Zertifikat für Heimnetzwerk erstellen

  • Hallo,


    da mich die Zertifikatswarnung langsam ziemlich nervt, sobald ich auf mein NAS zugreife, möchte ich gerne ein Zertifikat erstellen.

    Da es nun mehrere Anleitung mit mehreren Wegen gibt wollte ich nach der einfachsten Lösung fragen bzw. nach einem Link für eine Anleitung.

    Ich brauche das Zertifikat nur für mein Netzwerk zu Hause.


    Ich habe es nach folgender Anleitung (.3. Mit http://www.selfsignedcertificate.com ein Zertifikat für Ihr NAS erstellen) schon versucht, leider ohne Erfolg.

    https://www.qnap.com/de-de/how…-ihrem-qnap-nas-verwenden


    Grüße

  • An was scheitert es? Bis wohin kommst du?


    Ich erstelle die Zertifikate mit den "Boardmitteln" der NAS, da LINUX im Hintergrund, und brauche dazu auch nichts installieren, was nicht ohnehin schon auf der NAS oben ist. Allerdings muss man da in der Console einiges Eintippen ... nicht easy, aber auch kein Hexenwerk.


    Das was du oben verlinkt hast (Kap. 3.3) klingt aufs erste ganz brauchbar (abgesehen, dass der private Key außerhalb meines Einflussbereiches erstellt wird) und ich denke dass es für den Hausgebrauch ausreichend sein sollte. Du gibst die IP oder den Servernamen deiner NAS ein, so wie du sie im Browser aufrufst! Mehr ist da nicht zu tun, woran scheiterst du? Kannst du gar kein Zertifikat erstellen, oder bringst du es nicht in die NAS rein, oder akzeptiert es dein Browser nicht?


    Der MS-Edge akzeptiert z.B. keine selber erstellten Zertifikate ...

  • Hmm, gute Frage, bei den "offiziellen" sicher nicht, beim Erstellen mit openssl bin ich mir nicht mehr sicher, da habe ich schon etliche erstellt, kann mich aber nicht an eine Fehlermeldung erinnern ...


    Hab's gerade getestet, es kommt zumindest keine Fehlermeldung, werde es mir aber nicht auf der NAS installieren.



  • Bin mir eben auch nicht ganz sicher. Aber ich glaube, daß Certs. nicht auf IPs ausgestellt werden (können). Aber solange der TE die NAS eben mit Namen anspricht sollte das funktionieren. Wofür aber ein Zertifikat innerhalb des eigenen LANs erschliesst sich mir auch nicht ganz. So wenig Vertrauen zu den Geräten in Deinem LAN?

  • Ich glaube hier geht es mehr um den ästetischen Aspekt - zumindest diesen kann ich nachvollziehen. Seit Letsencrpyt seit kurzem wildcard Zertifikate unterstützt, schieße ich die meinen NAS-Systemen per ssh auch alle 3 Monate semi-automatisch rein. Habe meiner Domäne dafür extra DNS-Einträge für die Kisten erstellt, die auf die lokalen IP-Adressen zeigen, sodass auch im Heimnetz der Browser alles grün anzeigt. :-)



    Fürs Vertrauen reicht es auch, einfach den Fingerprint des Zertifikates zu prüfen. Wenn der gleich ist, ist das Gerät in der Regel auch trotz Warnung vertrauenswürdig. Aber es sieht halt nicht schön aus...

  • Danke für die Info.

    Ich bin da nicht so tief in der Materie.

    Ich werde wohl oder übel warten müssen, bis QNAP und Syno einen neuen Client implementiert.

  • Ich denke nicht, dass qnap oder syno das so schnell machen werden.

    Für das wildcard zertifikat ist aktuell ausschliesslich der Weg über eine DNS-Challenge zu beschreiten. D.h. es muss ein TXT Eintrag in der DNS Zone eingetragen werden. Das geht zwar bei vielen Domainhostern manuell von Hand, aber da man den Prozess alle 3 Monate wiederholen muss, ist das eher nervig.

    Um das automatisch machen zu koennen, muesste das NAS als Zonenverwalter fungieren oder in der Lage sein, den zustaendigen DNS-Master entsprechend zu aktualisieren.

    Das duerfte kein typischen Szenario für solche NAS-Büchsen sein, die in vielen Faellen auch noch dynamische IPs benutzen...

  • Ok, dann wird das wohl so bald nichts werden.

    Ich will auf "Zertifikat erstellen" klicken, der Rest soll ohne Handstände machen zu müssen ablaufen. :)

    Aber im Moment lebe ich auch damit Port 80 nur zur Verlängerung im Router aufzumachen.

    Verlängerung manuell anstoßen, Port 80 wieder deaktivieren.

    Irgendwie witzig, daß eine Verlängerung der Zertifikate für 443 nur über 80 möglich ist.

  • Ja, das erscheint seltsam. Aber es gibt dafuer auch einen Grund, denn es ging fueher auch mal ueber den ssl Port -bis festgestellt worden ist, dass mit dem Verfahren bei Webhostern, die eine IP unter verschiedenen Kunden aufteilen, nicht sichergestellt werden konnte, dass der Zertifikatsantrag auch vom Eigentuemer einer Domaene kam... Hintergruende:

    https://www.zdnet.com/article/…es-tls-sni-01-validation/

  • Hallo,


    ich habe eine SSLcertificate.crt und eine SSLprivatekey.key in mein NAS importiert. Das Zertifikat habe ich für die IP Adresse erstellt mit der ich auf das NAS zugreife.

    Oder soll ich bei der Erstellung als Adresse folgende genau so eingeben:

    https://IP-Adresse/cgi-bin/


    Muss ich das Zertifikat noch im Browser importieren?


    Grüße

  • Oder soll ich bei der Erstellung als Adresse folgende genau so eingeben:

    https://IP-Adresse/cgi-bin/

    Muss ich das Zertifikat noch im Browser importieren?


    Ich verwende den NAS Namen, den ich im unter Einstellungen vergeben habe, damit kann ich die NAS im Browser erreichen.

    https://workspace-nas/cgi-bin/






    JUP, der Browser muss das Zertifikat noch installieren, wobei nicht alle Browser ein selbst erstelltes Zertifikat akzeptieren.

    2 Mal editiert, zuletzt von RedDiabolo ()