Zertifkate - unsichere Verbindung

Status
Für weitere Antworten geschlossen.

bernd_

Benutzer
Mitglied seit
29. Apr 2014
Beiträge
703
Punkte für Reaktionen
6
Punkte
38
Hallo zusammen,

wenn ich mich über quickconnect verbinde keine Fehlermeldung,
jedoch wenn ich mich intern über ip verbinden will:

https://192.168.178.100:5001/

-->> unsichere Verbindung..

wenn ich jedoch dann eine Ausnahme erteile, all ok.. komme ich auf die Weboberfläche.

Es gibt zwei erstellte Zertifkate in der DS213+..

Was tun?
Gruss Bernd
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Was soll denn das Ziel sein?
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134
Und inwiefern zwei selbst erstellte Zertifikate, wenn du ja ohnehin mit QuickConnect arbeitest? Intern (im engsten Kreis der Familie usw.) kann man das vernachlässigen, die DS ohne Zertifikate arbeiten zu lassen.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Ich würde es so deuten: dass es bei einem NAS mit Zugriff von ganz wenigen Benutzern (nur der eigenen Familie) nicht notwendig ist, ein Zertifikat zu kaufen oder sich da weiter drum zu kümmern.

Auf mein NAS haben auch nur 2 Leute Zugriff, daher habe ich ebenfalls mit einem Self-Signed Zertifikat begonnen. Dann kommt natürlich zwar bei HTTPS eine entsprechende Fehlermeldung. Man muss die NAS Seite dann einmalig als "trotzdem erlauben" markieren - dann sieht man auf diesem Gerät den Zertifikatshinweis nicht mehr.


@bernd: was ist das Problem bzw. was willst du jetzt erreichen? Evt. ein Zertifikat von LetsEncrypt anfordern? (benötigt aber die Synology Web Station und Port 80 nach außen...)
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134
Ich würde es so deuten: dass es bei einem NAS mit Zugriff von ganz wenigen Benutzern (nur der eigenen Familie) nicht notwendig ist, ein Zertifikat zu kaufen oder sich da weiter drum zu kümmern)

Richtig gedeutet! :)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...na dann... - so ganz ohne geht's ja nämlich auch nicht, was der unbedarfte da hätte verstehen können. ;)
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.826
Punkte für Reaktionen
46
Punkte
74
Und noch die Erklärung für Bernd:

wenn ich mich über quickconnect verbinde keine Fehlermeldung,
jedoch wenn ich mich intern über ip verbinden will:

https://192.168.178.100:5001/

-->> unsichere Verbindung..

Das ist normal, da Du ja scheinbar ein gültiges Zertifikat für Deine QuickConnect Adresse hast!
Wenn Du allerdings 192.168.178.100 benutzt, dann hast Du kein Zertifikat und so gibt der Browser Dir das sofort zu erkennen (unsichere Verbindung). Er weiss ja nicht, -dass Du weist- dass es sich bei 192.168.178.100 um Deine DiskStation handelt, aber er ist halt so programmiert, dass er Dich warnen will, dass da kein Zertifikat gültig ist und Du scheinbar nicht weist, was Du tust!

Dass Du doch weist, was Du machst, wird dem Browser quasi dadurch erklärt, dass Du eine Ausnahme erstellst und er damit zukünftig nicht mehr rumheulen soll!
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Ich würde es so deuten: dass es bei einem NAS mit Zugriff von ganz wenigen Benutzern (nur der eigenen Familie) nicht notwendig ist, ein Zertifikat zu kaufen oder sich da weiter drum zu kümmern.

Auf mein NAS haben auch nur 2 Leute Zugriff, daher habe ich ebenfalls mit einem Self-Signed Zertifikat begonnen. Dann kommt natürlich zwar bei HTTPS eine entsprechende Fehlermeldung. Man muss die NAS Seite dann einmalig als "trotzdem erlauben" markieren - dann sieht man auf diesem Gerät den Zertifikatshinweis nicht mehr.


@bernd: was ist das Problem bzw. was willst du jetzt erreichen? Evt. ein Zertifikat von LetsEncrypt anfordern? (benötigt aber die Synology Web Station und Port 80 nach außen...)

Stimmt nicht! Die Web Station muss definitiv nicht installiert sein! Diese Falschausage hält sich hier wirklich sehr penetrant. 80 und 443 müssen offen sein!
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Hm, kann natürlich sein, dass keine Webstation notwendig ist.
Habe damals einiges probiert und auch getrickst, jetzt weiß ich gar nicht mehr ob ich kurzfristig 443 freigegeben habe Richtung NAS (das wird bei mir von außen anderwertig vom Router weitergeleitet). Wird sich beim Verlängern zeigen :)


Soweit ich den Handshake zwischen Synology und LetsEncrypt verstehe, wird von LetsEncrypt gefordert, dass unter deiner URL eine gewisse Datei xy abgelegt wird. Diese wird dann mit http://HOST/xy abgerufen. Somit muss am NAS eine Form von Webserver laufen. Kann mir aber vorstellen, das Synology ohne Web Station das dann einfach mit dem Standard-nginx ausliefert.
 

bernd_

Benutzer
Mitglied seit
29. Apr 2014
Beiträge
703
Punkte für Reaktionen
6
Punkte
38
Hallo zusammen,
Hallo tproko!

