SSL Zert. Probleme / HTTPS

Status
Für weitere Antworten geschlossen.

Marshaufen

Benutzer
Mitglied seit
10. Jul 2015
Beiträge
8
Punkte für Reaktionen
0
Punkte
1
Hallo,
ich habe hier eine DS416Play installiert, aber leider Probleme mit dem Zertifikat. Irgendwo habe ich wohl einen Fehler gemacht, kann diesen aber nicht ausmachen. Vielleicht kann mir jemand helfen:

Folgende Geräte sind im Einsatz:
Fortinet 30E (feste IP des Providers vorhanden)
DS416play
Let´s Encrypt Zert für data.domain.de.

Die Subdomäne "data.domain.de" ist als A-Record mit der festen IP des Providers eingetragen.
Auf der Fortigate weden die Ports 5000 und 5001 auf die feste IP der DS (172.23.46.10) geforwarded.

Gebe ich nun "data.domain.de" ein, wird die Seite geladen. Allerdings ohne SSL Zert.
Aktiviere ich nun in der DS-Einstellung den Punkt "HTTP Verbindung automatisch zu HTTPS umleiten" - kann ich die Seite überhaupt nicht mehr aufrufen.
Nach dem Deaktivieren geht es wieder mit data.domain.de

Kann mir jemand helfen?
Danke und Grüße
Philipp
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
data.domain.de ist gleichbedeutend mit http://data.domain.de:80

Sind Port 80/443 auch an die DS geleitet?

Mit welchem Browser wird getestet, wie ist die Fehlerseite genau?

Entweder erzählst du nicht alle Details, oder ich vermute, dass du Port 80 schon weitergeleitet hast, aber 443 nicht.
 

Marshaufen

Benutzer
Mitglied seit
10. Jul 2015
Beiträge
8
Punkte für Reaktionen
0
Punkte
1
Ja genau.

Ja, die Ports werden ebenfalls auf die DS weitergeleitet.
Getestet mit IE und Firefox. Sowohl intern als auch von extern. Die Seiten beliben eninfach leer. Keine Fehlerseite etc.

Ich kann nur das erzählen, was mir bekannt ist :)
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Details sind einem immer bekannt, man nimmt sie nur nicht wahr, z.B. welche exakten URLs man einträgt.

Erstmal würde ich Port 5000 gar nicht öffnen, 5001 nur unter Schmerzen.

Hast du die Web Station installiert?

Was macht https://data.domain.de oder https://data.domain.de:5001 ?
 

Marshaufen

Benutzer
Mitglied seit
10. Jul 2015
Beiträge
8
Punkte für Reaktionen
0
Punkte
1
Hallo Fusion,

nein die Web Station ist nicht eingerichtet. Installiert ist nur die File Station.

Wie eingangs beschrieben, habe ich die Subdomain "data.domain.de" mit einem A-Record und der festen IP des Providers eingetragen.
Das Let´s Encrypt Zert. für "data.domain.de" ist als default hinterlegt. Folgende Dienste werden dafür angezeigt (data.domain.de und Standard).

Die Ports 5000, 5001, 80 und 443 sind in der Fortigate auf die feste IP der DS (172.23.46.10) geforwarded.


Gebe ich nun NUR "data.domain.de" ein, wird die DSM-Seite ohne Zert geladen.

Wenn ich https://data.domain.de:5001 oder https://data.domain.de eingebe, bleibt die Seite leer - keine Fehlermeldung.

Aktiviere ich die DSM-Einstellung "HTTP Verbindung automatisch zu HTTPS umleiten", folgende Ergebnisse

https://data.domain.de:5001 -> bleibt die Seite leer - keine Fehlermeldung
https://data.domain.de -> bleibt die Seite leer - keine Fehlermeldung
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Wenn die Web Station nicht installiert ist, werden Anfragen an http/https an Port 80/443 automatisch auf die DSM Ports umgeleitet.

Kannst mal nachschauen, was unter Systemsteuerung > Sicherheit > Zertifikate > Konfigurieren eingetragen ist?
Was in der Zertifikatsliste als "default" gelistet ist, habe ich noch nicht kapiert. Ausschlaggebend ist jedenfalls der Eintrag "Standard" oder "default" den man in dem Extra Fenster von "Konfigurieren" findet, wo Dienste einem Zertigfikat zugeordnet werden.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Komisch. DNS kanns nicht sein, sonst würde die Domain nicht auf deiner DS landen und das LE Zertifikat hättest du auch nicht bekommen.
Bei Ports hängts angscheinend auch nicht, weil du nirgends einen Timeout oder eine verweigerte Verbindung erhälst.
Browser hast du auch schon zwei getestet. Kenne da allerdings nur Opera, der mit LE Certs Probleme hat.

Bei den intern/extern Tests mal andere Geräte oder Mobiles probiert?
Intern mal die https und LAN-IP aufgerufen, ob er dann was anzeigt und welches Zert er ausliefert, falls ja?

data.domain.de noch irgendwo in der Systemsteuerung eingetragen (wo es vielleicht Probleme machen könnte)?

Mal im Browser die Console (Ctrl+Shift+J) geöffnet und nachgesehen, was er bei der weißen Seite so alles meldet?

Ansonsten habe ich grad auch keine Idee mehr.
 

buexxxi

Benutzer
Mitglied seit
21. Sep 2013
Beiträge
152
Punkte für Reaktionen
0
Punkte
16
ich hak mich mal hier mit ein.
ich habe auch ein lets encrypt zerti installiert nachdem startcom ja nicht mehr von chrome unterstützt wird. Wenn ich nun meine DynDNS in die URL Zeile des Browsers eingebe, erscheint die seite unter dem Port 5003 (https) problemlos und wird als "sicher" angezeigt.
wenn ich jedoch meine Subdomain eingebe, die per CNAME Eintrag auf meine DynDNS verweist, baut er die Seite zwar auf (auch mit :5003), jedoch streicht mir Chrome vorn das https rot durch und meckert "nicht sicher" mit rotem Ausrufezeichen vor der URL. Ich kann dann mittels "trotzdem Verbindung aufbauen" zwar auf die Syno zugreifen, jedoch ist es halt nicht schön.
Vllt. hat ja jemand ne Idee woran es bei mir liegen könnte.

Grüße büx
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Das liegt einfach daran, dass das Zertifikat NUR auf deine dynDNS ausgestellt ist.
Ein CNAME ist keine Weiterleitung sondern eine Art Alias. Also wird die Subdomain mit der IP hinter der dynDNS assoziert bzw aufgerufen.
Und für die Subdomain ist kein Zertifikat ausgestellt, also Fehlermeldung.

Alles klar?

Also entweder je ein Zertifikat für dynDNS und eigene Subdomain, oder eines wo beide Namen (einer als Subject Alternate Name) eingetragen sind, oder nur eines auf der Domain die dir wichtiger ist. Freie Wahl.
 

buexxxi

Benutzer
Mitglied seit
21. Sep 2013
Beiträge
152
Punkte für Reaktionen
0
Punkte
16
GENIAL! Wie einfach das ist. Einfach bei Alias Name meine Sub eingetragen und schwups funzt.
Ich weiß noch wie ich mich damals mit Startcom SSL rumgeprügelt habe bis der Mist endlich lief. Jetzt gibts da einfach mit 2 Klcks diese Lets Encrypt Lösung. Unfassbar easy!

Danke für den Tip mit Alternate Name!
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat