Im Rahmen der zunehmenden Digitalisierung unseres Alltags häufen sich immer größere Datenmengen an. Selbst private Haushalte haben einen steigenden Bedarf an Speicherplatz. Allerdings ist es nicht immer nur damit getan, diese Datenmengen, egal ob nun Fotos, Videos aus dem letzten Urlaub oder auch wichtige Dokumente, einfach nur irgendwo ab zu speichern. Gerade Fotos und Videos sollen überall im Haus für jeden zugänglich gemacht werden. Hier haben sich in den letzten Jahren zunehmen NAS Systeme für den privaten Einsatz durchgesetzt. Diese erlauben nicht nur die zentrale Speicherung, sondern bieten dank Streaming Server und allerlei anderer Annehmlichkeiten auch Möglichkeiten diese Daten einfach und schnell auf Fernseher, Tablets oder Mobiltelefonen verfügbar zu machen.
Nun will man aber diese Daten nicht nur im Heimnetz verfügbar haben, sondern auch von unterwegs auf das wichtige Dokument mit der Präsentation zugreifen können. Oder man möchte den Bekannten die Urlaubsfotos der letzten Reise zeigen. Hierfür bieten die gängigen NAS Systeme jede Menge Möglichkeiten. Entscheidend bei all dem ist aber stets, eine sichere Verbindung zum Heimnetz aufzubauen. Nun ließe sich sicherlich auch via VPN eine sichere Tunnel-Verbindung aufbauen, jedoch ist dies für einige Anwendungen einfach zu umständlich. Man greift auf die bewährte Methode des Zugriffs via HTTP mit SSL Verschlüsselung zurück. Und damit man beim Zugriff auf das Heimnetz keine Warnmeldung auf Grund des selbst-signierten SSL Zertifikats mehr erhält, wächst schnell der Wunsch nach einem signierten SSL Zertifikat für die eigene Domain. Diese Anleitung soll zeigen, wie man ein kostenloses SSL Zertifikat für die eigene DynDNS Domain vom Anbieter StartCom erhält und dieses in den Router und das eigene NAS importiert, konkret anhand einer AVM Fritz!Box und einem NAS System des Herstellers Synology.
Für den sicheren SSL Zugang mit Zertifikat sind folgende Voraussetzungen und Werkzeug nötig:
Ist all das gegeben, kann es auch schon losgehen.
Als erstes erstellen wir in einigen wenigen Schritten ein Zertifikat vom Anbieter StartCom.
Zunächst ist eine Registrierung bei StartCom erforderlich. Im Control Panel findet sich unter dem Punkt Sign Up ein Registrierungsformular. Die hier angegeben Daten müssen zwingend der Wahrheit entsprechen, ansonsten kann StartCom die Ausstellung des Zertifikats verweigern. Idealerweise hinterlegt man hier dieselben Daten, die für die Registratur der Domain benutzt wurden.
Nach dem Absenden des Formulars ist eine Bestätigung erforderlich. Den hierfür benötigten Schlüssel erhält man an die zuvor angegebene E-Mail Adresse. Nun geht es an die Erstellung des persönlichen Zertifikats. Dies wird zur Anmeldung bei StartCom benötigt und ersetzt den Benutzernamen und das Passwort, sollte also gut aufbewahrt werden. Die Voreinstellung Hochgradig belässt man und klickt auf Continue. Der Browser meldet nun eine erfolgreiche Installation eines Persönlichen Zertifikats.
Im nächsten Schritt sichern wir zunächst das soeben installierte Persönliche Zertifikat, um es später – etwa im Falle einer Neu-Installation – wieder zur Verfügung zu haben. Dies unterscheidet sich je nach Browser. Unter Firefox findet sich die entsprechende Option unter Einstellungen, Erweitert, Zertifikate, Zertifikate anzeigen. Das dort unter Ihre Zertifikate hinterlegte Zertifikat markieren und mit Sichern exportieren. Das hinterlegte Passwort für das Backup sollte gut aufbewahrt werden, da es für den Import erneut benötigt wird. In Chrome funktioniert dies ähnlich, die entsprechende Funktion findet sich dort in den Einstellungen unter Erweiterte Einstellungen und Zertifikate verwalten.
Bevor wir das Zertifikat ausstellen lassen können, muss nun zunächst eine Domain hinterlegt und bestätigt werden, dass ihr der Eigentümer selbiger seid. Im Control Panel findet sich der Validation Wizard. Aus der Drop-Down Liste wählt man Domain Name Validation. Im nächsten Schritt gibt man den Domainnamen sowie das TLD-Kürzel ein. Für die Bestätigung ist es nun zwingend notwendig, dass ihr Zugriff auf das webmaster@<domainname>.<tld> Konto habt. An diese wird nun erneut ein Bestätigungs-Schlüssel geschickt. Habt ihr diesen eingegeben, ist die Domain bestätigt und bei StartCom hinterlegt.