Das habe ich verstanden, wenn ich mich über quickconnect verbinde benötige ich kein Zertifikat.

"Auf mein NAS haben auch nur 2 Leute Zugriff, daher habe ich ebenfalls mit einem Self-Signed Zertifikat begonnen. Dann kommt natürlich zwar bei HTTPS eine entsprechende Fehlermeldung. "
-->> Warum, es ist doch dann ein Zertifikat, wenn auch self-signed.. vorhanden?

Das ist normal, da Du ja scheinbar ein gültiges Zertifikat für Deine QuickConnect Adresse hast!
..ich dachte ich benötige für Quickconnect kein Zertifikat?

Wenn Du allerdings 192.168.178.100 benutzt, dann hast Du kein Zertifikat
Warum, Zertifikate sind doch vorhanden?
Was versteht man denn bzw was muss denn eingetragen werden bei neues Zertifkat hinzufügen/Zertifikat von Letsencrypt abrufen / "Domainname"...?
Wann verwende ich ein Zertifikat von "Letsenrypt" und wann ein "self signed" (Heimbereich)...?

Ich habe zwei Zertifkate, da mal eines ausgelaufen war .. und beim Neueintrag was schiefgelaufen ist..
eines mit dem Namen Synology und eines mit meinem dyndns Name..
Woran erkenne ich welches und ob überhaupt ich eines davon löschen könnte?

Irgendwie habe ich da ein Verständnisproblem...:>))
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.826
Punkte für Reaktionen
46
Punkte
74
Das habe ich verstanden, wenn ich mich über quickconnect verbinde benötige ich kein Zertifikat.

weil Synology das dann wahrscheinlich für Dich übernimmt und Du dort keine Warnungen bekommst, da das Zertifikat von Synology gültig ist (falls Du die Adresse https://xxxxx.synology.me benutzt) oder aber kein Zertifikat nötig ist, wenn Du eine der mobilen Apps verwendest.
Wird grade keiner aus Deinen Aussagen schlau, wenn Du von QuickConnect schreibst - ob Du den App-Zugriff meinst oder den Zugriff im Browser (ich gehe jetzt mal von letzterem aus).

"Auf mein NAS haben auch nur 2 Leute Zugriff, daher habe ich ebenfalls mit einem Self-Signed Zertifikat begonnen. Dann kommt natürlich zwar bei HTTPS eine entsprechende Fehlermeldung. "
-->> Warum, es ist doch dann ein Zertifikat, wenn auch self-signed.. vorhanden?

weil Du entweder eine andere Adresse verwendest, als als Zertifikat ausgestellt ist (z.B. Zertifikat für xxxxx.synology.me und Zugriff über 192.168.178.100) oder aber das Zertifikat für diese Adresse ausgelaufen ist.
Self-Signed bedeutet nur, dass Du ein Zertifikat für eine Adresse selbst signieren kannst, nicht aber dass Du mit einem self-signed Zertifikat über sämtliche Adresse automatisch immer "ohne Fehlermeldung" erreichbar bist.

Das ist normal, da Du ja scheinbar ein gültiges Zertifikat für Deine QuickConnect Adresse hast!
..ich dachte ich benötige für Quickconnect kein Zertifikat?

das lässt jetzt wieder darauf schließen, dass Du den App-Zugriff (DS-File, DS-Video, DS-Music ...) nutzt. Da ist es egal ob Du ein Zertifikat nutzt oder nicht! Eine Fehlermeldung sollte dort nicht kommen!
Rufst Du Deine DS aber unter einer Adresse im Browser auf (z.B. https://xxxxxxxxx.synology.me) dann brauchst Du natürlich ein Zertifikat.

Wenn Du allerdings 192.168.178.100 benutzt, dann hast Du kein Zertifikat
Warum, Zertifikate sind doch vorhanden?

die vorhandenen Zertifikate sind aber nicht für 192.168.178.100 gültig! Für IP-Adressen hat kaum jemand Zertifikate, schon gar nicht für interne IP-Adressen wie 192.168.xxx.xxx

Was versteht man denn bzw was muss denn eingetragen werden bei neues Zertifkat hinzufügen/Zertifikat von Letsencrypt abrufen / "Domainname"...?

Wenn Du ein neues Zertifikat beantragen willst, dann sind eigentlich nur eine Domain (für die das Zertifikat ausgestellt werden soll) und eine eMail Adresse notwendig.
D.h. wenn Du zum Beispiel ein Zertifikat für bernd.synology.me erstellen willst, dann muss unter Domain halt bernd.synology.me stehen oder wenn die Domain bernd.dyndns.org lautet, dann eben bernd.dyndns.org.
Als eMail Adresse kann dann alles mögliche angegeben werden, was man als eMail Adresse auch verwendet - z.B. die von GMX oder Web.de oder oder oder ....

