Per sub-Domain auf DS zugreifen

[mpro]

Hallo zusammen!

Nachdem ich im Forum leider noch keine Hilfe gefunden habe poste ich jetzt mal eine Problembeschreibung.

Also...

Ich habe seit etwa 3 Jahren eine eigentlich recht gut funktionierende DS 214 play.
Ebensolange ist mir diese Aufforderung zur Umgehung der Zertifikatswarnung ein "Dorn im Auge" (vor allem wenn Freunde darauf zugreifen).

Vor ein paar Tagen habe ich mir jetzt ein SSL Zertifikat erstellen lassen.
Dies hat erstaunlich gut geklappt und auch die Installation auf die DS verlief sauber.

Der externe Zugriff erfolgte bis jetzt über einen DynDns-Account
Diesen wollte ich jetzt abdrehen und über eine (eigene All-Inkl) sub-Domain auf die DS zugreifen.

Und genau hier liegt nun das Problem!

Ich schaffe es einfach nicht direkt die DS über die sub-Domain zu erreichen.
Über eine Weiterleitung an die DynDns Adresse hat es zwar funktioniert, allerdings wurde dann wiederum die Zertifikatswrnung ausgegeben,
welche auch noch mit dem Zusatz: das Zertifikat gilt nur für die sub-Domain ds.xxxxxxx.xx.

Das ist echt zu viel des "Guten"...

Für eine Kurze Hilfestellung wäre ich wirklich sehr dankbar.


Beste Grüße

Markus

 

[bitrot]

Wenn Du das Zertifikat mit Let's Encrypt erstellt hast, kannst Du ein Zertifikat für Deine Hauptdomain erstellen und die Subdomains als sog. "SAN" (Subject Alternative Name) unter "Betreff Alternativer Name" (durch ein Semikolon getrennt) eintragen, dann gilt das Zertifikat sowohl für Deine Hauptdomain als auch die eingetragenen Subdomains.

 

[mpro]

Hallo bitrot,

vielen Dank für den Hinweis.
Ich denke das mein Zertifikat (free Variante von StartCom) i.o. ist.
Im Grunde fehlt mir die Verlinkung von der DS zur sub-Domain.

Ich probiers weiter...



Beste Grüße

Markus

 

[bitrot]

Du kannst auch bei StartCom SAN beim Zertifikat eintragen, bis zu 10 bei der kostenlosen Variante. Aber diese müssen auch eingetragen sein, um für die Subdomains Gültigkeit zu haben.

StartCom Zertifikate werden jedoch leider nicht mehr als sichere Zertifikate anerkannt. So ziemlich alle relevanten Browser verweigern jetzt die Zusammenarbeit, inklusive Chrome, Firefox und Safari. Bei letzterem gibt es nicht mal eine Warnmeldung. Wenn Du also weiterhin Deine Domain via SSL absichern möchtest, kommst Du nicht darum herum ein neues Zertifikat zu besorgen, z.B. mit Let's Encrypt (s.o.).

 

[Fusion]

Du musst einfach nur bei all-inkl einen CNAME setzen / setzen lassen für sub.domain.de auf dynDNS.domain.de
Dann kannst du https://sub.domain.de aufrufen und landest auf deiner DS und das Zertifikat für sub.domain.de wird von der DS angefordert und überprüft.
Unabhängig davon welche Zertifikate du verwendest.

Die SAN im Zertifikat brauchst du nur, wenn du statt CNAME einen http-redirect / 301 gesetzt hast, weil dann eben der Hostname nicht erhalten bleibt.

Muss zugeben, dass ich bei manchen Domains auch noch StartSSL laufen habe. Ist einfach angenehmer, wenn das Gerät selbst keine Unterstützung für LE hat. Hab keine Lust alle 2 Monate ein Zertifikat in die Fritzbox zu laden, anstatt einmal in 3 Jahren.
Mal gespannt wie das Thema neue root-Certs und eventuelle Wiederaufnahme in die Browser Trust-Stores so weiter geht.
Bei Domains/Geräten die auch andere Leute zu Gesicht bekommen, was sich eigentlich auf die DS beschränkt, habe ich aber auch nur noch LE-Certs.