Empfehlung für Zertifikat zum Einbinden in FB?

[thurtam]

Hallo,

würde gerne auf meiner Fritzbox ein von einer CA signiertes Zertifikat installieren, greife doch schon öfter von unterwegs auf meine FB zu und kann nicht bei allen Geräten das vorinstallierte Zertifikat runterladen und installieren, so dass ich da jedesmal Fehlermeldungen überspringen muss, um da etwas mehr Ruhe zu haben, wäre mir ein Zertifikat auch ein paar Euro wert, eine eigene Domain nutze ich bereits um auf die Fritzbox zuzugreifen.

Bin jetzt nur was solche Zertifikate angeht kein Experte, habe jetzt testweise mal ein kostenloses (nur kurze Zeit gültiges) über einen Anbieter namens RapidSSL erstellt, doch setzt sich das offenbar aus mehreren einem Haupt- und Intermediate Zertifikat zusammen und auf der FB kann ich ja nur eines hochladen, womit ich das von RapidSSL dann nicht nutzen kann, oder verstehe ich da was falsch?

Wo könnte ich sonst einfach nur ein Zertifikat (sagen wir bis zu 40 Euro im Jahr) am besten bekommen, was dann auch mit der FB (7490) funktioniert?

Danke im Voraus

 

[HabNeFritzbox]

Für 40€ bekommst teils schon eins für 3 Jahre, muss aber auch nicht sein.

Kostenloses bei Wosign wird nicht mehr vertraut und auch Webseite ständig nicht mehr erreichbar, Lets Encrypt ist kostenlos, muss aber alle 3 Monate verlängert werden, was die FB selbst so nicht macht.

Musst Privaten Key und Zertifikat zusammen kopieren in eine Datei, und diese dann hochladen, ist nicht wirklich gut gelöst bei AVM.

 

[padowa76]

Frag mal bei deinem Hostingprovider nach, viele Anbieter bieten mittlerweile in Kooperation mit Symantec (als Reaktion auf Let's Encrypt und Co.) kostenlose domainvalidierte Zertifikate mit 1. Jahr Laufzeit an.
WoSign und StartSSL würde ich nicht mehr verwenden, da die in nächster Zeit aus den Browsern fliegen (siehe z.B. Artikel bei Golem) und dann genauso unbrauchbar sind.

lternativ Let's Encrypt und alle 3 Monate das Zertifikat aktualisieren.

 

[thurtam]

Hallo,

Danke für die Hinweise, Let's Encrypt habe ich schon von gelesen, muss aber sagen, dass mir das doch etwas zu viel Bastelei ist und hätte schon lieber etwas, wo ich mich auch nur höchstens einmal pro Jahr drum kümmern muss, statt alle drei Monate. Selbst die Sache mit RapidSSL ist ja schon etwas komplizierter als ich dachte, ich hatte ja gehofft, dass ich dann da am Ende einfach eine Datei bekomme, die ich einfach auf die FB hochladen kann, muss dann am Ende aber so eine PEM Datei noch selbst erstellen und dafür fehlen mir aber offenbar noch Bestandteile.

Vielleicht könnte mir da aber hier jemand helfen und ich könnte das Zertifikat von RapidSSL doch noch nutzen, falls ja bieten die ja eines recht günstig für ein Jahr an. Habe hier mal eine Anleitung gefunden, wo offenbar erläutert wird, wie ich so eine für die FB brauchbare Datei erstellen kann, allerdings habe ich nicht den Eindruck, dass ich alle Bestandteile habe. Hier vielleicht mal aufgelistet, was ich alles habe:

- eine Datei namens meine.domain.de.csr die ich selbst am Rechner erstellte, handelt sich offenbar um eine sogenannte Signing Request

- Bereitgestellt bekam ich am Ende drei Dateien, erstens certificate_meine.domain.de.txt

- linux_cert+ca.pem (heißt zwar PEM, aber noch nicht die Datei, die die FB will)

- windows_intermediate.p7b

- Eine Datei namens meine.domain.de.cer konnte ich in dem Programm womit ich die Signing Request erstellt hatte erstellen und zwar konnte ich die Datei meine.domain.de.csr mit certificate_meine.domain.de.txt offenbar signieren. Dies ist somit offenbar nun ein vertrauenswürdiges Zertifikat, der FB reicht dies offenbar aber noch nicht, die Datei wird weiterhin als ungültig abgewiesen.