Wann verwende ich ein Zertifikat von "Letsenrypt" und wann ein "self signed" (Heimbereich)...?

Von Let's Encrypt dann, wenn Du kostenlos international erreichbar sein möchtest.
self-signed dann, wenn Du das Ganze nur im Heimbereich nutzen möchtest! Wobei self-signed früher immer dann verwendet worden ist, wenn man das Ganze kostenlos betreiben wollte. Das alles ist aber mittlerweile durch Let's Encrypt ad-absurdum geführt worden, da dieser Anbieter ja das Ganze auch kostenlos anbietet! D.h. man hat jetzt was echtes - ohne Geld und muss nicht mehr das armselige "self-signed" nutzen!

Ich habe zwei Zertifkate, da mal eines ausgelaufen war .. und beim Neueintrag was schiefgelaufen ist..
eines mit dem Namen Synology und eines mit meinem dyndns Name..
Woran erkenne ich welches und ob überhaupt ich eines davon löschen könnte?

Daran, ob eins am Datum abgelaufen ist oder nicht! Sehen kannst Du das unter Systemsteuerung - Sicherheit - Zertifikat
Dort kannst Du ein abgelaufenes Zertifikat auch löschen!
Wenn ein Zertifikat abgelaufen ist, ist das Ablauf-Datum in rot dort sichtbar gemacht.
Ist es kurz vor dem Ablauf-Datum, dann ist das Datum in Orange dargestellt.
Passt alles und ist das Zertifikat gültig, steht alles in grün da.
 

bernd_

Benutzer
Mitglied seit
29. Apr 2014
Beiträge
703
Punkte für Reaktionen
6
Punkte
38
Wird grade keiner aus Deinen Aussagen schlau, wenn Du von QuickConnect schreibst - ob Du den App-Zugriff meinst oder den Zugriff im Browser (ich gehe jetzt mal von letzterem aus)
- korrekt- via Webconnect...

Ich habe eine Webseite auf meiner Synology gehostet...

mit einer richtigen Domain bei einem Hoster.. dort aber eine Weiterleitung auf die DS eingerichtet..

Diese ist erreichbar unter.. (Name geändert)

http://t.dnshome.de/

wenn ich dort einen Link clicke auf die Weboberfläche der DS:

s1.quickconnect.to/webman/index.cgi

wird diese umgeleitet nach:

https://192.168.178.100:5001/index.cgi

wenn ich mich im eigenen Netz befinde, aber eben dann mit der Fehlermeldung.

Ich finde zwei Zertifikate, beide grün,
t.dnshome.de default
synology.com

Also benötige ich ja eigentlich nur das Zertifikat für t.dnshome.de?
Kann ich das andere löschen?

t.dnshome.de ist nur noch bis November gültig, wie kann ich dieses verlängern?

Thx for Tips!
 
Zuletzt bearbeitet:

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.826
Punkte für Reaktionen
46
Punkte
74
mit einer richtigen Domain bei einem Hoster.. dort aber eine Weiterleitung auf die DS eingerichtet..
http://t.dnshome.de/
wenn ich dort einen Link clicke auf die Weboberfläche der DS:
s1.quickconnect.to/webman/index.cgi

wird diese umgeleitet nach:

https://192.168.178.100:5001/index.cgi

wenn ich mich im eigenen Netz befinde, aber eben dann mit der Fehlermeldung.

klar, da Du ja kein Zertifikat für 192.168.178.xxx hast! Daran wird sich auch nichts ändern! Du müsstest Deine DS schon unter einer Subdomain verfügbar machen, wie zum Beispiel s1.quickconnect.to oder http://t.dnshome.de ohne eine Weiterleitung dafür einzurichten!

Ich finde zwei Zertifikate, beide grün,
t.dnshome.de default
synology.com

dann sind sie aktuell und laufen auch korrekt.

Also benötige ich ja eigentlich nur das Zertifikat für t.dnshome.de?
Kann ich das andere löschen?

Ja, wie geschrieben unter Systemsteuerung - Sicherheit - Zertifikate - Zertifikat auswählen - Löschen

t.dnshome.de ist nur noch bis November gültig, wie kann ich dieses verlängern?

wenn es soweit ist, dann über Hinzufügen - Vorhandenes Zertifikat ersetzen - Zertifikat von Let's Encrypt abrufen - ....
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Die Web Station muss definitiv nicht installiert sein! 80 und 443 müssen offen sein!

Nachdem es jetzt bei mir mit dem Zertifikat verlängern soweit war... es waren alle Ports dicht, somit ging kein automatisches Verlängern.
Webstation ist nicht notwendig, das habe ich deinstalliert.
Port 80 geschlossen: entsprechender Hinweis in /var/log/messages
Port 80 geöffnet: Zertifikat wurde verlängert.

Also nochmals kurz zusammengefasst: Port 80 muss von außen offen sein.
Webstation und 443 sind nicht notwendig.

Zum manuellen Aktualisieren auf der Syno: /usr/syno/sbin/syno-letsencrypt renew-all
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat