4
Synology DMS Zertifikat über Windows Server 2008 CA bereit stellen?
Folgende Basis:
Synology Rackstation RS2414+ in einer Windows Server 2008 Domäne mit eigener CA
Im DSM der Synology kann man ein eigenes SSL Zertifikat hinterlegen (für den WebAssistent/DSM Aufruf). Ich möchte dort gerne ein Zertifikat hinterlegen was von der Domänen CA kommt. Beantrage ich in der CA ein Webserver Zertifikat und exportiere dies nebst Key, erhalte ich eine PFX Datei als Export.
Im Synology DSM muss ich beim Import eines Zertifikats getrennt den Key, das Crt und ggf. eine Zwischen-CA übergeben (Dateiupload).
Den PFX Export vom Windows CA konnte ich mit OpenSSL zerlegen in Key (decrypted und encrypted) und Crt. Diese Daten lassen sich jedoch nicht im Synology DSM importieren, Fehlermeldung: Ungültiges Zertifikat.
Leider habe ich trotz Googlen nicht viel dazu gefunden, ausser wie man selbst signierte oder kostenfrei Zertifikate implementiert.
Hat jemand eine Idee dazu wie ich ein Windows Server CA basiertes Zert dort hinein bekomme?
P.S.: Ja, ich hab auch schon eine Zertifikatsanforderung (CSR) per Synology DSM erstellt, allerdings kann ich damit keine Zertifikatsanforderung in der Windows CA einfügen :/
Synology Rackstation RS2414+ in einer Windows Server 2008 Domäne mit eigener CA
Im DSM der Synology kann man ein eigenes SSL Zertifikat hinterlegen (für den WebAssistent/DSM Aufruf). Ich möchte dort gerne ein Zertifikat hinterlegen was von der Domänen CA kommt. Beantrage ich in der CA ein Webserver Zertifikat und exportiere dies nebst Key, erhalte ich eine PFX Datei als Export.
Im Synology DSM muss ich beim Import eines Zertifikats getrennt den Key, das Crt und ggf. eine Zwischen-CA übergeben (Dateiupload).
Den PFX Export vom Windows CA konnte ich mit OpenSSL zerlegen in Key (decrypted und encrypted) und Crt. Diese Daten lassen sich jedoch nicht im Synology DSM importieren, Fehlermeldung: Ungültiges Zertifikat.
Leider habe ich trotz Googlen nicht viel dazu gefunden, ausser wie man selbst signierte oder kostenfrei Zertifikate implementiert.
Hat jemand eine Idee dazu wie ich ein Windows Server CA basiertes Zert dort hinein bekomme?
P.S.: Ja, ich hab auch schon eine Zertifikatsanforderung (CSR) per Synology DSM erstellt, allerdings kann ich damit keine Zertifikatsanforderung in der Windows CA einfügen :/
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 226421
Url: https://administrator.de/contentid/226421
Printed on: April 16, 2024 at 23:04 o'clock
4 Comments
Latest comment
Hallo,
zuerst mal keine Panik. Ich kenne viele Leute, welche mit einer Windows CA am Anfang verzweifelt sind.
Microsoft macht gerade im Umfeld PKI und Zertifikate vieles anders als alle anderen - und klebt dann die gleichen Namen drauf.
Schau dir für den Anfang mal den Wikipedia Artikel zu X.509 (http://de.wikipedia.org/wiki/X.509) - speziell den Absatz über die Dateinamen - an.
Bitte beachte, dass immer zwischen DER-Format und Base64-Format unterschieden werden muss.
Nur weil .crt dran steht, muss nicht das Microsoft DER-Format drin sein. Es kann auch ein Base64-Format von OpenSSL sein.
Wenn man den Private Key (meist sogar noch unverschlüsselt) durch das Netz kopiert, kann man sich eine CA ja eigentlich gleich schenken.
Damit gilt erst mal das gleiche wie oben.
Synology = Base64
Windows = DER
1. Private Key dort erzeugen, wo er benötigt wird
2. Aus dem Private Key ein Certificate Signing Request (CSR) erzeugen
3. CSR zur CA schaffen und signieren
4. Das so erzeugte Zertifikat zurück zum Zielsystem übertragen
Hier ist eine Anleitung, wie man das mit einer Windows CA macht:
http://sysadmins.de/de/index/windows/ssl-zertifikat-mit-windows-ca-sign ...
Die meisten Systeme, welche Zertifikate verwenden (Java Keystores, Netzwerk-Appliances, Webserver, JBoss, Tomcat, etc..) benötigen übrigens meist Base64-Formate.