In allen Anleitungen die ich zu diesen PEM Dateien gefunden habe, ist aber immer die Rede von .CRT Dateien, wo man die Inhalte zusammenfasst, davon habe ich bisher keine einzige. Jemand eine Idee, wie ich hier weiterkommen könnte?

 

[HabNeFritzbox]

Ob crt, txt, pem oder so ist egal, da es letztendlich nur Textdatei ist.

Wie gesagt kopiere privaten Key und Zertifikat zusammen in eine Datei, und die lädst einfach hoch.

Inhalt sollte dann etwa so aussehen:
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
xxx
-----END RSA PRIVATE KEY-----

 

[karsten-melanie]

Wosign wo ich vorher war stimme ich [SIZE=2pt]HabNeFritzbox[/SIZE] voll und ganz zu wird nicht mehr vertraut daher mußte ich auch eine allternative suchen
https://www.startssl.com/ zwar kostenlos aber die sind auch nicht mehr vertrauenswürdig wenn ich es richtig verstanden habe
https://www.psw-group.de/blog/wosign-und-startcom-zertifizierungsstellen-schiessen-sich-ins-aus/3686
Let's Encrypt Teoretisch möglich aber alle 3 Monate hm

https://www.plambee.de/ssl-zertifikate/comodo/ 16,59 Euro für 3 Jahre das ist denke ich eine günstige alternative


Den habe ich jetzt bei mir drin mußt aber vor Erstellung ein CRT vorbereiten
IM CRT muß die zu schützende Domain stehen du wirst sonst nirgendswo mehr danach gefragt ...

Schau

Karsten

 

[padowa76]

WoSign hat StartSSL gekauft und es lange Zeit verheimlicht

 

[thurtam]

Laut der Anleitung auf Digicert benötige ich ja drei Dateien:

1. The Primary Certificate - your_domain_name.crt
2. The Intermediate Certificate - DigiCertCA.crt
3. The Root Certificate - TrustedRoot.crt

Für mich ist leider noch nicht ganz klar, welche von meinen jetzt welche ist. windows_intermediate.p7b und linux_cert+ca.pem sind lt. der E-Mail von RapidSSL zumindest klar als Intermediate Zertifikate angegeben und beide kann ich mit Text-Editoren öffnen, haben jedoch nicht den gleichen Inhalt. Welches muss ich dann nehmen, das mit Linux im Namen, meine FritzOX basiert zumindest auf Linux?

Was aber wären jetzt das Primary Certificate und das Root Certificate in meinem Fall?

meine.domain.de.csr habe ich zwar als Datei noch, geht da aber soweit ich das verstanden habe nur im die Signing Request.

certificate_meine.domain.de.txt, könnte das Primary Certificate sein?

Und was ist mit diesem Root Certificate?

 

[HabNeFritzbox]

Dann such dir andere Anleitung, und root Zertifikat brauchst nicht.

CSR brauchst nur zur Erstellung vom Zertifikat und des privaten Keys.

 

[karsten-melanie]

Also das ist ganz einfach
erstelle ein CSR
http://www.csr-generator.com/index.php?id=458

Aus diesen CSR Erhälst du 2 Sachen dein CSR was deine domain etc enthält und dein Private Key bitte beides einzeln als TXT speichern
Jetzt gehst du mit diesen CSR zu deinen SSL Zertifikat anbieter deiner Wahl ich habe dir schon einen Vorgeschlagen oben weiter
Kopiere dieses CSR an der Richtigen stelle ein bei diesen Anbieter, jetzt bekommst du folgende sachen zurück
dein CRT was jetzt bestätigt ist und Zertifikate vom Anbieter zur Beglaubigung

zur zusammen setzung

-----BEGIN CERTIFICATE-----
dein Zertifikat erkennbar an deine Domain als bezeichnung mit CRT
-----END CERTIFICATE----- Zeilenumbruch
-----BEGIN CERTIFICATE-----
Die Zertifikate vom Anbieter manchmal sind es auch 3 dann setzt du halt 3 untereinander Root Certificate hier hin
-----END CERTIFICATE----- Zeilenumbruch
-----BEGIN RSA PRIVATE KEY-----
Dein Privater Key den du am Anfang erstellt hast
-----END RSA PRIVATE KEY-----

