Netzzugriff auf DS

Status
Für weitere Antworten geschlossen.

PAPPL

Benutzer
Mitglied seit
02. Dez 2008
Beiträge
131
Punkte für Reaktionen
0
Punkte
16
Hallo,
habe die DS am Router hängen mit aktivierter Audio Station.
Habe die Audio Station im Netz mit DynDNS verfügbar gemacht.
Nur https-Verbindungen auf der DS aktiviert.
Am Router Port 5001, 443 freigegeben und Port80 auf Port 5000 umgeleitet, damit nicht immer der Routerlogin kommt sondern gleich auf https://DynDNS umgeleitet wird.
Meine Fragen:
Bei der SSL-Anmeldung kommt immer die Sicherheitswarnung wegen dem nicht vertrauenswürdigen Synology Zertifikat. Warum?
Gibt es von Synology ein Zertifikat mit Herkunftsdaten damit ich das ersetzen kann? Es nervt es immer extra freizugeben.
War das umleiten von Port80 auf 5000 gescheit? Die DS leitet 5000 sowieso in 5001 weiter bei https ein.
Gibt es einen Workaround den Disk Manager von der Audio Station zu entkoppeln. Ich finde es nicht so toll wenn man mit dem Admin User gleich auf das DS-Konfigurationsmenü kommt wenn man Musik hören möchte.
EDIT: Muss ich überhaupt Port 443 forwarden? Genügt nicht 5001?
 
Zuletzt bearbeitet:

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Ja. 5001 reicht, wenn Du nur auf den Disk Station Manager zugreifen möchtest. Ich würde ürigens die auf Weiterleitung zu Port 5000 verzichten und im lokalen Netz weiter mit HTTP über Port 5000 arbeiten. Ist wesentlich schneller. Du solltest dann nur schauen, dass die Admin-Oberfläche des Routers nicht dort erscheint. Kann man mit Sicherheit irgendwo ausschalten.

Ein Zertifikat kann man sich so selbst erstellen.

Trolli
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Gibt es von Synology ein Zertifikat mit Herkunftsdaten damit ich das ersetzen kann? Es nervt es immer extra freizugeben.
Das Erstellen eines eigenen Zertifikats lässt aber die Warnung nicht wirklich verschwinden. Ausser du bist bereit viel Geld zu löhnen, um dein erstelltes Zertifikat bei einer vertrauenswürdigen Stelle zu signieren. Die Browser werden bei selbst erstellten Zertifikaten immer motzen solange keine vertrauenswürdige Zertifizierungsstelle das Zertifikat signiert hat. Und das ist ja eigentlich auch gut so.
In den meisten Browsern kannst du aber die Warnung loswerden wenn du das Zertifikat bei dir im Browser installierst und als vertrauenswürdig deklarierst
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Steht ja auch so im Wiki, oder?
Abschliessend muss das Zertifikat noch auf den Client-Rechnern als "vertrauenswürdige Stammzertifizierungsstelle" installiert werden. Dazu kopiert man die Datei ca.crt auf den jeweiligen Rechner. Die Installation erfolgt unter Windows aus dem Explorer mit Rechtsklick -> Zertifikat installieren.
Trolli
 

PAPPL

Benutzer
Mitglied seit
02. Dez 2008
Beiträge
131
Punkte für Reaktionen
0
Punkte
16
Ja. 5001 reicht, wenn Du nur auf den Disk Station Manager zugreifen möchtest. Ich würde ürigens die auf Weiterleitung zu Port 5000 verzichten und im lokalen Netz weiter mit HTTP über Port 5000 arbeiten. Ist wesentlich schneller. Du solltest dann nur schauen, dass die Admin-Oberfläche des Routers nicht dort erscheint. Kann man mit Sicherheit irgendwo ausschalten.

Ein Zertifikat kann man sich so selbst erstellen.

Trolli

Danke, der HTTPs-Server-Port 443 war wirklich nicht für den forward nötig.

Also ist das Synology-Zertifikat von keiner vertrauenswürdigen Stelle? Ist es dann überhaupt vertrauenswürdig?

Was könnte im schlimmsten Fall passieren?

Also bringt mir ein eigenes Zertifikat garnichts, weil es genauso vertrauensunwürdig ist wie das hauseigene?
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Das Problem am Synology-Zertifikat ist, dass es natürlich nicht zu Deiner Internetadresse passt. Die hat Synology natürlich nicht. Das Zertifikat ist glaub ich auf www.synology.com ausgestellt. Das erzeugt die Warnmeldung. Die hat aber keine Relevanz - verschlüsselt wird die Seite trotzdem.

Man muss schon einige Hürden nehmen, um in die Liste offizieller Zertifizierungsstellen aufgenommen zu werden, die standardmässig in den Systemen hinterlegt sind. Deshalb lassen sich diese Firmen die Zertifikate auch bezahlen. Du kannst aber natürlich auch manuell eine Zertifizierungsstelle als vertrauenswürdig einstufen. Und genau das wird in der beschriebenen Prozedur gemacht...

Fazit: Das Zertifikat muss zur angesprochenen Webseite passen und von einer vertrauensvollen Institution ausgestellt worden sein. Dann kommt keine Warnung mehr.

Trolli
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Also bringt mir ein eigenes Zertifikat garnichts, weil es genauso vertrauensunwürdig ist wie das hauseigene?
Vereinfacht gesagt: Ja
Was könnte im schlimmsten Fall passieren?
Dem Server kann nix passieren. Das Zertifikat dient dem Client dazu sicherzustellen, dass er seine SSL Verbindung auch wirklich zu dem Server geöffnet hat den der User wollte. Darum brauchst du auch die vertrauenswürdige Stelle. Weil ich kann mir auch ein Zertifikat für google.com erstellen. Bin ich dann wirklich google? Eine vertrauenswürdige Stelle würde ein solches Zertifikat niemals signieren.
Einem solchen Zertifikat kann man aber nur dann vertrauen, wenn der Server nicht kompromittiert wurde. Denn man könnte das Zert vom Server bei google klauen und bei sich selber installieren. Schön signiert...
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat