Zertifikat für Heimnetzwerk erstellen

    Hallo,


    da mich die Zertifikatswarnung langsam ziemlich nervt, sobald ich auf mein NAS zugreife, möchte ich gerne ein Zertifikat erstellen.

    Da es nun mehrere Anleitung mit mehreren Wegen gibt wollte ich nach der einfachsten Lösung fragen bzw. nach einem Link für eine Anleitung.

    Ich brauche das Zertifikat nur für mein Netzwerk zu Hause.


    Ich habe es nach folgender Anleitung (.3. Mit http://www.selfsignedcertificate.com ein Zertifikat für Ihr NAS erstellen) schon versucht, leider ohne Erfolg.

    https://www.qnap.com/de-de/how…-ihrem-qnap-nas-verwenden


    Grüße

    An was scheitert es? Bis wohin kommst du?


    Ich erstelle die Zertifikate mit den "Boardmitteln" der NAS, da LINUX im Hintergrund, und brauche dazu auch nichts installieren, was nicht ohnehin schon auf der NAS oben ist. Allerdings muss man da in der Console einiges Eintippen ... nicht easy, aber auch kein Hexenwerk.


    Das was du oben verlinkt hast (Kap. 3.3) klingt aufs erste ganz brauchbar (abgesehen, dass der private Key außerhalb meines Einflussbereiches erstellt wird) und ich denke dass es für den Hausgebrauch ausreichend sein sollte. Du gibst die IP oder den Servernamen deiner NAS ein, so wie du sie im Browser aufrufst! Mehr ist da nicht zu tun, woran scheiterst du? Kannst du gar kein Zertifikat erstellen, oder bringst du es nicht in die NAS rein, oder akzeptiert es dein Browser nicht?


    Der MS-Edge akzeptiert z.B. keine selber erstellten Zertifikate ...

    Werden Zertifikate nicht auf Common Names ausgestellt?

    Ich meine Zertifikate über die IP gehen nicht.

    Hmm, gute Frage, bei den "offiziellen" sicher nicht, beim Erstellen mit openssl bin ich mir nicht mehr sicher, da habe ich schon etliche erstellt, kann mich aber nicht an eine Fehlermeldung erinnern ...


    Hab's gerade getestet, es kommt zumindest keine Fehlermeldung, werde es mir aber nicht auf der NAS installieren.


    2018-04-09 21_43_37-workspace-nas - PuTTY.png

    Bin mir eben auch nicht ganz sicher. Aber ich glaube, daß Certs. nicht auf IPs ausgestellt werden (können). Aber solange der TE die NAS eben mit Namen anspricht sollte das funktionieren. Wofür aber ein Zertifikat innerhalb des eigenen LANs erschliesst sich mir auch nicht ganz. So wenig Vertrauen zu den Geräten in Deinem LAN?

    Ich glaube hier geht es mehr um den ästetischen Aspekt - zumindest diesen kann ich nachvollziehen. Seit Letsencrpyt seit kurzem wildcard Zertifikate unterstützt, schieße ich die meinen NAS-Systemen per ssh auch alle 3 Monate semi-automatisch rein. Habe meiner Domäne dafür extra DNS-Einträge für die Kisten erstellt, die auf die lokalen IP-Adressen zeigen, sodass auch im Heimnetz der Browser alles grün anzeigt. :)



    Fürs Vertrauen reicht es auch, einfach den Fingerprint des Zertifikates zu prüfen. Wenn der gleich ist, ist das Gerät in der Regel auch trotz Warnung vertrauenswürdig. Aber es sieht halt nicht schön aus...

    Wird *.wildcard auch schon von den Clients (ACME) unterstützt?

    Dachte das ist noch Staging...

    nein, das ist schon produktiv :)

    man muss allerdings certbot noch den richtigen acmev2 server mitgeben und eine aktuelle version von certbot nutzen.

    Danke für die Info.

    Ich bin da nicht so tief in der Materie.

    Ich werde wohl oder übel warten müssen, bis QNAP und Syno einen neuen Client implementiert.

    Ich denke nicht, dass qnap oder syno das so schnell machen werden.

    Für das wildcard zertifikat ist aktuell ausschliesslich der Weg über eine DNS-Challenge zu beschreiten. D.h. es muss ein TXT Eintrag in der DNS Zone eingetragen werden. Das geht zwar bei vielen Domainhostern manuell von Hand, aber da man den Prozess alle 3 Monate wiederholen muss, ist das eher nervig.

    Um das automatisch machen zu koennen, muesste das NAS als Zonenverwalter fungieren oder in der Lage sein, den zustaendigen DNS-Master entsprechend zu aktualisieren.

    Das duerfte kein typischen Szenario für solche NAS-Büchsen sein, die in vielen Faellen auch noch dynamische IPs benutzen...

    Ok, dann wird das wohl so bald nichts werden.

    Ich will auf "Zertifikat erstellen" klicken, der Rest soll ohne Handstände machen zu müssen ablaufen. :)

    Aber im Moment lebe ich auch damit Port 80 nur zur Verlängerung im Router aufzumachen.

    Verlängerung manuell anstoßen, Port 80 wieder deaktivieren.

    Irgendwie witzig, daß eine Verlängerung der Zertifikate für 443 nur über 80 möglich ist.

    Hallo,


    ich habe eine SSLcertificate.crt und eine SSLprivatekey.key in mein NAS importiert. Das Zertifikat habe ich für die IP Adresse erstellt mit der ich auf das NAS zugreife.

    Oder soll ich bei der Erstellung als Adresse folgende genau so eingeben:

    https://IP-Adresse/cgi-bin/


    Muss ich das Zertifikat noch im Browser importieren?


    Grüße

    Zitat von prozanko

    Oder soll ich bei der Erstellung als Adresse folgende genau so eingeben:

    https://IP-Adresse/cgi-bin/

    Muss ich das Zertifikat noch im Browser importieren?


    Ich verwende den NAS Namen, den ich im unter Einstellungen vergeben habe, damit kann ich die NAS im Browser erreichen.

    https://workspace-nas/cgi-bin/


    2018-04-12 21_23_03-Microsoft Edge.png


    Cert.png


    JUP, der Browser muss das Zertifikat noch installieren, wobei nicht alle Browser ein selbst erstelltes Zertifikat akzeptieren.

    2 Mal editiert, zuletzt von RedDiabolo ()