Zursammengesetzt sieht es dann so aus die 2 in der Mitte 2und3 sind allerdings immer verschieden bezeichnet es können durchaus auch 3 Sein bei den anderen nur 1 nicht Ireetieren lassen
du setzt es einfach so zusammen was du bekommst

1. The Primary Certificate - your_domain_name.crt
2. The Intermediate Certificate - DigiCertCA.crt
3. The Root Certificate - TrustedRoot.crt
4. Private Key

Achso und hinterher als XXX.pem speichern




Schau

Karsten

 

[sneaker2]

Also das ist ganz einfach
erstelle ein CSR
http://www.csr-generator.com/index.php?id=458

Mag hier "nur" um die Fritzbox gehen, aber das Schlüsselpaar lässt man üblicherweise nicht von jemand anderem erstellen. Die Sicherheit beruht bekanntlich auf der Geheimhaltung des privaten Schlüssels.

 

[HabNeFritzbox]

Muss man nicht so streng sehen. Gibt ja Möglichkeit lokal sich offline CSR zu erstellen, online Tools sind aber auch ok.

 

[thurtam]

[...]

Danke für die ausführliche Erklärung, habe es jetzt hinbekommen, endlich keine Warndialoge mehr beim Zugriff, klappt sowohl bei Zugriff aufs Webinterface als auch mit dem FTP Server

 

[karsten-melanie]

Super dann viel Spaß damit

 

[dl5ark]

Kann man mit dem o.g. https://www.plambee.de/ssl-zertifikate/comodo/ auch Zertifikate für Subdomains, z.b. xyz.no-ip.biz bekommen oder braucht man auf der FB einen eigenen Domainnamen?

 

[HabNeFritzbox]

Wenn du auf Hauptdomain eines Dienstleisters Zugriff hast für Webmaster oder Postmaster Email

Sonst nein geht nur mit eigener Domain.

 

[dl5ark]

Schade, bei WoSign gab es nicht nur die "e-mail address verification", sondern auch die "website file verification", welche man per Portweiterleitung zu einem anderen Host gut nutzen konnte.

 

[amatör]

Ich hab mir selbst eon Zertifikat erstellt ("self-signed") und in die Fritzbox geladen. Dann muss man einmal bestätigen, dass man dem vertraut und gut. Gerade bei einer Fritzbox, auf die ja nur du selbst zugreifen sollst, reicht das vollkommen und kostet nix.


Gesendet von iPhone mit Tapatalk

 

[BurningCrash]

Der Thread ist vll paar Tage nicht genutzt aber hat jemand Erfahrung mit dem Programm XCA?

Aktuell will ich eine Anleitung schreiben wo jeder versteht wie man RootCA anlegt und dann alle nötigen Schritt bis zum fertigen Cert für die FritzBox.

Wenn ich alles per Terminal erstelle (csr,crt &key) klappt es auf allen Geräten.
Sobald ich XCA nutze,alles erstelle und dort den alles zusammenfüge klappt es nur noch auf desktops und mobileOS (Android & iOS) mögen nicht mehr obwohl das Cert meiner RootCA sich in der jeweiligen Keychain befindet.

Hat einer eine Idee?

 

[Theo Tintensich]

Let'sEmcrypt, und andere, prüfen die kostenlosen Zertifikate, in dem sie bestimmte Dateien aus einem bestimmten Verzeichnis eines auf Port 80 oder 443 laufenden Webservers abfragen.
Bei einer F!B direkt am Internet ist es schwierig, diese Datei dort abzulegen.
Das Verzeichnis wird von Let'sEncrypt vorgegeben, die Datei auch.