Zertifikat für Zugriff via xxxx.synology.me und via IP Adresse lokal

[techassist]

Hallo,
ich nutze meine Diskstation mit DSM 5.2
Neben einem Dateiserver habe ich auch einen lokalen IMAP Server und den VPN Dienst aktiviert.

Ich möchte meine Diskstation gerne mit einem gültigen Zertifikat ausstatten, habe dazu das Tutorial von idomix verwendet.
https://www.youtube.com/watch?v=feL...IJqppzwZC0&annotation_id=annotation_543589425

Der Zugriff über meine xxxx.Synology.me subdomain funktioniert tadellos via VPN, für meine Subdomain habe ich auch das Zertifikat eingerichtet. Die Zertifikatswarnungen sind weg.

Im lokalen Netzwerk greife ich direkt über die IP Adresse auf die Diskstation zu (IMAP). Leider bekomme ich dabei noch immer nervige Zertifikatswarnungen. Ein Zugriff direkt über die Subdomain wäre zwar theoretisch möglich, ich möchte aber auch im Falle eines Internet-Ausfalls Zugriff auf meine lokalen Daten haben. Außerdem möchte ich die IMAP Ports nach außen gerne geschlossen halten.

Ein Zertifikat lässt sich jedoch nur für eine Adresse (in diesem Fall die Subdomain) erstellen.

Kann mir jemand vielleicht einen Tip geben, wie ich dieses Problem lösen kann?

Viele Grüße
Christian

 

[frankyst72]

Im lokalen Netzwerk greife ich direkt über die IP Adresse auf die Diskstation zu (IMAP). Leider bekomme ich dabei noch immer nervige Zertifikatswarnungen.

was passiert, wenn Du auch lokal mit der DNS-Adresse (xxxx.Synology.me) arbeitest? (bei mir geht das (FritzBox 7490), allerdings nur mit halbierten Speed, weil alles über den Router muss)

ok Antwort gefunden

Ein Zugriff direkt über die Subdomain wäre zwar theoretisch möglich

ich möchte aber auch im Falle eines Internet-Ausfalls Zugriff auf meine lokalen Daten haben.

Du brauchst vermutlich einen eigenen DNS-Server in Deinem lokalen Netz. Leider ist die Konfiguration ohne weitere Vorkenntnisse nicht möglich. Ich hab es gelassen ^^ Du kannst Dich ja einarbeiten.

Wobei bei Ausfall des Internets wieder die Zertifikatsfehler kommen, auch wenn Du mit DNS-Namen arbeitest, da das Zertifikat ja nicht überprüft werden kann.
Ggf. hilft das Zertifikat lokal auf jedem Rechner als vertrauenswürdig zu hinterlegen.

 

[mexx81]

Soweit ich mich erinnern kann, kann man in der grafischen Oberfläche für die Zertifikatserstellung keine alternativen Namen angeben. Und selbst wenn bezweifel ich, dass lokal DNS Namen da akzeptiert werden. IPs sowieso nicht. Wenn Du also den lokalen Zugriff im LAN ebenfalls per HTTPS machen möchtest, könntest Du Dein aktuelles Zertifikat exportieren und das Stammzertifikat in den lokalen Speicher legen. Entweder unter Benutzer oder Computer in den Speicher für vertrauenswürdige Stammzertifizierungsstellen. Damit erweiterst Du quasi Deine vertrauenswürdigen Stammzertifizierungsstellen um die Zertifizierungsstelle Deiner Synology. Dann wird Dein Browser keine Warnung mehr anzeigen.

 

[frankyst72]

Soweit ich mich erinnern kann, kann man in der grafischen Oberfläche für die Zertifikatserstellung keine alternativen Namen angeben.

Nebeninfo, ab DSM 6 kann man mehrere Zertifikate hinterlegen.

 

[Thorndike]

IPs sowieso nicht.

Die Zertifikate kennen neben Alternate DNS auch IPs. Das würde also funktionieren nur sind solche Zertifikate eben deutlich teurer. Wenn man sie selbst erstellt kommen ja auch wieder Warnungen das alles so schlimm ist und die Welt enden muss!