeln gemacht aber halt jede zeile für zeile. vll muss bei manchem auch mehrere zeilen gleichzeitig genommen werden ???

  • Hi,


    Ich habe mich da jetzt auch mal Rangetraut, nur leider komme ich nur noch mit ssh auf mein Qnap. Ich weiß ehrlichgesagt überhaupt nicht weiter


    Wie kann ich das ganze über SSH wieder rückgängig machen ? damit ich wieder auf das Webinterface zugreifen kann ?


    Ich habe schon das Verzeichnis letsencrypt gelöscht und auch die Einträge aus der crontab entfernt aber ich konmme auf gedeih und verderb nicht auf das webinterface.
    was kurioser weise wieder funktioniert ist die Virtualisation Station


    Ich brauch da doch dringend einen Tip wie ich über SSH da was machen kann.


    Kann ich eigentlich auch mit einem HDMI Kabel, Tastatur und Maus was machen also ohne Webinterface


    Gruß Ralf


    Edit: Habe es wieder hinbekommen ............ Aber das Zertifikat funktioniert bei mir nicht

    2 Mal editiert, zuletzt von meexx ()