Zugriff per https / SSL-Zertifikat Fehler

Status
Für weitere Antworten geschlossen.

sektion31

Benutzer
Mitglied seit
01. Jun 2012
Beiträge
31
Punkte für Reaktionen
0
Punkte
6
Moin!

ich nutze eine Dyndns Domain von Strato in meiner Fritzbox. www.xyz.de
Das klappt auch das ich darauf auf ftp, syno drive, dsm usw. auf meine DS716 komme.

Nun würde ich gern das mittels SSL tun. Allerdings wenn ich ein Zertifikat im DSM einrichte bekomme ich keine Verbindung mehr.
Port ist in der Fritzbox freigegeben.

Leider kann ich bei Strato mir kein SSL Zertifikat holen, da es hier bei den Domains nur SSL oder DynDNS gibt.

Jemand einen Tipp wie man vorgehen könnte?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.158
Punkte für Reaktionen
912
Punkte
424
Was heißt denn konkret "bekomme keine Verbindung" mehr?

Timeout im Browser?
Meckert er nur über das Zeritifikat?
Welcher port ist für was freigegeben?
Lautet der Name des Zertifikats exakt so wie du ihn aufrufst?
Testest du das von extern oder intern im LAN/WLAN?
 

sektion31

Benutzer
Mitglied seit
01. Jun 2012
Beiträge
31
Punkte für Reaktionen
0
Punkte
6
Zertifikat ist ungültig.

5001 ist freigegeben.
Das Zertifikat hab ich das von der DSM genommen, von encrypted?

teste es von extern. ipad mit LTE
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.064
Punkte für Reaktionen
552
Punkte
194
Du musst die ein Zertifikat von Lets Encrypt holen und dieses als Standard für alle Funktionen in der Syno installieren. Dann klappt auch https.
 

sektion31

Benutzer
Mitglied seit
01. Jun 2012
Beiträge
31
Punkte für Reaktionen
0
Punkte
6
habe nun den dyndns eintrag aus der Fritzbox rausgeworfen und alles in DSM eingerichtet. Dazu das Zertifikat von Lets Encrypt und alle Dienste dort aktiviert
Allerdings kommt immer noch der Fehler das das Zertifikat fehlerhaft ist.
 
Zuletzt bearbeitet:

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.064
Punkte für Reaktionen
552
Punkte
194
Hast du das LE Zertifikat allen Diensten zugeordnet?
In der Fritz Port 5001 (DSM) und/oder 5006 (WebDav) weitergeleitet auf die IP der Syno?
 

sektion31

Benutzer
Mitglied seit
01. Jun 2012
Beiträge
31
Punkte für Reaktionen
0
Punkte
6
ja LE Zertifikat ist allen Diensten zugeordnet.
Ebenso ist der Port 5001 an die Syno weitergeleitet.

Der Hostname im Sicherheitszertifikat der Website stimmt nicht mit dem Namen der Website überein, die Sie besuchen möchten.
Fehlercode: DLG_FLAGS_SEC_CERT_CN_INVALID
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.103
Punkte für Reaktionen
545
Punkte
154
Moinsen,
hast du denn, wie Fusion schon am Anfang fragt, mal geschaut, mit welcher Angabe du deine Seite aufrufst und ob das mit den Angaben im Zertifikat zu 100 Prozent übereinstimmt...?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.064
Punkte für Reaktionen
552
Punkte
194
du trägst in der Syno den subdomain Namen ein, unter dem sie erreichbar sein soll: sub.meineDomain.de
Auf genau den Namen muss auch das Zertifikat lauten.
 

sektion31

Benutzer
Mitglied seit
01. Jun 2012
Beiträge
31
Punkte für Reaktionen
0
Punkte
6
ich hab keine subdomain, sondern direkt die www.xyz.de
muss das über eine sub laufen?

und ja zertifkat läuft auf www.xyz.de oder muss das www weg?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.158
Punkte für Reaktionen
912
Punkte
424
Alles vor einem Punkt ist eine Subdomain, auch www.

Wenn das Zertifikat auf "www.example.com" lautet (wir nehmen am besten die offiziellen Beispiel Domains nach RFC) und du https://www.example.com:5001 aufufst, welchen Fehler bekommst du dann?
Und wenn es der oben genannte ist DLG_FLAGS_SEC_CERT_CN_INVALID dann solltest du dringend mal nachschauen, welches Zertifikat der Browser dann da bemängelt und auf welchen Namen dieses ausgestellt ist, weil www.example.com ist es dann mit Sicherheit nicht.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.565
Punkte für Reaktionen
3.607
Punkte
468
Schau dir mal die URL und dann parallel dazu die Details des Zertifikats (Rechtsklick aufs Schloss) nach dem Aufruf genau an.
Der Name in der URL muss in der Liste der "Alternate Names" (Alternative Antragstellername) enthalten sein. In deinem Fall sollte example.com als Antragsteller und auch bei "Alternative Antragstellername" drinstehen. Sonst stimmt was mit dem Zertifikat nicht. Natürlich darf es auch nicht abgelaufen sein.
Vergleiche das mal bitte auch mal mit einer beliebigen https-Website, die funktioniert.
 
Zuletzt bearbeitet:

sektion31

Benutzer
Mitglied seit
01. Jun 2012
Beiträge
31
Punkte für Reaktionen
0
Punkte
6
ich hab das synology forum mal genommen, dort steht unter DNS: synology-forum.de und www.synology-forum.de
bei mir steht nur example.com

Zertifikat hab ich über die DSM beantragt.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.565
Punkte für Reaktionen
3.607
Punkte
468
D.h. bei dir steht "example.com" als Antragsteller und als einziger Eintrag bei "Alternative Antragsteller"?

Edit:
Ich hab grad mal bei mir geschaut. Da steht auch nur example.com als Antragsteller und als einziger "Alternativer Antragstellername" drin.
Rufe ich die Seite mit https://example.com auf, funktioniert es, mit https://www.example.com aber nicht.
Ich denke, dafür muss bei der Beantragung bereits www.example.com bei "Betreff Alternativer Name" mit hinzu.
 
Zuletzt bearbeitet:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.565
Punkte für Reaktionen
3.607
Punkte
468
So, ich habe mein LE-Zertifikat nun neu erstellt, mit "example.com" als "Domainname" und "example.com;www.example.com" als "Betreff Alternativer Name".
Damit klappt nun der Zugriff sowohl über "example.com" als auch über "www.example.com"
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.158
Punkte für Reaktionen
912
Punkte
424
Example.com musst du nicht auch noch bei alternativen Namen eintragen
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat