Moin, Moin,
jetzt muss ich mal hier nachfragen. Alle 3 Monate das gleiche Spiel. Ich versuche die exportierten Zertifikate aus der Opensense in die Synology zu importieren, Leider scheite ich komplett. Wenn ich das Zertifikat importiert habe, sagt mir die Smartphone-App trotz dem, dass mein Zertifikat nicht in Ordnung ist:
(https://i.ibb.co/2Zd0Mxk/Screenshot-20250125-193217.png)
gleiches sagt auch die Desktop-App.
Frage: Kann man jemand für ganz blöde erklären, wie ich diese Zertifikate richtig exportieren und vor allem woher zum Geier noch mal bekomme ich das Zertifikat für dieses "Zwischenzertifikat"???? Ich blicke hier kein Stück durch und habe im vierteljahres rhythmus immer wieder das gleiche Problem. Bei dem vielen basteln, weiß ich letzt auch gar nicht mehr, welcher Schritt nun wirklich zum Erfolg geführt hat.
Ich hoffe, mir kann hier jemand weiter helfen
Man hätte erwähnen können, um welche Zertifikate es hier geht, aber vermutlich um LE, die ein ACME Client auf der OPNsense installiert.
Mein Tipp wäre, installiere noch einen Reverse Proxy auf OPNsense, weise diesem die Zertifikate zu und greife über diesen auf deine Webserver im Netzwerk zu.
Caddy soll ja einfach einzurichten und für solche Zwecke hervorragend geeignet sein.
Dann ersparst du dir das Kopieren der Zertifkate alle paar Wochen.
Auch sollte man das Kopieren automatisieren können, doch wie das geht, kann ich dir erklären.
Ansonsten, wenn du beim manuellen Kopieren bleiben möchtest, brauchst du sowohl das Server Zertifikat wie auch den Private Key. Und das Zwischenzertifikat möchten viele Anwendungen auch vom Server bekommen, also auch dieses übertragen (hat keinen Private Key).
Exportieren kannst du Zertifikat und Private Key getrennt (PEM Format) oder im PCKCS12 Format, das gleich beides enthält. Letzteres kann mit einem Passwort gesichert werden. Die Seite System: Trust: Certificates lässt dir nach Klick auf Download die entsprechende Auswahl.
In welcher Form du das brauchst, hängt vom Server ab, auf dem du es installieren möchtest. Aber PEM sollte immer passen.
Zwischenzertifikat:
Die nötigen Zwischenzertifikate installiert der ACME Client automatisch.
Wenn du in System: Trust: Certificates beim gewünschten Zertifikat den Info-Knopf klickst, geht eine Detailansicht auf. Da findet sich bei Issuer die Zwischenzertifizierungsstelle, die es ausgestellt hat. Interessant ist hier vor allem, was hinter "CN" steht (Common Name).
Mit diesem Wissen gehst du auf die "Authorities" Seite. Da solltest du unter Name einen entsprechenden Eintrag finden. Der CN wird normalerweise auch als Description verwendet.
Und da gibt es rechts ebenfalls einen Download-Knopf, um das Zertifikat runterzuladen.
Wenn ein Zertifikat erneuert wird, bleibt der Private Key üblicherweise derselbe. Kann aber sein, dass das der ACME Client anders handhabt.
Grüße