Im letzten Schritt generieren wir einen Private Key und das eigentliche Zertifikat. Der Private Key sollte niemals aus der Hand gegeben werden, er stellt sicher, dass nur der Inhaber dieses berechtigt ist, das SSL Zertifikat zu verwenden. Im Certificates Wizard wählt man Web Server SSL/TLS Certificate. Im nächsten Schritt wird nun der Private Key erstellt. Man sollte ein möglichst langes Passwort verwenden. Dieses Passwort wird später noch benötigt, also sollte auch dieses sicher aufbewahrt werden. Den nun erstellten Private Key kopiert man komplett in den Texteditor und speichert diese Datei als ssl.key. Beachtet, dass das Format unbedingt auf ASCII gestellt sein muss.
Im nächsten Schritt wählt man nun die zuvor angelegte Domain aus und wählt die Sub-Domain, für die das Zertifikat ausgestellt werden soll. Das Zertifikat wird sowohl für die Sub-Domain, als auch die Top-Level Domain ausgestellt. Im konkreten Beispiel stellen wir das Zertifikat auf die www Subdomain aus. Der Zugriff kann demnach später sowohl via www.<domainname>.<tld> als auch via <domainname>.<tld> erfolgen.
Nach der Bestätigung erhaltet ihr das fertige Zertifikat. Unter Umständen wird das Zertifikat nicht sofort ausgestellt, sondern erst von StartCom überprüft. Unter diesem Fall könnt ihr das Zertifikat dann in der Toolbox unter Retrieve Certificate abholen, sobald ihr die Bestätigungs-E-Mail erhalten habt. Das Zertifikat kopiert ihr wieder komplett in den Texteditor und speichert dies unter ssl.crt, wie bereits zuvor mit ASCII Formatierung.
Im letzten Schritt müssen wir nun nur noch den Private Key entschlüsseln. Ebenfalls in der Toolbox findet ihr hierfür den Punkt Decrypt Private Key. Kopiert nun den Inhalt eurer ssl.key Datei in das dafür vorgesehene Textfenster. Das benötigte Passwort ist jenes, welches wir vorher für den Private Key festgelegt haben. Den entschlüsselten Private Key kopieren wir erneut in den Texteditor und speichern ihn ASCII formatiert als decrypted_ssl.key ab.
Zu guter letzt benötigen wir nun nur noch das StartCom Global Certificate (CA). Dieses könnt ihr einfach hier herunterladen.
Nun können wir das Zertifikat in das NAS importieren. Das konkrete vorgehen hängt vom jeweiligen NAS Modell ab. Wo sich die entsprechenden Menüpunkte befinden, lässt sich im Handbuch des Geräts nachschlagen. Das nachfolgende konkrete Beispiel zeigt, wie man das Zertifikat in eine Synology DiskStation mit DSM 5.2 einbindet.
Hierzu melden wir uns zunächst über den Browser in der NAS Oberfläche als Administrator an. In den Systemeinstellungen unter dem Punkt Sicherheit findet sich der Karteireiter Zertifikat. Ein Klick auf den Button Zertifikat importieren öffnet den Import-Dialog. Wir wählen nun als Privaten Schlüssel unsere zuvor abgespeicherte Datei decrypted_ssl.key, als Zertifikat die ssl.crt und als Zwischenzertifikat die im letzten Schritt heruntergeladene sub.class1.server.ca.pem. Nach dem Bestätigen importiert das NAS den Schlüssel und startet den Webserver neu. Dieser Vorgang kann einige Minuten dauern.
Nun solltet ihr im Abschnitt Server Zertifikat grün markiert den Vermerk Fremdzertifikat finden sowie eure (Sub-)Domain. Das Zertifikat wurde erfolgreich importiert und ihr solltet beim Aufruf der Domain in der Adressleiste eures Browsers bei der SSL Verschlüsselung einen Vermerk, dass die Identität bestätigt wurde, erhalten.
Wollt ihr ausschließlich auf euer NAS zugreifen, müsst ihr nicht zwingend ein Zertifikat in euren Router importieren. Wollt ihr dagegen auch etwa die Fernwartungs-Oberfläche eures Routers via SSL aufrufen oder nutzt ihr die bei einigen Modellen eingebaute NAS Funktion, müsst ihr das Zertifikat auch in der Oberfläche des Routers hinterlegen. Unser Beispiel zeigt, wie dies bei einer AVM Fritz!Box funktioniert.
