Suche aktuelle Anleitung um ein Zertifikat für TS-453A zu erstellen

    Hallo,


    ich habe schon dreimal versucht ein Zertifikat für mein NAS zu erstellen, jedes Mal ohne Erfolg. Bisher habe ich auch keine Anleitung gefunden die aktuell ist. Es sieht immer irgendetwas anders aus, es fehlen Schritte oder Funktionen. Da ich öfters auf die Docker im NAS zugreife sind die Warnmeldungen im Browser richtig nervig!

    Würde mich freuen wenn ich es doch mit etwas Hilfe schaffen würde😉


    Grüße

    Danke, das ist aber wieder so eine halbe Anleitung. Spätestens wenn ich was im Browser importieren muss funktioniert es sicher nicht. Ich habe damals schon Zertifikate erstellt gehabt. Aber irgendwie hat es nicht funktioniert :/

    Zitat von prozanko

    Danke, das ist aber wieder so eine halbe Anleitung.

    Nein die Anleitung ist weder halb, noch ist das Zertifikat ungültig. Wenn du es nicht in den Browser importieren kannst, liegt es entweder am Browser oder an dir. Die so erstellten .crt, bzw. .key Zertifikate entsprechen genau der Norm!


    Du hast aber noch nicht geschrieben mit welchem Browser du deine Probleme hast, vielleicht solltest du es mal von der Seite angehen.


    An der Anleitung liegt es definitiv nicht, es sei denn, du hast etwas nicht verstanden oder falsch gemacht …:rolleyes:

    Hi,


    ich habe es mit Firefox und Chrome versucht. Das war auch eine gar nicht so kurze Anleitung. Problem was dass die Schritte da abweichten und ich zum teil raten musste was ich machen soll.

    Zitat von prozanko

    Problem was dass die Schritte da abweichten und ich zum teil raten musste was ich machen soll.

    Stimmt, das ist bei jedem Browser anders.


    Aber schließlich hast nach einer Anleitung zum ERSTELLEN der Zertifikate gefragt und nicht, wie du Zertifikate (die du nicht hast) in einen Browser integrierst, den du nicht genannt hast :rolleyes:

    Ich habe es nach dieser veralteten Anleitung befolgt:

    https://www.qnap.com/de-de/how…ihrem-qnap-nas-verwenden/


    Herausgekommen sind 7 Dateien. Ich habe anschließend device.crt und device.key im NAS installiert. Nun komme ich aber nicht mehr auf die Weboberfläche des NAS drauf!


    Das Problem in der Anleitung: Es sind Screenshots in Englisch, was weiß ich was die Option trusted root certification authorities auf Deutsch ist???


    Wie bekomme ich das Zertifikat nun auf meinem PC installiert damit ich wieder auf das NAS komme?


    Grüße

    Zitat von prozanko

    Wie bekomme ich das Zertifikat nun auf meinem PC installiert damit ich wieder auf das NAS komme?

    Meinst du für die Weboberfläche via Browser?


    Ganz einfach, der Browser (deiner Wahl) hat eine Option wie er die Zertifikate (denen DU VERTRAUST) installieren kann. In diesem Fall sind es eben selbst erstellte Root-Zertifikate, die der Browser installieren muss.


    Wie das geht findest du in der Suchmaschine deiner Wahl und Eingabe des Browsers, den du verwendest.


    PS.: Der aktuelle Edge Browser vom Win10 akzeptiert keine selbst erstellen Zertifikate, der IE11, Google und Firefox können sie installieren ...

    Edge vertraut auch, du musst das Root CA nur als vertauenswürdiges Stammzertifikat im System installieren.

    Er hat keinen eigenen Store wie Firefox.

    Also ist es normal, dass sobald ich die Zertifikate im NAS ausgetauscht habe und im Browser noch nicht, dass ich nicht mehr auf die Weboberfläche vom NAS komme?

    Wobei es mit einem anderen PC geklappt hat?!?

    Eigentlich sollte nur eine Warnung kommen, dass der Browser das Zertifikat nicht prüfen kann. Du solltest es aber dann trotzdem "akzeptieren" können und die Weboberfläche "auf eigenes Risiko" öffnen können.