Dieses schreckliche DER-Format findet man eigentlich nur in der Windows-Welt.
Grüße,
Daniel
zuerst mal keine Panik. Ich kenne viele Leute, welche mit einer Windows CA am Anfang verzweifelt sind.
Microsoft macht gerade im Umfeld PKI und Zertifikate vieles anders als alle anderen - und klebt dann die gleichen Namen drauf.
Schau dir für den Anfang mal den Wikipedia Artikel zu X.509 (http://de.wikipedia.org/wiki/X.509) - speziell den Absatz über die Dateinamen - an.
Bitte beachte, dass immer zwischen DER-Format und Base64-Format unterschieden werden muss.
Nur weil .crt dran steht, muss nicht das Microsoft DER-Format drin sein. Es kann auch ein Base64-Format von OpenSSL sein.
Im Synology DSM muss ich beim Import eines Zertifikats getrennt den Key, das Crt und ggf. eine Zwischen-CA übergeben
(Dateiupload).
Man schiebt keine Private Keys durch die Gegend. Sowas erzeugt man auf dem Host und lässt es dort liegen.(Dateiupload).
Wenn man den Private Key (meist sogar noch unverschlüsselt) durch das Netz kopiert, kann man sich eine CA ja eigentlich gleich schenken.
Den PFX Export vom Windows CA konnte ich mit OpenSSL zerlegen in Key (decrypted und encrypted) und Crt.
Im Prinzip ist ein .pfx File ein Container von und enthält Private Key und Public Key.Damit gilt erst mal das gleiche wie oben.
Diese Daten lassen sich jedoch nicht im Synology DSM importieren, Fehlermeldung: Ungültiges Zertifikat.
Als Linux System verwendet das Synology eine OpenSSL Implementation. Damit gilt:Synology = Base64
Windows = DER
P.S.: Ja, ich hab auch schon eine Zertifikatsanforderung (CSR) per Synology DSM erstellt, allerdings kann ich damit keine
Zertifikatsanforderung in der Windows CA einfügen :/
Das ist eigentlich der richtige Weg:Zertifikatsanforderung in der Windows CA einfügen :/
1. Private Key dort erzeugen, wo er benötigt wird
2. Aus dem Private Key ein Certificate Signing Request (CSR) erzeugen
3. CSR zur CA schaffen und signieren
4. Das so erzeugte Zertifikat zurück zum Zielsystem übertragen
Hier ist eine Anleitung, wie man das mit einer Windows CA macht:
http://sysadmins.de/de/index/windows/ssl-zertifikat-mit-windows-ca-sign ...
Die meisten Systeme, welche Zertifikate verwenden (Java Keystores, Netzwerk-Appliances, Webserver, JBoss, Tomcat, etc..) benötigen übrigens meist Base64-Formate.
Dieses schreckliche DER-Format findet man eigentlich nur in der Windows-Welt.
Grüße,
Daniel
1
Vielen Dank. Der Link mit dem Hinweis das ich das Zertifikat nicht per MMC sondern per CertSrv registrieren muss hat geholfen, auch wenn ich die Webserver Vorlage dazu nochmal als Enterprise 2003 anstatt Enterprise 2008 anlegen musst damit sie im Dropdown auftaucht.
Jetzt klappt es ;)
Jetzt klappt es ;)
1
Hallo,
leider funktioniert der LINK
http://sysadmins.de/de/index/windows/ssl-zertifikat-mit-windows-ca-sign ...
nicht mehr.
Kann mir jemand mit einer Beschreibung weiterhelfen?
leider funktioniert der LINK
http://sysadmins.de/de/index/windows/ssl-zertifikat-mit-windows-ca-sign ...
nicht mehr.
Kann mir jemand mit einer Beschreibung weiterhelfen?
Zitat von @ILB-GM:
Hallo,
leider funktioniert der LINK
http://sysadmins.de/de/index/windows/ssl-zertifikat-mit-windows-ca-sign ...
nicht mehr.
Kann mir jemand mit einer Beschreibung weiterhelfen?
Hi,Hallo,
leider funktioniert der LINK
http://sysadmins.de/de/index/windows/ssl-zertifikat-mit-windows-ca-sign ...
nicht mehr.
Kann mir jemand mit einer Beschreibung weiterhelfen?
hier ein paar alternative Links:
https://technet.microsoft.com/en-us/library/cc770972.aspx
http://www.watchguard.com/help/docs/wsm/xtm_11/en-US/index.html#cshid=e ...
http://www.itzoz.com/2011/10/how-to-sign-certificate-using-microsoft.ht ...