Zunächst muss das Zertifikat in das korrekte Format umgewandelt werden. Die Fritz!Box benötigt Zertifikate im .pem Format. Diese lassen sich ganz einfach manuell erstellen. Hierzu kopieren wir den Inhalt unserer oben erstellten Dateien nach folgendem Schema in den Texteditor. Entsprechend sollte der Inhalt der Datei, die wir im ASCII Format als sslcert.pem abspeichern, wie folgt aussehen:
—–BEGIN RSA PRIVATE KEY—–
(Inhalt der ssl.key Datei)
—–END RSA PRIVATE KEY—–
—–BEGIN CERTIFICATE—–
(Inhalt der ssl.crt Datei)
—–END CERTIFICATE—–
Diese Datei kann nun in der Fritz!Box unter Internet, Freigaben im Reiter Fritz!Box Dienste unter dem Punkt Benutzereigenes Zertifikat importiert werden. (Beachtet, dass je nach Firmware Version die Menüpunkte etwas anders lauten können.) Das Passwort ist jenes, welches wir bei der Erstellung des Private Key benutzt haben. Nach dem erfolgreichen Import sollte unter Status die Verwendung eines benutzereigenen Zertifikats vermerkt sein.
Die Verwendung eines vertrauenswürdigen Zertifikats, ausgestellt von einem Anbieter wie StartCom sorgt nicht nur dafür, dass die nervigen Warnmeldungen in Browsern oder mobilen Apps verschwinden, sondern schaffen auch Seriösität. Gerade wer von seinem NAS Dateien mit Kunden teilt, wird dies zu schätzen wissen. Aber auch für Privat-Haushalte lohnt sich der Aufwand, auf Grund des Sicherheits-Zugewinns.
Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.
© Severin Lochinger
Den Private Key bei Startcom erstellen zu lassen ist eine denkbar schlechte Idee. Private Keys dürfen nie(!) aus der Hand bzw. von der Maschine gegeben werden.
Hallo,
und vielen Dank für deinen hilfreichen Blog! Kannst du dieses kostenlose SSL-Zertifikat auch für größere Websites empfehlen? Man kann ja bei Anbietern recht kostengünstig starten, aber auch viel Geld für die Zertifizierung ausgeben. Wo liegt denn eigentlich der besondere Mehrwert von SSL-Zertifikaten, die Geld kosten?
Über eine Antwort wäre ich sehr dankbar.
Viele Grüße,
Holger
Ein „Mehrwert“ ist in diesem Sinne nicht gegeben. Ein SSL Zertifikat ist so gut wie das andere. Die Anbieter unterscheiden hier lediglich, wieviele Adressen ein Zertifikat abdeckt. Sogenannte Wildcard-Zertifikate decken – anders als das hier im Beispiel erstellte Zertifikat für die www Sub-Domain – sämtliche Sub-Domains ab. Es gibt auch Unterschiede in der Art, wie der Inhaber der Domain verifiziert wird. Manche Zertifikate färben zusätzlich die Browser-Leiste grün. Das lassen sich die Anbieter natürlich bezahlen. Einen technischen Unterschied gibt es aber nicht, sämtliche Zertifikate signalisieren dem Browser, dass die SSL Verbindung vertrauenswürdig ist.
Ob das kostenlose Startcom SSL Zertifikat für andere Websites einsetzbar ist, hängt einzig und allein davon ab, ob man Zugriff auf das Back-End des HTTP-Servers, auf dem die Seite liegt, hat. Denn das Zertifikat muss auf Server-Seite installiert werden. Bei nahezu sämtlichen normalen Hosting-Angeboten ist dies nicht der Fall. Wer aber einen eigenen Managed- oder Dedicated Server gemietet hat, oder gar selber hostet, kann dieses Zertifikat natürlich jederzeit in einen Apache oder IIS Server installieren. Die entsprechend benötigten Dateien finden sich bei Startcom.
Hallo Maverick,
vielen Dank für die schnelle, ausführliche Antwort (y).
Hilft mir wirklich weiter!
MfG
Holger
http://www.startssl.com/ … geht leider nicht mehr …
Funktioniert hier einwandfrei.
hallo und danke für deine anleitung
doch hat sich die seite geändert und ich blicke nicht durch was zu tun ist, kannst du das bitte hier updaten? danke
Das wird einige Zeit in Anspruch nehmen. Ich werde die Anleitung bei Gelegenheit aktualisieren.