    Oder hast du die Authentifizierung auf Zertifikat umgestellt, dann könnte das etwas verzwickter werden. Das habe ich bei mir noch nicht durchgezogen :/

    Was meinst du genau mit ausgetauscht?


    Du brauchst erstmal ein root CA, das exportieret du und packst das auf allen Clients in die vertauenswürdigen Stammzertifikate.

    Dann erstellst du über dein CA Tool für das Root CA ein Server Zertifikat mit allen notwendigen Infos wie FQDN und ggf. IP.

    Mit IP hat den Vorteil das du auch ohne Warnung drauf kommst wenn du nicht den Namen nutzen kannst, da kein einstellbarer DNS vorhanden.


    Das exportieret du dann inkl. privat Key und importierst das ins NAS.


    Sprich:

    root CA für „meinedomain.x“ erstellen.

    Server Zertifikat für „NAS.meinedomain.x“


    Viel spaß mit SSL.

    Ich greife per IP Adresse auf mein NAS zu. Also muss ich noch irgendwie die Adresse einfügen damit es funktioniert. Versuche das Wochenende die Zertifikate mit dieser Anleitung noch mal per OpenSSL-Win32 zu erstellen:

    https://www.qnap.com/de-de/how…ihrem-qnap-nas-verwenden/


    Wäre auch nicht schlecht wenn man von QNap aus einfach ein Zertifikat erstellen könnte, dann würde man sich den Weg über OpenSSL sparen können.


    Grüße


    Edit:


    Ich wollte laut Punkt 3.3 in der Anleitung ein Zertifikat unter http://www.selfsignedcertificate.com erstellen. Gebe ich dann die Adresse https://192.168.1.10/cgi-bin/ ein, gehe auf generieren dann kommt gleich eine Fehlermeldung:


    Code
    Not Acceptable!
An appropriate representation of the requested resource
could not be found on this server. This error was generated by Mod_Security.


    Ist da was an der Adresse falsch?

    2 Mal editiert, zuletzt von prozanko ()

    Danke für den Tipp. Ich habe eben xca installiert, das Tool ist aber überfrachtet mit Optionen von denen ich absolut kein Plan habe :/

    Ich versuche es mal mit OpenSSL laut Anleitung. Wenn ich an einen Punkt nicht weiterkomme dann melde ich mich😉

    Grüße

    Hallo,

    ich habe das Zertifikat nach der Anleitung erstellt. In Qnap eingefügt, in Windows installiert, trotzdem bekomme ich die Warnmeldung, wenn ich per https://192.168.1.10/cgi-bin/ auf mein NAS zugreife:/

    Vielleicht wurde es ja schon mal gesagt, aber Zertifikate werden i.A. nur für Domain/Hostnamen ausgestellt und nicht für IP-Adressen.

    Bei IP-Adressen funktioniert das dann natürlich nicht!

    Was steht denn bei dir bei

    Zertifikat -> Tab "Details" Feld Alternative Anstagstellername drin?

    Hier sind alle Domain/Hostnamen verzeichnet, die durch das Zertifikat abgedeckt sind.

    Also sollte der NAS erstmal über einen Namen erreichbar sein. Beim LAN das hinter einer Fritzbox hängt, geht das z.B. über einen dortigen DNS-Eintrag für die IP des NAS - was dann z.B. qnap.fritz.box heissen könnte. Ein Zertifikat, das diesen Namen abdeckt funktioniert dann auch, wenn diesem vertraut wird (s.o., Root CA)


    pasted-from-clipboard.png


    PS: Das eigene Root-CA muss im Firefox extra importiert werden.


    Wie das Ganze relativ einfach geht, siehe:

    https://www.golem.de/news/tls-…em-https-1901-138545.html


    Insbesondere:

    https://blog.filippo.io/mkcert…rtificates-for-localhost/


    PPS: mkcert kann auch Zertifikate für IP-Adressen ausstellen

    Hallo,


    laut der Anleitung kann man auch IP Adressen eingeben, daher dachte ich, dass ich es so umsetzten kann.

    Das Feld Zertifikat -> Tab "Details" Feld Alternative Antragstellername ist bei mir nicht vorhanden.

    Ich habe nun noch das Zertifikat im Vivaldi Browser installiert. Die Seite wird mir als nicht sicher angezeigt.